Esempio di applicazione delle norme

EN ISO 13849-1 e EN IEC 62061

Esempio: Pressa per cuscinetti

Valutazione del rischio

Secondo EN ISO 14121
Valutazione del rischio
Funzione di sicurezza

SF:
Il movimento del cilidro deve essere
fermato quando il campo protetto
della barriera viene infranto
Riduzione del rischio
Analisi del rischio

Determinare il PLr

Realizzazione tecnica della SF

Valutazione del PL

non ok
Verifica del PL

ok

non ok
Validazione della SF

ok
 Determinazione del PLr
PL – Performance
rischio Level richiesto
basso
P1 a S: Gravità del danno
F1 S1: Reversibile
P2
S1 S2: irreversibile
P1 b
F2 F: Frequenza o tempo
Start P2
di esposizione
P1 c al rischio
F1 F1: Rara / Breve
S2 P2 F2: Continua / Lungo
P1 d
F2 P: Possibilità di evitare
P2 il rischio o di
e limitare il danno
rischio P1: Possibile
elevato P2: Scarsamente
possibile
Progettare il sistema di sicurezza
 Parti relative alla sicurezza dei
sistemi di controllo

SRP/CS 1 SRP/CS 2 SRP/CS 3

Barriera Logica di
Safety Related Parts of Control Systems
Attuatore
ottica controllo
Fisico elettrico elettrico fisico

PL1r ≥ PL „d“ PL2r ≥ PL „d“ PL3r ≥ PL „d“

„Una funzione di sicurezza può essere composta da uno o più SRP/CS,

e più funzioni di sicurezza possono utilizzare gli stessi SRP/CS “
Determinare il PL per SRP/CS

PL
Performance Level

Categoria MTTFd DC CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
 Aspetti strutturali

PL
Performance Level

Categoria MTTFd DC CCF VerifIca

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
Circuito di stop di sicurezza

SRP/CS 1 SRP/CS 2 SRP/CS 3

I1 L1 O1 I1 L1 O1

Barriera Logica di I L O
Attuatore
ottica controllo
I2 L2 O2 I2 L2 O2

Categoria 4 Categoria 4 Categoria 1

PL1r ≥ PL „d“ PL2r ≥ PL „d“ PL3r ≥ PL „d“

Aspetti di affidabilità

PL
Performance Level

Category MTTFd DC CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
Relazione MTTF e Categoria con PL
a
Performance Level (PL)

d MTTFd = basso

MTTFd = medio
e
MTTFd = alto

DCavg 0 0 basso medio basso medio alto

Category B 1 2 3 4
Circuito di stop di sicurezza

SRP/CS 1 SRP/CS 2 SRP/CS 3


Categoria 4 Categoria 4 Categoria 1

PL1r ≥ PL „d“ PL2r ≥ PL „d“ PL3r ≥ PL „d“

 Struttura alternativa

Categoria 2

Category B, 1

„Per categoria 2: freq. Della richiesta £ 1/100 ·freq. Di test“

 Struttura alternativa

Categoria3,24
Categoria

„Corto circuito controllato da un PLC di sicurezza“

Relazione MTTF e Categoria con PL

a
Performance Level (PL)

d MTTFd = basso

MTTFd = medio
e
MTTFd = alto

DCavg 0 0 basso medio basso medio alto

Category B 1 2 3 4
 Calcolo di MTTFd

B10 d
MTTFd =
0,1 ⋅ nop
B10 d
MTTFd =
0,1 ⋅ d op ⋅ hop ⋅ C
20.000.000
MTTFd =
0,1 ⋅ 220 d a ⋅ 8 h d ⋅ 60 1h

MTTFd = 100 aa
1.900

ISO 13849:
B10d = 20.000.000 Cicli di commutazione
Assumendo che:
C = 60 /h
MTTFd = „alto“
dop = 220 d/a
hop = 8 h/d
Aspetti di diagnostica

PL
Performance Level

Category MTTFd DC CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
 Diagnostic coverage

λdu Percentuale di guasti pericolosi non rilevati

λd Percentuale di guasti pericolosi

λdd Percentuale di guasti pericolosi rilevati

λdd
du
DC =
∑
∑ λdd + λdu dd s
 Stima del DC
Table E.1 — Abstract: Estimates for diagnostic coverage (DC)

Measure DC
Input Cyclic test stimulus by dynamic change of the input 90%
signals
Input Plausibility check, e.g. use of normally open and 99%
normally closed mechanically linked contacts
Input Monitoring some characteristics of the sensor 60%
(response time, range of analogue signals, e.g.
electrical resistance, capacitance)
Input Cros monitoring if inputs without dynamic test 0%..99% (dependig on
signal change frequency)
Logic Dynamic principle (all components of the logic are 99%
required to change the state ON-OFF-ON when the
safety function is demanded), e.g. interlocking
circuit implemented by relays
Logic Processing unit: Self test by software 60%..90%

Output Redundant shut-off path with monitoring of one of 90%

the actuators either by logic or by test equipment
Output Direct monitoring (e.g. electrical position monitoring 99%
of control valves, monitoring of electromechanical
devices by mechanically linked contact elements)
General Fault Detection by process 0%..99% (not alone for
PL „e“)
Valori legati al DC

DC = „alto“
Aspetti legati alla resistenza

PL
Performance Level

Categoria MTTFd DC CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
 Cause comuni di guasto

Categoria 3, 4

„Guasto che causa guasti contemporanei su due o più canali

in un sottoinsieme multicanale“
Misure contro CCF

Table I.1 - Estimation of the measures

against CCF

Item Max. Score

Separation / segregation 15
Diversity 20
Design / application / experience 20
Assessment / analysis 5
Competence / training 5
Environmental 25
Other influences 10

Totale 100

Score ≥ 65
CCF - Tabella
 PL per un SRP/CS

a
Performance Level (PL)

d MTTFd = basso

MTTFd = medio
e
MTTFd = alto

DCavg 0 0 basso medio basso medio alto

Categoria B 1 2 3 4
 Performance level
a

Performance Level (PL)

b

d MTTFd = low

MTTFd = medium
e
Categoria 3/4 MTTFd = high

DCavg 0 0 low medium low medium high

Category B 1 2 3 4

MTTFd = 100 a

15
5

25

10

65

Circuito di stop di sicurezza

SRP/CS 1 SRP/CS 2 SRP/CS 3

I1 L1 O1 I1 L1 O1 I1 L1 O1

Cat. 4, PL „e“ Cat. 4, PL „e“ Cat. 4, PL „e“

I2 L2 O2 I2 L2 O2 I2 L2 O2
Processo di progettazione

PL
Performance Level

Categoria MTTFd DC CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
Riduzione del rischio
Analisi del rischio

Determinare il PLr

Realizzazione tecnica della SF

Valutazione del PL

non ok
Verifica del PL

ok
non ok
Validazione della SF

ok
 Validazione e manutenzione

La validazione serve a dimostrare che la combinazione dei vari SRP/CS

che provvedono ad ogni funzione di sicurezza, è in accordo con tutte le
richieste di questo standard
Manutenzione preventiva o correttiva, possono essere necessarie per
mantenere le performance specificate per le parti relative alla sicurezza.
Le informazioni per l‘uso degli SRP/CS, devono contenere le istruzioni
per la manutenzione (compresa l‘ispezione periodica)
 Livello di sicurezza raggiunto

Livello di sicurezza richiesto PLr Livello raggiunto PL

PL(low) n (low) PL
> 3 => --
a
≤3 => a
> 2 => a
a b
≤2 => b
b > 2 => b
c
c ≤2 => c
d > 3 => c
d
≤3 => d
e
> 3 => d
e
≤3 => e
Rappresentazione numerica
 Relazione PFHD - PL/SIL
Probabilità di guasto pericoloso per ora

10-4 10-5 10-6 10-7 10-8

310-6
PL
ISO 13849-1 a b c d e
Rischio basso Rischio alto

SIL
IEC 61508 non coperta 1 2 3
Identificare la funzione di sicurezza
Funzione di controllo relativa alla sicurezza

SRCF:

Il movimento del cilidro deve essere

fermato quando il campo protetto
della barriera viene infranto
Processo di riduzione del rischio
 Stima del rischio

• Frequenza e durata dell‘esposizione (Fr)

• Probabilità dell‘accadere di un evento pericoloso (Pr)
• Probabilità di evitare o limitare il danno (Av)
 Assegnazione del SIL
SIL assignment and safety measures
Document No.:
Part of:
Product:
Issued: Pre risk assessment
verified: Intermediate risk assessment
Date: Follow up risk assessment
Black area - Safety measures required
Grey arey - Safety measures recommended

Severity Class Cl Frequency, Fr Probability of Avoidance,

Consequences
Se 3-4 5-7 8-10 11-13 14-15 (duration > 10min) hzrd. Event, Pr Av
Death, losing an eye or an arm 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 ≤ 1 hour 5 Common 5
Permanent, losing fingers 3 OM SIL 1 SIL 2 SIL 3 > 1hr - ≤ 1day 5 Likely 4
Reversible, medical attention 2 OM SIL 1 SIL 2 > 1day - ≤ 2wks 4 Possible 3 Impossible 5
Reversible, first aid 1 OM SIL 1 > 2wks - ≤ 1yr 3 Rarely 2 Possible 3
> 1 year 2 Negligible 1 Likely 1

Ser. Hzd. Hazard Se Fr Pr Av Cl Safety measure RR

No. No.

Avvicinamento del battente

3 5 3 3 11 Stop del cilindro
Funzione di controllo relativa alla sicurezza

SRCF:
Il movimento del cilidro deve essere
fermato quando il campo protetto
della barriera viene infranto

Livello di sicurezza richiesto: SIL 2

Determinare il SIL per lo SRECS

SIL
Safety Integrity Level

HFT PFHD DC/SFF CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
 Aspetti strutturali

SIL
Safety Integrity Level

HFT PFHD DC/SFF CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
Divisione in blocchi funzione

FB 1 FB 2 FB 3
Dispositivo Logica di
Safety Related Control Function
Attuatore
di controllo controllo
Fisico elettrico elettrico Fisico

„Il più piccolo elemento di un SRCF, dove un guasto può

causare la perdita della funzione di sicurezza“
 Definire i sottosistemi

SS
FB 1 SS
FB 2 SS
FB 3
Dispositivo
Barriera Logica
PLC di
Attuatore
Valvola
di controllo
ottica dicontrollo
sicurezza
 Elementi dei sottosistemi
HFT = 0 HFT = 1

Subsystem
element 1:
Subsystem Subsystem λD1
element 1: element n: Common cause
λDn failure:
λD1
Subsystem A β
Subsystem
element 2:
λD2
Subsystem B

Subsystem C
Subsystem Subsystem
element 1: element n:
λD1, DC1 λDn, DCn Subsystem
element 1:
λD1, DC1

Diagnostic function(s) Common cause

failure:
Diagnostics
β

Subsystem
element 2:
λD2, DC2
Subsystem D

„Parte di un sottosistema, comprensivo di un singolo componente

o ogni gruppo di componenti“
 Architectural requirements

SS
FB 1 SS
FB 2 SS
FB 3
Barriera
Guard Logic
PLC Power
Valvola
sensing
ottica di sicurezza
solving switching

SIL richiesto ≥ 2 SIL richiesto ≥ 2 SIL richiesto ≥ 2

„Ogni sottosistema deve essere conforme al SIL dichiarato

per il completo SRCF“
Aspetti di affidabilità

SIL
Safety Integrity Level

HFT PFHD DC/SFF CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
Probabilità di guasti „casuali“
pericolosi

Probabilità di guasti
SIL
pericolosi per ora [1/h]
-6 -5
1 10 ≤ PFHD < 10
-7 -6
2 10 ≤ PFHD < 10
-8 -7
3 10 ≤ PFHD <10

PFHD = PFHD1 + . . . + PFHD2 + PFHTE

HW safety integrity requirements

PFHD1 PFHD2 PFHD3

PFHD1 + PFHD2 + PFHD3 < 10-6

Aspetti di diagnostica

SIL
Safety Integrity Level

HFT PFHD DC/SFF CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
 Diagnostic coverage
λDU Percentuale di guasti pericolosi non rilevati

λD Percentuale di guasti pericolosi

λDD Percentuale di guasti pericolosi rilevati

λdd
du
DC =
∑
∑ λdd + λdu dd s
Safe failure fraction

λD

SFF = (ΣλS+ ΣλDD) / (ΣλS+ ΣλD)

Differenza di calcolo DC e SFF 1/3

λs λD

DC
DC == 0%
?
SFF
SFF== 50%
?
Differenza di calcolo DC e SFF 2/3

λDD
λs

λDU

DC
DC == 50%
?
SFF
SFF== 75%
?
Differenza di calcolo DC e SFF 3/3

λs λDD

λDU

DC == 90%
DC ?
SFF== 95%
SFF ?
 Restrizioni dell‘architettura

Hardware Fault Tolerance

Safe Failure Fraction
0 1
< 60% -- SIL1
60% - < 90% SIL1 SIL2
90% - < 99% SIL2 SIL3
≥ 99% SIL3 SIL3

„Il SIL Raggiunto dallo SRECS in accordo con le restrizioni dell‘architettura,

è minore od uguale al SILCL di ogni sottosistema coinvolto
nelle performance del SRCF“
Hardware safety integrity - Target

Hardware Fault Tolerance

Safe Failure Fraction
0 1
SILCL3 SILCL3 < 60%
60% - < 90%
--
SIL1
SIL1
SIL2
90% - < 99% SIL2 SIL3
≥ 99% SIL3 SIL3

SILCL 2 SILCL 2 SILCL 2

I modi di guasto della valvola

SFF = 70%
Hardware safety integrity -
Risultato

HFT
SFF
0 1 2
<60% ÷ SIL1 SIL2
60% to < 90% SIL1 SIL2 SIL3
90% to <99% SIL2 SIL3 SIL3
≥ 99% SIL3 SIL3 SIL3


SILCL 2 SILCL 2 SILCL 2
Sottosistemi a bassa complessità

Hardware Fault Tolerance

Safe Failure Fraction
0 1
< 60% -- SIL1
? 60% - < 90% SIL1 SIL2
90% - < 99% SIL2 SIL3
≥ 99% SIL3 SIL3

„Collegare in parallelo due sottosistemi a bassa complessità,

entrambi rispondenti alle richieste dell‘architettura per SIL1 “
Aspetti di resistenza

SIL
Safety Integrity Level

HFT PFHD DC/SFF CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTENZA
STRUTTURA

PROCESSO
 Causa di guasto comune

Subsystem
element 1:
λD1
Common cause
failure:
Subsystem β Subsystem
Subsystem
element 1: element n:
element
λD1 2: λDn
λD2 Subsystem A
Subsystem B

„Guasto che causa guasti contemporanei su due o più canali

in un sottoinsieme multicanale“
 Misure contro CCF

Table F.1 - Criteria for estimation of CCF Table F.2 - Estimation of CCF factor (ß)

Item Max. Score

Separation / segregation 25 Overall score CCF factor (ß)
Diversity / redundancy 38 < 35 10%
Complexity / design / application 2 35 ÷ 65 5%
Assessment / analysis 18 65 ÷ 85 2%
Competence / training 4 85 ÷ 100 1%
Environmental control 18

„L‘allegato F fornisce un approccio semplice per il calcolo del CCF“

Tabella CCF
 Calcolo del PFHD

Subsystem PFH d ≈ β ⋅ (λD1 + λD 2 ) 2 ⋅1 h

element 1: = β ⋅ λD λ ⋅ λValve ⋅1 h
λD1
Common cause = 5% ⋅ 30% ⋅ 0,1 ⋅ C B10 ⋅1h
failure:
β
= 5% ⋅ 30% ⋅ 0,1 ⋅ 2C B10 D ⋅1h
Subsystem 0,05 ⋅ 0,3 ⋅ 0,1⋅ 2 ⋅ 60 h
element 2: = ⋅1h
λD2 20.000.000
Subsystem B

PFHD = 9,0 · 10-9

Table F.2 - Estimation of CCF factor (β)

Overall score CCF factor (β)

< 35 10%
ISO 13849:
35 ÷ 65 5%
B10D = 20.000.000 Switching cycles
65 ÷ 85 2%
85 ÷ 100 1% Assumption:
C = 60 /h
Aspetti di processo

SIL
Safety Integrity Level

HFT PFHD DC/SFF CCF Verifica

AFFIDABILITA‘

DIAGNOSTICA

RESISTANCE
STRUTTURA

PROCESSO
Safety related control function

PFHD = 2,5 · 10-8 PFHD = 8,0 · 10-9 PFHD = 9,0 · 10-9

Σ PFHD = 4,2· 10-8 < 10-6

 Hardware safety integrity

Hardware Fault Tolerance

Safe Failure Fraction
0 1
< 60% -- SIL1
SILCL3 SILCL3 60% - < 90% SIL1 SIL2
90% - < 99% SIL2 SIL3
≥ 99% SIL3 SIL3

SIL 2
Σ PFHD = 4,2· 10-8 < 10-6
Misure contro i guasti sistematici
 Misure contro i guasti sistematici

Per il controllo dei guasti sistematici, le seguenti misure devo essere

applicate:
: individuazione dei guasti con monitoraggio on-line;
: test, tramite comparazione, dell‘ hardware ridondante;
: hardware diversi;
: operare in logica positiva (es. Un interruttore di posizione è premuto con
protezione aperta);
: sovradimensionare con un fattore adatto, quando il produttore può
dimostrare che questo aumenta l‘affidabilità.
Hardware safety integrity

Con la diagnostica !

Hardware Fault Tolerance

Safe Failure Fraction
0 1
< 60% -- SIL1
SILCL3 SILCL3 60% - < 90% SIL1 SIL2
90% - < 99% SIL2 SIL3
≥ 99% SIL3 SIL3

Σ PFHD = 4,2· 10-8 < 10-7 SIL 3

L‘importanza dell‘informazione