SICUREZZA DEI SISTEMI DI COMANDO

EN ISO 13849-1 | EN ISO 13849-2

Software SISTEMA IFA

Certifico S.r.l.
2022

1 / 217
PARTE 1
La Norma
EN ISO 13849-1:2015
 EN ISO 13849-1

L’ITER NORMATIVO DELLA ISO 13849-1

Il testo della ISO 13849-1:2015 è stato elaborato dall’Organizzazione
Internazionale di Normazione (ISO) ed è stato ripreso, senza alcuna
modifica, come EN ISO 13849-1:2015 dal Comitato Europeo per la
Normazione (CEN).
La norma ha acquisito dall’Ente Nazionale Italiano di Unificazione (UNI) lo
status di norma nazionale come UNI EN ISO 13849-1:2016, che sostituisce
EN ISO 13849-1:2008.
EN ISO 13849-1 è norma armonizzata per la Direttiva Macchine
2006/42/CE, infatti è inclusa nell’elenco pubblicato nella Gazzetta Ufficiale
dell’Unione Europea (GU).

3 / 217
EN ISO 13849-1

4 / 217
 EN ISO 13849-1

APPENDICE ZA (informativa) della EN ISO 13849-1

5 / 217
 EN ISO 13849-1
RESS 1.2.1 – Allegato I della DIRETTIVA MACCHINE 2006/42/CE
1.2. SISTEMI DI COMANDO
1.2.1. Sicurezza ed affidabilità dei sistemi di comando
(1° par. Requisiti di base per l’affidabilità e la sicurezza dei sistemi di comando)
I sistemi di comando devono essere progettati e costruiti in modo da
evitare l'insorgere di situazioni pericolose.
In ogni caso essi devono essere progettati e costruiti in modo tale che:
− resistano alle previste sollecitazioni di servizio e agli influssi esterni,
− un'avaria nell'hardware o nel software del sistema di comando non crei
situazioni pericolose,
− errori della logica del sistema di comando non creino situazioni
pericolose,
− errori umani ragionevolmente prevedibili nelle manovre non creino
situazioni pericolose.

6 / 217
 EN ISO 13849-1

RESS 1.2.1 – Allegato I della DIRETTIVA MACCHINE 2006/42/CE

(2° par. Principali eventi e situazioni di pericolo da evitare)
Particolare attenzione richiede quanto segue:
− la macchina non deve avviarsi in modo inatteso,
− i parametri della macchina non devono cambiare in modo incontrollato, quando tale
cambiamento può portare a situazioni pericolose,
− non deve essere impedito l’arresto della macchina, se l’ordine di arresto è già stato dato,
− nessun elemento mobile della macchina o pezzo trattenuto dalla macchina deve cadere o
essere espulso,
− l’arresto manuale o automatico degli elementi mobili di qualsiasi tipo non deve essere
impedito,
− i dispositivi di protezione devono rimanere pienamente efficaci o dare un comando di arresto,
− le parti del sistema di controllo legate alla sicurezza si devono applicare in modo coerente
all’interezza di un insieme di macchine e/o di quasi macchine.
In caso di comando senza cavo deve essere attivato un arresto automatico quando non si
ricevono i segnali di comando corretti, anche quando si interrompe la comunicazione.

7 / 217
 EN ISO 13849-1

Quindi il requisito 1.2.1 della DIRETTIVA MACCHINE 2006/42/CE richiede

sostanzialmente che:
• la progettazione e la costruzione del sistema di comando garantiscano
un funzionamento sicuro ed affidabile della macchina;
• l’operatore riesca a far funzionare la macchina sempre in sicurezza e
secondo le modalità previste;
• la progettazione dei sistemi di comando consideri l’errore umano
ragionevolmente prevedibile durante il funzionamento.

8 / 217
EN ISO 13849-1

Tipologie norme tecniche

9 / 217
 EN ISO 13849-1

UNI EN ISO 13849-1:2016

Sicurezza del macchinario – Parti del sistema di comando legate alla sicurezza
Parte 1: Principi generali di progettazione
SCOPO E CAMPO DI APPLICAZIONE
La norma specifica i requisiti di sicurezza e una guida ai principi per la
progettazione e l’integrazione delle parti dei sistemi di comando legate alla
sicurezza (in inglese Safety Related Parts of Control Systems; SRP/CS nel
seguito)
La presente parte della EN ISO 13849 ha lo scopo di fornire una chiara base
su cui poter valutare la progettazione e le prestazioni delle SRP/CS. La
norma stabilisce la regola dell’arte per la progettazione delle SRP/CS.
Si applica alle SRP/CS indipendentemente dal tipo di tecnologia ed energia
utilizzate (elettrica, idraulica, pneumatica, meccanica), per tutti i tipi di
macchinario.

10 / 217
 EN ISO 13849-1

TERMINI E DEFINIZIONI
GUASTO: cessazione dell’attitudine di un elemento ad eseguire la funzione
richiesta.
AVARIA: stato di un elemento caratterizzato dall’incapacità di eseguire una
funzione richiesta. Spesso è il risultato di un guasto dell’elemento.
GUASTO PERICOLOSO: guasto che può potenzialmente mettere la SRP/CS
in uno stato pericoloso o di incapacità di funzionare.

11 / 217
 EN ISO 13849-1

TERMINI E DEFINIZIONI
DANNO: Lesione fisica o danno alla salute.
PERICOLO: Potenziale sorgente di danno.
SITUAZIONE PERICOLOSA: Circostanza in cui una persona è esposta ad
almeno un pericolo, con l’esposizione avente immediatamente o per un
lungo periodo di tempo il potenziale per risultare in un danno.
RISCHIO: Combinazione della probabilità di accadimento di un danno e
della gravità di quel danno.
RISCHIO RESIDUO: Rischio rimanente dopo l’adozione di misure di
protezione.

12 / 217
 EN ISO 13849-1

TERMINI E DEFINIZIONI
USO PREVISTO DI UNA MACCHINA: Uso di una macchina in conformità alle
informazioni fornite nelle istruzioni per l’uso.
USO SCORRETTO RAGIONEVOLMENTE PREVEDIBILE: Uso di una macchina
in un modo non previsto dal progettista ma che può derivare da un
comportamento umano facilmente prevedibile.

13 / 217
 EN ISO 13849-1

TERMINI E DEFINIZIONI
SISTEMA DI COMANDO DELLA MACCHINA: Sistema che risponde ai segnali
in ingresso da parti degli elementi della macchina, operatori,
apparecchiature di comando esterne o una loro combinazione e che genera
segnali in uscita per far sì che la macchina si comporti nel modo previsto.

14 / 217
 EN ISO 13849-1

PARTI DEL SISTEMA DI COMANDO LEGATE ALLA SICUREZZA

(Safety Related Parts of Control Systems - SRP/CS)
Parte di un sistema/circuito di comando di una macchina che reagisce a
segnali di input con funzioni di sicurezza (p.es. pulsante, microinterruttore,
ecc.), che comprende l’eventuale elaborazione, diagnostica e produce
segnali in uscita con funzioni di sicurezza verso l’attuatore finale (p.es.
valvola, contattore, ecc.).
Quindi le SRP/CS sono le parti del sistema di comando del macchinario
intese a fornire funzioni di sicurezza e possono consistere di hardware e
software ed essere separate dal sistema di comando della macchina o
esserne parte integrante. Oltre a fornire funzioni di sicurezza, le SRP/CS
possono consentire anche funzioni operative (per esempio comandi a due
mani come mezzo per avviare un processo).

15 / 217
 EN ISO 13849-1

LIVELLO DI PRESTAZIONE (PERFORMANCE LEVEL - PL)

Livello discreto utilizzato per specificare la capacità delle parti dei sistemi di
comando legate alla sicurezza di eseguire una funzione di sicurezza in
condizioni prevedibili.

• n. 5 livelli di prestazione definiti in termini di probabilità di guasto

pericoloso per ora.
• Per facilitare la valutazione del PL conseguito, EN ISO 13849-1 utilizza
una metodologia basata sulla suddivisione in categorie delle strutture.

16 / 217
 EN ISO 13849-1

Panoramica del
processo di
RISK
ASSESSMENT
(Valutazione del
rischio)
secondo EN ISO
1200 EN ISO
13849-1

DIR.
2006/42/CE
All. I – Principi
Generali

17 / 217
 EN ISO 13849-1

PROCESSO DI RIDUZIONE DEL RISCHIO PER OGNI SITUAZIONE

PERICOLOSA
iniziale

richiesto

ottenuto

Rischio
adeguatament
e ridotto Rischio non
adeguatamente
ridotto

18 / 217
 EN ISO 13849-1

PROCESSO ITERATIVO PER LA PROGETTAZIONE DI UN SRP/CS

• Categoria
• MTTFd
• DC
• CCF
• Guasto sistematico
• Software delle parti legate alla
sicurezza, se esistente 19 / 217
 EN ISO 13849-1

CONTRIBUTO ALLA RIDUZIONE DEI RISCHI DEL SISTEMA DI COMANDO

• La progettazione di un SRP/CS è parte integrante del processo di
valutazione del rischio
• Dal processo di valutazione del rischio, il progettista decide il contributo
che deve essere fornito da ogni funzione di sicurezza attuata dall’SRP/CS
• Tale contributo non copre tutti i rischi che presenta la macchina.

20 / 217
 EN ISO 13849-1

CONTRIBUTO ALLA RIDUZIONE DEI RISCHI DEL SISTEMA DI COMANDO

• Il Performance Level (Livello di Prestazione) PL è la capacità, da parte di una
funzione di sicurezza, di riuscire a ridurre il rischio previsto.
• E’ un parametro che viene espresso in probabilità media di un guasto pericoloso
nell’intervallo di un’ora. Sono previsti 5 livelli, da PLa fino a PLe al crescere del
rischio, ed ognuno di essi identifica un ambito numerico di probabilità media di
guasto pericoloso per ora.
(Ad esempio PL=d indica che la probabilità media di guasti pericolosi per ora è compresa tra 1 x 10-6 e 1 x 10-7 ovvero
all’incirca 1 guasto mediamente ogni 100-1000 anni)
(PFHdavg)

21 / 217
 EN ISO 13849-1

RAPPRESENTAZIONE GRAFICA DEI LIVELLI DI PRESTAZIONE

22 / 217
 EN ISO 13849-1

UNI EN ISO 13849-1 e CEI EN 62061: ISO/TR 23849

CEI EN 62061 - Sicurezza del macchinario – Sicurezza funzionale dei sistemi
di comando e controllo elettrici, elettronici ed elettronici programmabili
correlati alla sicurezza
Entrambe le due norme EN ISO 13849-1 ed EN IEC 62061 possono essere
utilizzate per realizzare sistemi di controllo della sicurezza delle macchine in
conformità alla Direttiva Macchine.
La norma EN ISO 13849-1 copre tutte le tecnologie, mentre la norma EN
62061 riguarda solo i sistemi elettrici, elettronici ed elettronici
programmabili (E/E/PE) legati alla sicurezza.
Presentano differenti classificazioni dei sistemi: EN ISO 13849-1 utilizza i PL
(Performance Level) mentre la EN 62061 utilizza i SIL (Safety Integrity
Level – Livello di Integrità della Sicurezza)

23 / 217
 EN ISO 13849-1

CEI EN 62061
LIVELLO DI INTEGRITA’ DELLA SICUREZZA
(Safety Integrity Level - SIL):
Livello discreto (uno di quattro possibili) per specificare i requisiti di
integrità della sicurezza delle funzioni di sicurezza da assegnare ai sistemi
E/E/PE legati alla sicurezza, in cui il livello di integrità 4 è il livello massimo
di integrità della sicurezza e il livello 1 è quello minimo.

24 / 217
 EN ISO 13849-1

REQUISITI PER LA PROGETTAZIONE DEL SISTEMA CON EN ISO 13849-1 ED EN 62061

(rif. ISO/TR 23849)

• Parti non complesse progettate secondo il relativo PL in accordo con EN ISO 13849-1
possono essere integrate come sottosistemi in un sistema elettrico progettato secondo la
EN 62061. Ogni parte complessa progettata secondo il relativo PL in accordo con EN ISO
13849-1 può essere integrata in un sistema progettato secondo EN ISO 13849-1.

• Ogni sottosistema non complesso progettato secondo la EN 62061 per il relativo SIL può
essere integrato come parte legata alla sicurezza in una combinazione di SRP/CS
progettate secondo EN ISO 13849-1.

• Ogni sottosistema complesso progettato secondo la IEC 61508 per il relativo SIL può
essere integrato come parte legata alla sicurezza in una combinazione di SRP/CS
progettate secondo EN ISO 13849-1 oppure come sottosistema in un sistema elettrico
progettato secondo la EN 62061.

25 / 217
 EN ISO 13849-1

UNI EN ISO 13849-1 e CEI EN 62061

La norma CEI EN 62061 deriva dalla norme della serie CEI EN 61508 e CEI
EN 61511 riguardanti la sicurezza funzionale dei sistemi elettrici, elettronici
ed elettronici programmabili per applicazioni di sicurezza.
Queste norme sono utilizzate nell’industria di processo e la CEI EN 62061
rappresenta l’applicazione di quei concetti alle macchine.

Nelle norme in conformità con le CEI EN 61508 la capacità degli SRP/CS di

svolgere una funzione di sicurezza è indicata attraverso il SIL.
Sia il PL che il SIL sono parametri che indicano i valori della probabilità che
possano verificarsi dei guasti pericolosi in un’ora (PFHd).

26 / 217
 EN ISO 13849-1

RAPPORTO TRA LIVELLO DI PRESTAZIONE (PL) E LIVELLO DI INTEGRITA’

DELLA SICUREZZA (SIL)
Il Safety Integrity Level (SIL) è l’espressione del rischio residuo ammissibile
(inaffidabilità) di un sistema di controllo, come il PL.
La EN 62061 prevede la seguente valutazione del SIL del sistema di controllo per la
sicurezza:

27 / 217
 EN ISO 13849-1

RAPPORTO TRA LIVELLO DI PRESTAZIONE (PL) E LIVELLO DI INTEGRITA’

DELLA SICUREZZA (SIL)

NOTA:
SIL 4 è per eventi catastrofici nell’industria di processo, non è pertinente per i rischi
delle macchine.

28 / 217
 EN ISO 13849-1

IL PASSATO: UNI EN 954-1

Dal 31/12/11 la UNI EN 954-1 è stata completamente sostituita dalle UNI EN ISO
13849-1 e CEI EN 62061.
La norma EN 954-1 definiva per la prima volta delle CATEGORIE DI SICUREZZA con
requisiti man mano più stringenti ai fini della sicurezza delle parti di comando.
Veniva messa in relazione la complessità del circuito di sicurezza con la valutazione
del pericolo che tale sistema doveva limitare.

29 / 217
 EN ISO 13849-1

IL PASSATO: UNI EN 954-1

La norma UNI EN 954-1 impiegava il seguente diagramma per determinare
la categoria di sicurezza per un sistema di comando.

30 / 217
 EN ISO 13849-1

LIMITI DELLA UNI EN 954-1

• Manca la definizione di un indice che misuri la frequenza degli intervalli di Test
Diagnostici.
• Manca una procedura di valutazione quantitativa dell’affidabilità dei componenti
dei sistemi di controllo per la sicurezza.
• Non sempre l’utilizzo di architetture ridondanti consente di ottenere un sistema
più sicuro.
• L’impianto della EN 954-1 è mancante di una valutazione probabilistica delle
prestazioni dei sistemi di comando e controllo per la sicurezza delle macchine.
• EN ISO 13849-1 si basa sui requisiti delle categorie della EN 954-1 ma introduce
una valutazione probabilistica con misure concrete e parametri di riferimento per
valutare le prestazioni dei dispositivi di sicurezza in termini di affidabilità,
copertura diagnostica, immunità in relazione a una particolare architettura del
sistema di controllo.

31 / 217
 EN ISO 13849-1

Non vi è correlazione diretta tra PL e le Categorie di Sicurezza della EN 954-1.

La EN 13849 riutilizza i concetti delle categoria di sicurezza e della resistenza
del sistema al guasto integrandoli con il calcolo di ulteriori nuovi parametri
numerici MTTFd, DC e CCF

32 / 217
 EN ISO 13849-1

PROCESSO ITERATIVO PER LA PROGETTAZIONE DI UN SRP/CS

33 / 217
 EN ISO 13849-1

LE FUNZIONI DI SICUREZZA
Con FUNZIONE DI SICUREZZA (SF) si intende «la funzione di una macchina
il cui guasto può determinare un immediato aumento del rischio».
Il progettista (o norme di tipo C) deve identificare le SF necessarie per
conseguire le misure di sicurezza richieste dal sistema di comando per
l’applicazione specifica.
EN ISO 13849-1 fornisce un elenco delle funzioni di sicurezza tipiche con le
relative caratteristiche (art. 5 prospetto 8).

34 / 217
EN ISO 13849-1

35 / 217
EN ISO 13849-1

36 / 217
 EN ISO 13849-1

FUNZIONE DI ARRESTO LEGATA ALLA SICUREZZA AVVIATA DA UN MEZZO

DI PROTEZIONE
(rif. EN ISO 13849-1)
Una funzione di arresto attivata da un dispositivo di protezione (ad es.
l’apertura di un riparo) deve, con la necessaria rapidità dopo l’azionamento,
mettere la macchina in condizioni di sicurezza. Tale arresto deve avere la
priorità sugli arresti dovuti a ragioni operative.
Quando un gruppo di macchine lavora insieme in modo coordinato, devono
essere previste disposizioni per segnalare al controllo di supervisione e/o
alle altre macchine che è attiva tale condizione di arresto.

(rif. EN ISO 12100, p.to 6.2.11.3)

L’azione primaria per l’arresto o il rallentamento dovrebbe essere eseguita
rimuovendo o riducendo la tensione o la pressione del fluido.
37 / 217
 EN ISO 13849-1

FUNZIONE DI ARRESTO LEGATA ALLA SICUREZZA AVVIATA DA UN MEZZO

DI PROTEZIONE
CATEGORIE DI ARRESTO (0, 1, 2) ≠ CATEGORIA DI SICUREZZA (B, 1, 2, 3, 4)
(rif. CEI EN 60204-1 - Equipaggiamento elettrico delle macchine)
Esistono tre categorie di funzioni di arresto:
Categoria di arresto 0: arresto mediante rimozione immediata
dell’alimentazione di potenza agli attuatori di macchina (arresto non
controllato).
Categoria di arresto 1: arresto controllato mantenendo l’alimentazione di
potenza agli attuatori di macchina fino all’arresto, e rimuovendo poi la
potenza ad arresto avvenuto.
Categoria di arresto 2: arresto controllato mantenendo l’alimentazione di
potenza agli attuatori di macchina anche dopo l’avvenuto arresto.

38 / 217
 EN ISO 13849-1

FUNZIONE DI AVVIO/RIAVVIO
(rif. EN ISO 13849-1)
Un riavviamento deve aver luogo automaticamente soltanto se non si è in
presenza di una situazione pericolosa.
Ad es. chiudendo un riparo la macchina non deve ripartire. È necessario un
comando intenzionale dell’operatore. (Per i ripari interbloccati con una
funzione di avvio si applica la EN ISO 12100, p.to 6.3.2.5)

(rif. EN ISO 12100, p.to 6.2.11.3)

L’azione primaria per l’avviamento o l’accelerazione del movimento
dovrebbe essere eseguita mediante l’applicazione o un aumento della
tensione o della pressione del fluido.

39 / 217
 EN ISO 13849-1

FUNZIONE DI INIBIZIONE
Per inibizione si intende «l’interruzione automatica e temporanea di una o
più funzioni di sicurezza da parte delle SRP/CS»
L’inibizione non deve portare ad alcuna esposizione delle persone a
situazioni pericolose. Durante l’inibizione devono essere garantite condizioni
di sicurezza con altri mezzi.
Al termine dell’inibizione, tutte le funzioni di sicurezza della SRP/CS devono
essere rispristinate.

40 / 217
 EN ISO 13849-1

PARAMETRI LEGATI ALLA SICUREZZA

Quando i parametri legati alla sicurezza quali ad esempio la posizione, la
velocità, la temperatura, la pressione si discostano dai limiti prestabiliti, il
sistema di comando deve attivare opportune misure, per esempio
l’azionamento dell’arresto, segnali di avvertimento, allarmi.

41 / 217
 EN ISO 13849-1

FUNZIONE DI ARRESTO DI EMERGENZA

(rif. EN ISO 12100)
• Misura di protezione complementare
• Attuatori chiaramente individuabili e visibili, immediatamente accessibili
• Processo pericoloso arrestato nel più breve tempo possibile, senza creare
ulteriori pericoli
• Se necessario deve permettere di attivare movimenti di salvaguardia

42 / 217
 EN ISO 13849-1

FUNZIONE DI ARRESTO DI EMERGENZA

(rif. CEI EN 60204-1)
• L’arresto di emergenza deve essere conforme alla ISO 13850.
• L’effetto di tale comando deve essere mantenuto fino al ripristino, che
deve essere possibile esclusivamente mediante azione manuale nella
stessa zona di macchina nella quale è stato avviato il comando. Il
ripristino del comando non deve riavviare la macchina, ma solo
consentirne il riavviamento.
• Non deve essere possibile riavviare la macchina fino a quando tutti i
comandi di arresto di emergenza non siano stati ripristinati.
• Per ogni modo di funzionamento deve prevalere su tutte le altre funzioni
ed operazioni.
• L’arresto di emergenza deve essere un arresto di Categoria 0 o 1.

43 / 217
 EN ISO 13849-1

PROCESSO ITERATIVO PER LA PROGETTAZIONE DI UN SRP/CS

44 / 217
 EN ISO 13849-1

DETERMINAZIONE LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

Con EN ISO 13849-1 viene introdotto il concetto di:

Performance Level Requested (PLr).
da determinare per ogni funzione di sicurezza identificata.
Il PLr è il livello di prestazione che il circuito realizzato deve raggiungere per
essere considerato conforme alle necessità di riduzione del rischio.
Ne consegue che per attestare che un circuito di sicurezza realizzato è
idoneo al caso specifico occorre verificare che il PL ottenuto sia almeno pari
al PLr.
In sostanza il PLr costituisce il livello minimo da raggiungere.

45 / 217
 EN ISO 13849-1

DETERMINAZIONE LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

46 / 217
 EN ISO 13849-1

DETERMINAZIONE LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

PARAMETRI DI RISCHIO:

S = gravità della lesione (Safety injury)

S1 Leggera (lesione generalmente reversibile)
p.es.: contusioni o lacerazioni senza complicazioni

S2 Grave (lesione generalmente irreversibile o morte)

p.es.: amputazioni o morte

47 / 217
 EN ISO 13849-1

DETERMINAZIONE LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

PARAMETRI DI RISCHIO:
F = frequenza di esposizione e/o durata dell’esposizione (Frequency)
F1 Da rara a infrequente e/o tempo di esposizione breve
p.es.: freq ≥ 1 volta/15 min
tempo esp accumulato ≤ 1/20 tempo funz complessivo
F2 Da frequente a continua e/o tempo di esposizione lungo
p.es.: freq < 1 volta/15 min
tempo esp accumulato > 1/20 tempo funz complessivo

(Il periodo di esposizione dovrebbe essere valutato in base ad una media relativa al tempo
totale con il quale il macchinario è utilizzato. Per esempio, se è necessario raggiungere spesso
l’utensile in lavorazione per delle regolazioni, sarà necessario selezionare F2. Se questo accesso
è saltuario dovrà essere selezionato F1.)

48 / 217
 EN ISO 13849-1

DETERMINAZIONE LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

PARAMETRI DI RISCHIO:
P = possibilità di evitare il pericolo e probabilità del suo verificarsi
(Possibility/Probability)
P1 Possibile in condizioni specifiche
P2 Scarsamente possibile

Possibilità di evitare il pericolo: è importante sapere se un pericolo può essere individuato ed

evitato prima dell’incidente.
Probabilità che si verifichi l’evento pericoloso: dipende dal comportamento umano o da guasti
tecnici.

49 / 217
 EN ISO 13849-1

DETERMINAZIONE LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

50 / 217
 EN ISO 13849-1

PROCESSO ITERATIVO PER LA PROGETTAZIONE DI UN SRP/CS

51 / 217
 EN ISO 13849-1

PROGETTAZIONE DELLA SRP/CS

Progettazione e realizzazione tecnica della funzione di sicurezza con
identificazione delle parti legate alla sicurezza che eseguono la SF mediante
modellizzazione.
ESEMPIO
AVVIO DELL’EVENTO AZIONATORE DELLA MACCHINA
MEZZI DI INTERCONNESSIONE (es (es. attuatore di potenza)
(es. apertura di un riparo) elettrici, ottici)

INGRESSO LOGICA USCITA

52 / 217
 EN ISO 13849-1

PROGETTAZIONE DELLA SRP/CS

SCHEMA A BLOCCHI LEGATO ALLA SICUREZZA

Criteri di individuazione dei blocchi:

• Ogni blocco deve rappresentare un’unità logica dell’SRP/CS legata all’esecuzione della
funzione di sicurezza;
• Canali diversi che attuano la funzione di sicurezza devono essere separati in blocchi diversi
• Ogni canale può essere composto da uno o più blocchi
• Ogni unità hardware dell’SRP/CS deve appartenere esattamente ad un blocco
• I blocchi aventi unicamente funzionalità diagnostiche possono essere separati da quelli
necessari all’esecuzione della funzione di sicurezza

53 / 217
 EN ISO 13849-1

PROGETTAZIONE DELLA SRP/CS

SCHEMA A BLOCCHI LEGATO ALLA SICUREZZA
Schema a blocchi relativo alla sicurezza
I blocchi precedentemente individuati possono essere organizzati per
rappresentare graficamente la struttura logica dell’SRP/CS conformemente ai
seguenti criteri:
• Il guasto di un blocco in una catena di tipo «serie» comporta il guasto
dell’intero canale
• In una struttura di tipo «parallelo», solo il guasto pericoloso di tutti i canali
causa la perdita della funzione di sicurezza
• I blocchi dal cui guasto non si origina la perdita della funzione di sicurezza
possono essere separati dai rimanenti

54 / 217
 EN ISO 13849-1

PROGETTAZIONE DELLA SRP/CS

ESEMPIO DI SCHEMA A BLOCCHI CON DUE CANALI RIDONDANTI

DISPOSITIVO DI
TEST

55 / 217
 EN ISO 13849-1

PROCESSO ITERATIVO PER LA PROGETTAZIONE DI UN SRP/CS

56 / 217
 EN ISO 13849-1

DETERMINAZIONE DEL PERFORMANCE LEVEL RAGGIUNTO (PL)

Il perfomance level di un SRP/CS può essere determinato tramite la stima di alcuni aspetti:
• MTTFs (Mean Time To Failure Dangerous);
• DC (Diagnostic Coverage);
Aspetti quantificabili
• CCF (Common Cause Failure);
• Struttura del sistema;
• Comportamento della funzione di sicurezza anche in condizioni di avaria;
• Software con funzioni di sicurezza;
• Guasti sistematici;
• Abilità nel mantenere la funzione di sicurezza in presenza di determinate condizioni
ambientali.

57 / 217
 EN ISO 13849-1

DETERMINAZIONE DEL PERFORMANCE LEVEL RAGGIUNTO (PL)

Le misure di protezione, indicate nella EN ISO 13849-1, da applicare per
ridurre il rischio sono principalmente le seguenti.
• Ridurre la probabilità di avarie a livello dei componenti. Ciò è possibile
aumentando l’affidabilità dei componenti.
• Migliorare la struttura della SRP/CS. Lo scopo è quello di evitare l’effetto
pericoloso di un’avaria. Alcune avarie possono essere rilevate e potrebbe
essere necessaria una struttura ridondante, diversificata e/o monitorata.
Entrambe le misure possono essere applicate separatamente o in
combinazione.

58 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

TEMPO MEDIO AL GUASTO PERICOLOSO (MTTFd)
(Mean Time To Dangerous Failure):
previsione del tempo medio prima che il sistema di comando subisca un
guasto pericoloso. (MTTFd è un valore statistico)
Per ogni blocco funzionale del diagramma a blocchi relativo alla sicurezza,
deve essere stimato un valore di MTTFd.
Relativamente ai singoli componenti, si applicano gerarchicamente le
seguenti specifiche:
1. Utilizzo dei dati dichiarati dal costruttore
2. Utilizzo dei metodi di cui in allegato C e D
3. Scegliere 10 anni

59 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
EN ISO 13849-1 indica diversi metodi per calcolare i valori di MTTFd dei
singoli componenti:
• p.to C.2: metodo delle buone pratiche tecniche
• p.to C.3: metodo per i componenti idraulici
• p.to C.4: calcolo di MTTFd di componenti pneumatici, meccanici ed
elettromeccanici da B10
• p.to C.5: valori di MTTFd per i componenti elettrici

60 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
METODO DELLE BUONE PRATICHE TECNICHE (p.to C.2)

La norma fornisce alcuni dati di affidabilità relativi ai componenti più comuni.

Questi dati possono essere assunti solo se:
1. I componenti sono costruiti nel rispetto dei principi di sicurezza di base e di quelli ben
collaudati secondo ISO 13849-2 o alla norma pertinente, e
2. Il fabbricante specifica le corrette modalità di impiego e di applicazione per il dispositivo, e
3. Il progetto dell’SRP/CS soddisfa i principi di sicurezza di base e quelli ben collaudati (rif. ISO
13849-2) relativamente all’implementazione dei componenti.

61 / 217
 EN ISO 13849-1
NORME INTERNAZIONALI CONCERNENTI MTTFd E B10d DEI COMPONENTI

62 / 217
 EN ISO 13849-1
PRINCIPI DI SICUREZZA DI BASE – SISTEMI ELETTRICI
(rif. EN ISO 13849-2, App. D, Prospetto D.1)

63 / 217
 EN ISO 13849-1

PRINCIPI DI SICUREZZA DI BASE – SISTEMI ELETTRICI

(rif. EN ISO 13849-2, App. D, Prospetto D.1) continua

64 / 217
 EN ISO 13849-1

PRINCIPI DI SICUREZZA BEN PROVATI – SISTEMI ELETTRICI

(rif. EN ISO 13849-2, App. D, Prospetto D.2)
[PLC di processo, microprocessori, circuiti integrati per applicazioni specifiche non sono componenti ben provati. (all. D, ISO
13849-2)]

65 / 217
 EN ISO 13849-1

PRINCIPI DI SICUREZZA BEN PROVATI – SISTEMI ELETTRICI

(rif. EN ISO 13849-2, App. D, Prospetto D.2) continua

66 / 217
 UNI EN ISO 14119

PRINCIPI DI SICUREZZA BEN PROVATI – SISTEMI ELETTRICI

EN ISO 14119 - MODI DI AZIONAMENTO DEI DISPOSITIVI DI
INTERBLOCCO (tipo 1)

67 / 217
 EN ISO 13849-1

PRINCIPI DI SICUREZZA BEN COLLAUDATI – SISTEMI ELETTRICI

ESEMPIO
Attuazione del modo positivo o apertura forzata (apertura positiva)

Dispositivi: pulsanti di emergenza, funi di emergenza, interruttori di interblocco di sicurezza.

Il pulsante di emergenza deve essere ad apertura forzata: tra il fungo ed il contatto elettrico
elementi rigidi.
Il contatto si deve aprire sempre anche se si rompono i contatti, quindi si può guastare, ma non
in modo pericoloso.
68 / 217
 EN ISO 13849-1

PRINCIPI DI SICUREZZA BEN COLLAUDATI – SISTEMI ELETTRICI

ESEMPIO
Contatti meccanicamente collegati o a guida forzata (mechanically linked)
Dispositivi: contattori di sicurezza (con contatti ausiliari a guida forzata)
Guida forzata significa che i contatti sono collegati tra loro meccanicamente in modo tale che i
contatti NA e NC non possono essere mai chiusi contemporaneamente.
• Contattori di sicurezza (contattori con contatti ausiliari a guida forzata)
Un contattore ausiliario è un componente ben collaudato, secondo la EN ISO 13849-2, se i
contatti sono guidati in senso positivo quando utilizzati per la sorveglianza.
Quando si utilizzano i contatti ausiliari dei contattori degli attuatori di potenza per il circuito
di autocontrollo (circuito di feedback) ad un modulo di sicurezza, i contatti devono essere
del tipo a guida forzata. (Categorie 2, 3 e 4)

69 / 217
 EN ISO 13849-1

COMPONENTI BEN PROVATI (rif. EN ISO 13849-2)

Un "componente ben provato" per un’applicazione legata alla sicurezza è un componente che è stato:
a) ampiamente utilizzato in passato con risultati positivi in applicazioni simili; o
b) realizzato e verificato utilizzando principi che ne dimostrano l’idoneità e l’affidabilità per applicazioni legate
alla sicurezza.
La decisione di accettare un particolare componente come "ben provato" dipende dall’applicazione. Le norme
indicate per i componenti ben provati possono essere usate per dimostrare l’idoneità e l’affidabilità per una
particolare applicazione.

70 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
METODO PER I COMPONENTI IDRAULICI (p.to C.3)
Se i criteri seguenti sono soddisfatti, il valore di MTTFd per un singolo
componente idraulico, per esempio valvola, può essere stimato pari a 150
anni (se nop < 1000000 cicli anno allora per MTTFd vedi tabella precedente)
a) I componenti idraulici sono fabbricati secondo principi di sicurezza di base e ben
provati in conformità alla ISO 13849-2 (scheda tecnica del componente).
b) Il fabbricante del componente idraulico specifica l’applicazione appropriata e le
condizioni operative per l’utilizzatore. Il fabbricante della SRP/CS deve fornire
informazioni concernenti la sua responsabilità nell’applicare principi di sicurezza
di base e ben provati secondo la ISO 13849-2, per l’implementazione e il
funzionamento del componente idraulico.

71 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
CALCOLO DI MTTFd DI COMPONENTI
PNEUMATICI, MECCANICI ED ELETTROMECCANICI DA B10 (p.to C.4)
Per questi componenti può essere difficile calcolare il tempo medio al guasto pericoloso
(MTTFd in anni), spesso i fabbricanti indicano il valore B10d che è correlato ai cicli
dipendenti dall’applicazione quindi alle condizioni di impiego.
Il calcolo di MTTFd da B10d si può effettuare se sono soddisfatti i seguenti criteri:
• componenti fabbricati secondo i principi di sicurezza di base (EN ISO 13849-2)
(vedere scheda tecnica del componente);
• componenti per le categorie da 1 a 4 fabbricati secondo i principi di sicurezza ben
provati (EN ISO 13849-2) (vedere scheda tecnica del componente);
• il fabbricante del componente indica l’applicazione appropriata e le condizioni
operative per l’utilizzatore. Il fabbricante della SRP/CS deve fornire informazioni
concernenti la sua responsabilità nell’applicare principi di sicurezza di base e ben
provati secondo la ISO 13849-2, per l’implementazione e il funzionamento del
componente.
72 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
CALCOLO DI MTTFd DI COMPONENTI
PNEUMATICI, MECCANICI ED ELETTROMECCANICI DA B10 (p.to C.4)
B10 è definito come il numero di cicli in corrispondenza dei quali il 10% dei
componenti presenta dei guasti.
Quindi B10d indica il numero medio di cicli al guasto pericoloso del 10% dei
componenti.
Se il valore B10d non è dato esplicitamente, allora è possibile assumere che la
frazione dei guasti pericolosi sia il 50% del totale. Ciò significa che il numero di cicli
al termine dei quali il 10% dei componenti presenterà un guasto pericoloso è il
doppio del numero di quelli relativi al B10.
B10d = 2⋅B10

73 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
CALCOLO DI MTTFd DI COMPONENTI
PNEUMATICI, MECCANICI ED ELETTROMECCANICI DA B10 (p.to C.4)

nop numero medio di operazioni l’anno effettuate dal componente

dop funzionamento medio, in giorni all’anno

hop funzionamento medio, in ore al giorno
tciclo tempo medio tra l’inizio di due cicli successivi del componente in secondi per
74 / 217
ciclo
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
CALCOLO DI MTTFd DI COMPONENTI
PNEUMATICI, MECCANICI ED ELETTROMECCANICI DA B10 (p.to C.4)
Il tempo di funzionamento di un componente è limitato dal valore di
T10d che è il tempo medio fino al guasto pericoloso del 10% dei componenti.

75 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
Esempio:
Per una valvola pneumatica è dichiarato un B10d di 60 milioni di cicli. La valvola è utilizzata per
due turni al giorno per 220 giorni di funzionamento all’anno. Il tempo medio tra l’inizio di due
commutazioni successive della valvola è stimato in 5 s.
- dop di 220 giorni all’anno;
- hop di 16 h al giorno;
- tciclo di 5 s per ciclo;
- B10d di 60 milioni di cicli.

Ciò determina un MTTFd del componente "alto". Queste ipotesi sono valide solo per un tempo
di funzionamento della valvola limitato di 23,7 anni. 76 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
CALCOLO DI MTTFd DI COMPONENTI
PNEUMATICI, MECCANICI ED ELETTROMECCANICI DA B10 (p.to C.4)

TASSO DI GUASTO PERICOLOSO

77 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
CALCOLO DI MTTFd DI COMPONENTI
PNEUMATICI, MECCANICI ED ELETTROMECCANICI DA B10 (p.to C.4)
L’affidabilità di un componente è comunemente descritta in termini di FAILURE RATE
(percentuale di guasto) indicata con il simbolo λ.
λd per il solo dangerous failure rate (TASSO DI GUASTO PERICOLOSO).
L’unità di misura del λ è il FIT (Failure In Time cioè il numero di guasti su 109
componenti ora)
1 FIT = 10-9 per ora.

Nel software SISTEMA si può calcolare l’MTTFd (in anni) a partire dal tasso di guasto
pericoloso espresso in FIT con la formula:
MTTFd = 1/λd

78 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

CURVA A «VASCA DA BAGNO»

La funzione λ assume solitamente la forma così
detta a “vasca da bagno”.
La maggior parte dei componenti si guasta
all’inizio del tempo di vita (zona iniziale): questi
guasti iniziali dominano per un breve periodo.
I guasti tornano a verificarsi in maniera sensibile
quando il tempo di vita è stato superato (zona
finale), a causa del logoramento dei
componenti.
Nell’intervallo di tempo intermedio si ha un
andamento medio costante della percentuale di
guasto. In questo intervallo sono predominanti
le cause di guasto casuali.

λd si può considerare costante e minimo nel mission time dei componenti 79 / 217
 EN ISO 13849-1

COMPONENTI E APPARECCHIATURE GIA’ CERTIFICATE

Sempre più frequentemente i costruttori certificano i loro componenti assegnando un
Performance Level (in PFH) già sui Data Sheet (moduli di sicurezza, PLC di sicurezza, dispositivi
«incapsulati» in genere). Se questi componenti sono utilizzati in un canale di una SRP/CS, il
PFH dichiarato può essere utilizzato come stima del MTTFd di questa Black Box:

1 1
≅

Caso tipico dei moduli di sicurezza

80 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)
VALORI DI MTTFd PER I COMPONENTI ELETTRICI/ELETTRONICI (p.to C.5)
Dati estratti da database serie SN 29500 (standard industriale).
Per es.: transistor utilizzati come interruttori, possono presentare guasti come cortocircuiti o
interruzioni. Solo una di queste due modalità può essere pericolosa (solo un 50% di guasti
pericolosi), il che significa che l’MTTFd dei componenti è pari a due volte il valore MTTF
indicato.

81 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

(rif. EN ISO 13849-1, All. C e D)

DIFFERENZE TRA TECNOLOGIE

COMPONENTI IDRAULICI  MTTFd grande; logoramento ridotto

MTTFd = 150 anni

COMPONENTI ELETTROMECCANICI E PNEUMATICI  Tempo di logoramento raggiunto

anche all’interno del mission time: non si assegna un MTTFd ma un numero di cicli:
B10d = n.ro medio di operazioni (cicli, interventi, scambi, ecc.) raggiunti prima che il 10% dei
componenti abbia un guasto pericoloso

COMPONENTI ELETTRONICI  Sottoposti a burn in; logoramento ininfluente in condizioni di

lavoro non esasperate
Valori tipici dell’MTTFd pari a migliaia di anni.

82 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd PER SINGOLO COMPONENTE

VALORE SOSTITUTIVO CAUTELATIVO
Se per un componente non si dovessero trovare dati idonei al calcolo la
norma consente di assegnare un MTTFd di 10 anni.
Tale valore è dal punto di vista delle probabilità di guasto assai cautelativo
 Già solo pochi di questi componenti inseriti nel calcolo portano ad un
MTTFd globale < 3 anni cioè inaccettabile.

83 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd DI OGNI CANALE

METODO DELLA CONTA DELLE PARTI
Calcolo dell’MTTFd di ogni canale.
In questo calcolo sono utilizzati i valori di MTTFd di tutti i singoli componenti che
fanno parte del canale.

La prima somma concerne ogni componente separatamente; la seconda somma è

una forma semplificata equivalente, in cui tutti gli nj componenti identici con lo
stesso MTTFdj sono raggruppati insieme.
84 / 217
 EN ISO 13849-1
CALCOLO DEL MTTFd DI OGNI CANALE
METODO DELLA CONTA DELLE PARTI

85 / 217
 EN ISO 13849-1
CALCOLO DEL MTTFd DI OGNI CANALE
SIMMETRIZZAZIONE DI UN SISTEMA MULTI-CANALE
Nelle architetture designate si assume che i diversi canali di una struttura
ridondante abbiano MTTFd uguali. Le architetture designate presuppongono che
per canali diversi in una SRP/CS ridonante, i valori di MTTFd di ogni canale siano
uguali. Se il MTTFd dei canali è diverso, ci sono due possibilità:
- ipotizzando il caso peggiore, si dovrebbe tenere conto del valore più basso;
- la formula seguente può essere utlizzata come una stima di un valore che può
essere sostituito a MTTFd per ogni canale:

Dove MTTFdc1 e MTTFdc2 sono i valori per i due canali ridonanti diversi, ognuno limitato a
un valore massimo di 100 anni (categorie B, 1, 2 e 3) o 2500 anni (categoria 4) prima che si
applichi la formula.

86 / 217
 EN ISO 13849-1

CALCOLO DEL MTTFd DI OGNI CANALE

Al termine del calcolo del MTTFd di ogni canale viene valutato come appartenente a
3 possibili livelli in base alla seguente tabella.
(Per SRP/CS di cat. 4 il valore massimo del MTTFd per ogni canale sale a 2500 anni)

87 / 217
 EN ISO 13849-1

COPERTURA DIAGNOSTICA DCavg (Diagnostic Coverage Average)

COPERTURA DIAGNOSTICA (DC): misura dell’efficacia della diagnostica, che può
essere determinata come il rapporto tra la frequenza dei guasti pericolosi rilevati e la
frequenza dei guasti pericolosi totali.
• In altre parole questo parametro indica quanto il sistema di controllo sia
efficiente nel rilevare per tempo un proprio eventuale malfunzionamento.
• Come MTTFd , è un parametro che può riguardare l’intero sistema legato alla
sicurezza o sue parti. (P.es.: la copertura diagnostica potrebbe riguardare i
sensori e/o il sistema logico e/o elementi finali).
• DCavg è determinato da quanto frequentemente e accuratamente il sistema
esegue una verifica autodiagnostica e da quali misure il sistema prende a seguito
di tali controlli.

88 / 217
 EN ISO 13849-1

COPERTURA DIAGNOSTICA DCavg (Diagnostic Coverage Average)

Per diagnostica si intende la funzione di test eseguita dai componenti di
monitoraggio previsti nelle architetture delle categorie 2, 3 e 4 (segnali m e C)

89 / 217
 EN ISO 13849-1

COPERTURA DIAGNOSTICA DCavg (Diagnostic Coverage Average)

Relativamente all’intero sistema il valore della DC si esprime in quattro livelli e viene
misurata in percentuale.
Il dato finale viene impiegato per il calcolo del PL per il sistema nel complesso.

Un valore della DC < 60% ha solo un lieve effetto sull’affidabilità del sistema
sottoposto a prova ed è pertanto denominato "nessuna".
90 / 217
 EN ISO 13849-1

COPERTURA DIAGNOSTICA DCavg (Diagnostic Coverage Average)

L’esatta definizione discende dalla suddivisione dei guasti in tre categorie:
SAFE (s) FAILURES: guasti che per comportamento automatico portano il sistema in uno stato
sicuro, e non danno origine a situazioni pericolose (contattore non si chiude, valvola non si
apre, ecc.).
DANGEROUS DETECTABLE (dd) FAILURES: guasti potenzialmente pericolosi rilevati da misure
di test o monitoraggio e trasferiti ad uno stato sicuro (contattore incollato segnalato da
contatto ausiliario, e trattato adeguatamente).
DANGEROUS UNDETECTABLE (du) FAILURES: guasti potenzialmente pericolosi non rilevati
(contattore non si apre con mancato arresto del movimento pericoloso).

91 / 217
 EN ISO 13849-1

COPERTURA DIAGNOSTICA DCavg (Diagnostic Coverage Average)

Ma come si ottiene DCavg?
Il calcolo del DC è in sostanza basato sul rapporto tra:

Ed è fornito come una percentuale. Il calcolo si effettua assegnando un DC

ai singoli blocchi componenti il sistema, contando una % = 0 per quei
blocchi che non hanno nessuna copertura diagnostica. Le DC per i singoli
blocchi sono fornite tramite MARKER quantizzati (0%, 60%, 90%, 99%)
nella tabella E1 allegato E della EN ISO 13849-1.

92 / 217
 EN ISO 13849-1
STIMA DI DC DEI SINGOLI BLOCCHI (rif. EN ISO 13849-1, All. E.1)

93 / 217
 EN ISO 13849-1

STIMA DI DC DEI SINGOLI BLOCCHI (rif. EN ISO 13849-1, All. E.1)

ESEMPIO

Verifica di contatti collegati meccanicamente NA e NC:

• Pulsante di emergenza con contatti NA e NC collegato ad un modulo di sicurezza:
DC = 99%
DC = ALTA

94 / 217
 EN ISO 13849-1
STIMA DI DC DEI SINGOLI BLOCCHI (Rif. EN ISO 13849-1, All.E.1)

95 / 217
 EN ISO 13849-1

STIMA DI DC DEI SINGOLI BLOCCHI (rif. EN ISO 13849-1, All. E.1)

96 / 217
 EN ISO 13849-1

STIMA DI DC DEI SINGOLI BLOCCHI (rif. EN ISO 13849-1, All. E.1)

97 / 217
 EN ISO 13849-1

STIMA DI DC DEI SINGOLI BLOCCHI (rif. EN ISO 13849-1, All.E)

ESEMPIO

• n. 2 relè in serie comandati dal modulo di sicurezza che ne controlla 2: DC = 99%

DC = ALTA

98 / 217
 EN ISO 13849-1

STIMA DI DC DEI SINGOLI BLOCCHI (rif. EN ISO 13849-1, All.E)

ESEMPIO

• Tecnologia elettrica: monitoraggio diretto del funzionamento dei contattori degli attuatori di
potenza mediante retroazione di contatti ausiliari meccanicamente collegati (contattori di
sicurezza o contattori con contatti ausiliari a guida forzata)
DC = 99%
DC = ALTA

99 / 217
 EN ISO 13849-1

CALCOLO DEL DC MEDIO (DCavg)

Per la determinazione del PL occorre ricavare una copertura diagnostica media
(DCavg) dell’intero SRP/CS. Tale parametro si ottiene calcolando la media dei DC dei
singoli componenti, ponderata secondo i rispettivi valori di MTTFdi:

NOTA: La formula deriva dalla definizione di DC come rapporto tra la frequenza dei
guasti pericolosi rilevati e la frequenza dei guasti pericolosi totali.

100 / 217
 EN ISO 13849-1

CALCOLO DEL DC MEDIO (DCavg)

In questo metodo semplificato per la stima di DCavg si assegnano valori di DC
caratteristici correlati al tipo di diagnostica impiegata.
I blocchi per i quali è possibile assegnare L’ESCLUSIONE DEL GUASTO non
contribuiscono al DCavg complessivo.
I blocchi senza rilevamento dei guasti (DC = 0) contribuiscono solo al
denominatore di DCavg.

101 / 217
 EN ISO 13849-1

STIMA DEL GUASTO DI CAUSA COMUNE (CCF)

(Common Cause Faillure)
GUASTO DA CAUSA COMUNE (CCF): Guasti di diversi elementi, derivanti da un unico
evento, che non dipendono gli uni dagli altri.
Il parametro CCF stima i guasti per cause comuni definiti come guasti differenti,
riassunti da un singolo evento, dove tali guasti non sono conseguenza uno dell’altro.
CCF rappresenta il grado di indipendenza di funzionamento dei canali di un sistema
ridondante.
In sostanza un CCF è un guasto che procura un funzionamento critico
contemporaneamente su entrambi i canali in un’architettura a doppio canale.
E’ per questo che i CCF vanno valutati solo se si usano sistemi ridondanti.

102 / 217
 EN ISO 13849-1

STIMA DEL GUASTO DI CAUSA COMUNE (CCF)

CCF = grado di INDIPENDENZA DI FUNZIONAMENTO dei canali di un SISTEMA RIDONDANTE.
Cause scatenanti di guasto sono ad esempio:
• Sovratemperature
• Interferenze elettromagnetiche (EMI)
• Difetti di progettazione dei circuiti
• Errori SW (qualora lo stesso SW sia impiegato in entrambi i canali)
• Altri...

103 / 217
 EN ISO 13849-1

STIMA DEL GUASTO DI CAUSA COMUNE

(CCF)

Fattore β indica quanto un CCF specifico può

colpire il singolo canale
CCF % = β * λd
In realtà il calcolo di β non è facilmente
realizzabile per via teorica. La EN 13849-1
riprende un metodo semiempirico basato
sull’esperienza tecnica espresso nella norma
IEC 61508-6 e considera β ≤ 2%.

104 / 217
 EN ISO 13849-1

STIMA DEL GUASTO DI CAUSA COMUNE (CCF)

Nella tab. F.1 della norma EN ISO 13849-1 sono elencate le misure ed i valori associati che
rappresentano il contributo apportato da ogni misura alla riduzione dei guasti da causa
comune.
Per ogni misura elencata, si può dichiarare solo il punteggio pieno o nulla.
Se una misura è soddisfatta solo parzialmente, il punteggio per questa misura è zero.

105 / 217
 EN ISO 13849-1

STIMA DEL GUASTO DI CAUSA COMUNE (CCF)

106 / 217
 EN ISO 13849-1

STIMA DEL GUASTO DI CAUSA COMUNE (CCF)

L’osservanza di ognuno di questi provvedimenti determina un punteggio. Sommando i vari punteggi, si

arriva ad un totale. Le misure contro i CCF sono adeguate se il punteggio complessivo è ≥ 65.

107 / 217
 EN ISO 13849-1

CATEGORIE
CATEGORIA: classificazione delle parti di un sistema di comando legate alla
sicurezza in relazione alla loro resistenza alle avarie e al loro successivo
comportamento nella condizione di avaria, che è conseguita mediante la
disposizione strutturale delle parti, il rilevamento delle avarie e/o la loro affidabilità.
ARCHITETTURE DESIGNATE: rappresentazione tipica in forma di schema a blocchi
legato alla sicurezza (schema logico) di ogni categoria.

• La norma EN ISO 13849-1 considera 5 architetture predefinite dei circuiti di

controllo relativi alla sicurezza che rappresentano le 5 categorie B, 1, 2, 3, 4.

• Le architetture designate possono essere usate anche per descrivere una parte o
una sottoparte del sistema di comando che risponde a segnali di ingresso e
genera segnali d’uscita legati alla sicurezza.

108 / 217
 EN ISO 13849-1
CATEGORIE
La scelta di una categoria per una particolare SRP/CS dipende
principalmente da:
• la riduzione del rischio da conseguire mediante la funzione di sicurezza a
cui la parte contribuisce;
• il livello di prestazione richiesto (PLr);
• le tecnologie utilizzate;
• il rischio che si presenta in caso di una o più avarie in quella parte;
• la possibilità di evitare la(e) avaria(e) in quella parte (avarie
sistematiche);
• la probabilità che si verifichino una o più avarie in quella parte e i
parametri pertinenti;
• il tempo medio al guasto pericoloso (MTTFd);
• la copertura diagnostica (DC); e
• il guasto da causa comune (CCF) nel caso delle categorie 2, 3 e 4.
109 / 217
 EN ISO 13849-1
CAT. REQUISITI
B Principi di sicurezza di base.
Vedi cat. B.
1 Componenti e principi di sicurezza ben provati.
Vedi cat. B e principi di sicurezza ben provati.
La funzione di sicurezza controllata a intervalli
2 opportuni mediante il sistema di comando della
macchina.
Vedi cat. B e principi di sicurezza ben provati.
− una singola avaria in una SRP/CS non porti a
3 una perdita della funzione di sicurezza; e
− ogniqualvolta ragionevolmente fattibile, la
singola avaria sia rilevata.
Vedi cat. B e principi di sicurezza ben provati.
− una singola avaria in una SRP/CS non porti a
una perdita della funzione di sicurezza; e
− la singola avaria sia rilevata durante o prima
4 della successiva richiesta della funzione di
sicurezza ma, se tale rilevamento non è
possibile, l’accumulo di avarie non rilevate
non deve portare alla perdita della funzione di
sicurezza.
COMPORTAMENTO SISTEMA PRINCIPIO
Un’avaria può portare alla perdita della Scelta dei
funzione di sicurezza. componenti
Un’avaria può portare alla perdita della
Scelta dei
funzione di sicurezza, ma la probabilità è
componenti
< di B.
Il verificarsi di un’avaria può portare alla
perdita della funzione di sicurezza tra i
controlli. La perdita della funzione di
Struttura
sicurezza è rilevata dal controllo.
Quando si verifica una singola avaria la
funzione di sicurezza è sempre eseguita.
Alcune ma non tutte le avarie sono
rilevate. L’accumulo di avarie non rilevate
Struttura
può portare alla perdita della funzione di
sicurezza.
Quando si verifica una singola avaria la
funzione di sicurezza è sempre espletata.
Il rilevamento delle avarie accumulate
riduce la probabilità della perdita della Struttura
funzione di sicurezza (DC alta). Le avarie
sono rilevate in tempo per prevenire la
perdita della funzione di sicurezza.
110 / 217
 EN ISO 13849-1

CATEGORIA B
La progettazione e la costruzione della SRP/CS deve rispettare i principi di sicurezza di base in
accordo alla specifica applicazione e le norme pertinenti.

111 / 217
 EN ISO 13849-1

CATEGORIA B: esempio

112 / 217
 EN ISO 13849-1

CATEGORIA 1
Si applicano i requisiti della categoria B, in aggiunta le SRP/CS devono essere progettate e costruite
utilizzando componenti e principi di sicurezza ben provati.

113 / 217
 EN ISO 13849-1

CATEGORIA 1: esempio

114 / 217
 EN ISO 13849-1

CATEGORIA 2
Si applicano i requisiti della categoria B, con aggiunta dei principi di sicurezza ben provati.
Le funzioni di sicurezza devono essere testate (anche in modo automatico):
• all’avvio della macchina,
• prima dell’inizio di qualsiasi situazione pericolosa e/o periodicamente durante il funzionamento.
Tutti i controlli della(e) funzione(i) di sicurezza devono:
• consentire il funzionamento se non si rilevano avarie; oppure
• generare un’uscita che avvii l’azione di comando appropriata in caso di rilevamento di un’avaria.

(Viene introdotto nell’architettura il CONCETTO DI SORVEGLIANZA, cioè il sistema rileva quando la sicurezza
non è garantita.)

115 / 217
 EN ISO 13849-1

CATEGORIA 2

Per PLr = d : l’uscita OTE deve avviare uno stato di sicurezza che è mantenuto fino alla
risoluzione dell’avaria.
Per PLr ≤ c : l’uscita OTE deve dare inizio a uno stato di sicurezza che è mantenuto fino alla
risoluzione dell’avaria ogni qual volta ciò sia fattibile e, se non lo è, può essere
sufficiente che l’uscita dell’attrezzatura di prova OTE segnali il pericolo.

116 / 217
 EN ISO 13849-1

CATEGORIA 2

RILEVAMENTO AVARIE
RAGIONEVOLMENTE REALIZZABILE
(LINEE TRATTEGGIATE)

NOTA: Nel calcolo di MTTFd e DCavg non si considerano i blocchi del canale diagnostico.

117 / 217
 EN ISO 13849-1

CATEGORIA 2: esempio

118 / 217
 EN ISO 13849-1
CATEGORIA 3
Si applicano i requisiti della categoria B, con aggiunta dei principi di sicurezza ben provati.
Un singolo guasto in qualsiasi sua parte NON DEVE comportare la perdita della funzione di sicurezza.
Quando possibile, tale guasto deve essere rilevato durante o prima della successiva richiesta della
funzione di sicurezza.

Il requisito del rilevamento di una singola avaria non significa che tutte le avarie siano rilevate. Di
conseguenza, l’accumulo delle avarie non rilevate può portare ad un’uscita accidentale e a una
situazione pericolosa nella macchina. Tipici esempi di misure attuabili per il rilevamento delle avarie
sono l’utilizzo del feedback (ritorno) dei contatti di relè meccanicamente guidati e la sorveglianza
delle uscite elettriche ridondanti.

119 / 217
 EN ISO 13849-1
CATEGORIA 3

RILEVAMENTO AVARIE
RAGIONEVOLMENTE REALIZZABILE
(LINEE TRATTEGGIATE)

Deve essere soddisfatto

120 / 217
 EN ISO 13849-1

CATEGORIA 3
• Quando si verifica il singolo guasto la funzione di sicurezza viene sempre assicurata
(RIDONDANZA)
• Vengono rilevati alcuni ma non tutti i guasti (SORVEGLIANZA)
• L’accumulo dei guasti non rilevati può portare alla perdita della funzione di sicurezza
Oltre alla sorveglianza viene introdotto nell’architettura il CONCETTO DI RIDONDANZA, cioè in
caso di guasto di un canale la sicurezza è garantita da un altro canale. La perdita della funzione
viene immediatamente rilevata.

121 / 217
 EN ISO 13849-1

CATEGORIA 3: esempio

122 / 217
 EN ISO 13849-1

CATEGORIA 4
Si applicano i requisiti della categoria B, con aggiunta dei principi di sicurezza ben provati.
Un singolo guasto in qualsiasi sua parte NON DEVE comportare la perdita della funzione di
sicurezza.
Il singolo guasto DEVE essere rilevato prima della successiva richiesta della funzione di
sicurezza (p.es.: all’accensione o alla fine del ciclo operativo). Quando ciò non è possibile, la
somma di più guasti non rilevati NON DEVE comunque causare la perdita della funzione di
sicurezza.

123 / 217
 EN ISO 13849-1
CATEGORIA 4

COPERTURA DIAGNOSTICA
SUPERIORE ALLA CATEGORIA 3
(LINEE INTERE)

124 / 217
 EN ISO 13849-1

CATEGORIA 4
• Quando si verifica una singola avaria la funzione di sicurezza è sempre espletata
(RIDONDANZA).
• Il rilevamento delle avarie accumulate riduce la probabilità della perdita della funzione di
sicurezza (DC ALTA).
• Le avarie sono rilevate in tempo per prevenire la perdita della funzione di sicurezza
(SORVEGLIANZA)
I guasti devono essere sistematicamente rilevati  Ad es. anche i sensori su campo devono
essere ridondati e sorvegliati.

125 / 217
 EN ISO 13849-1

CATEGORIA 4: esempio

126 / 217
 EN ISO 13849-1

ESCLUSIONE DEI GUASTI

• In generale, si deve tenere conto dei criteri di avaria seguenti:
− se, in conseguenza di un’avaria, si guastano ulteriori componenti, la prima avaria
insieme a tutte le seguenti deve essere considerata come una singola avaria;
− due o più avarie separate aventi una causa comune devono essere considerate come
una singola avaria (nota come CCF);
− il verificarsi simultaneo di due o più avarie aventi cause separate è considerato
altamente improbabile e non occorre pertanto che sia considerato.

• Non è sempre possibile valutare le SRP/CS senza assumere che determinate

avarie possano essere escluse.
• L’esclusione delle avarie è un compromesso tra i requisiti di sicurezza tecnica e la
possibilità teorica che si verifichi un’avaria.
• Se l’esclusione dei guasti si può applicare, il tempo medio al guasto pericoloso
(MTTFd) e la copertura diagnostica (DC) si possono non considerare per quel
componente.

127 / 217
 EN ISO 13849-1

ESCLUSIONE DEI GUASTI

• La EN ISO 13849-2 elenca i guasti e le avarie importanti per le varie
tecnologie nelle appendici informative.

128 / 217
 EN ISO 13849-1

ESCLUSIONE DEI GUASTI

MICROINTERRUTTORI DI INTERBLOCCO ad apertura positiva utilizzati in modo positivo 
Esclusione del guasto

129 / 217
 EN ISO 13849-1
ESCLUSIONE DEI GUASTI
• La EN ISO 13849-2 elenca i guasti e le avarie importanti per le varie
tecnologie nelle appendici informative.

130 / 217
 EN ISO 13849-1

ESCLUSIONE DEI GUASTI

• La EN ISO 13849-2 elenca i guasti e le avarie importanti per le varie tecnologie nelle
appendici informative.

131 / 217
 EN ISO 13849-1

METODO SEMPLIFICATO PER IL CALCOLO DEL PL

LIMITI DI APPLICABILITA’

Nel metodo semplificato si considera che:

• Il sistema di comando può essere ricondotto ad una delle architetture designate.

• Il tempo di servizio (ciclo di vita previsto o mission time) abbia durata pari a 20 anni.

• Le frequenze di guasto siano costanti entro il tempo di servizio.

• Per la categoria 2,
- la frequenza di richiesta della funzione di sicurezza sia ≤ 1/100 della frequenza di prova
oppure
- la frequenza di richiesta della funzione di sicurezza sia ≤ 1/25 della frequenza di prova (in
questo caso i valori del PFHD della cat. 2 della tab. K.1 della ISO 13849-1 devono essere
degradati moltiplicandoli per 1,1 ed essere utilizzati come stima del caso peggiore)
oppure
- le prove avvengono immediatamente su richiesta della funzione di sicurezza ed il tempo
complessivo per rilevare l’avaria e per condurre la macchina in una condizione di non pericolo
(es. arresto) è < tempo per raggiungere il pericolo (EN ISO 13855).

• Per la categoria 2, l’MTTFd,TE del dispositivo di Test sia > ½ MTTFd del canale funzionale.
132 / 217
 EN ISO 13849-1

METODO SEMPLIFICATO PER IL CALCOLO DEL PL

VERIFICA DEL T10d
Il tempo di funzionamento di un componente è limitato dal valore di
T10d che è il tempo medio fino al guasto pericoloso del 10% dei componenti.
Per alcuni componenti può essere necessaria la sostituzione prima del mission time!
E’ possibile dimostare che il tasso di guasto pericoloso dei componenti rimane
costante solo all’interno di T10d.

133 / 217
 EN ISO 13849-1

METODO SEMPLIFICATO PER IL CALCOLO DEL PL - Grafico

Quando i 4 parametri Categoria, MTTFd, DCavg, CCF sono stati calcolati, facendo
uso del grafico sotto riportato il PL può essere individuato in ordinata tra i 5 possibili
valori a, b, c, d, e. Tale valore va confrontato con il PLr.

134 / 217
 EN ISO 13849-1

METODO SEMPLIFICATO PER IL CALCOLO DEL PL - Tabella

Se la barra dell’MTTFd copre due possibili PL si utilizza la tabella seguente per
determinare il PL.

135 / 217
 EN ISO 13849-1

METODO SEMPLIFICATO PER IL CALCOLO DEL PL – Rappr. numerica

MTTFd

LOW

MED

HIGH

136 / 217
 EN ISO 13849-1

COME SI LEGGE IL GRAFICO – I Passo  categoria

Ipotizziamo una categoria 3

137 / 217
 EN ISO 13849-1

COME SI LEGGE IL GRAFICO – II Passo  MTTFd

Ipotizziamo un MTTFd di 40 anni = alto = verde

138 / 217
 EN ISO 13849-1

COME SI LEGGE IL GRAFICO – III Passo  DCavg

Ipotizziamo un DCavg 80% = basso = colonna «low»

139 / 217
 EN ISO 13849-1
COME SI LEGGE IL GRAFICO – IV Passo  CCF
Per avere una 2° categoria o maggiore, CCF deve essere non inferiore in ogni
caso a 65 punti.

140 / 217
 EN ISO 13849-1

PERFORMANCE LEVEL CALCULATOR (PLC)

Disco per il calcolo del PL realizzato dalla BGIA o German Institute for Occupational
Safety (sotto organizzazione dell’IFA, Institute for Occupational Health and Safety of
the German Social Accident Insurance).

141 / 217
 EN ISO 13849-1
COMBINAZIONE DI SRP/CS PER CONSEGUIRE IL PL GLOBALE
Una funzione di sicurezza può essere realizzata combinando diverse SRP/CS: sistema di
ingresso, unità di elaborazione segnali, sistema di uscita.
Queste SRP/CS possono essere associate a una e/o a diverse categorie.
Per la combinazione di queste SRP/CS, si può identificare un PL globale con il seguente metodo
semplificato che ipotizza un allineamento in serie di N SRP/CSi di cui è noto il relativo PLi.
• Se i PFHDi sono noti allora PFHD globale è la somma dei PFHDi. Il PL è limitato da:
- il PLi più basso e
- il PL corrispondente alla PFHD globale

142 / 217
 EN ISO 13849-1

COMBINAZIONE DI SRP/CS PER CONSEGUIRE IL PL GLOBALE

• Se i PFHDi non sono noti allora il PL globale si calcola con il seguente metodo:
1. Identificare il PLi minimo: PLlow
2. Identificare il numero Nlow ≤ N di SRP/CSi con PLi = PLlow
3. Cercare il PL nella tabella seguente.

143 / 217
 EN ISO 13849-1

COMBINAZIONE DI SRP/CS PER CONSEGUIRE IL PL GLOBALE

ESEMPIO (rif. EN ISO 13849-1, App. H)

144 / 217
 EN ISO 13849-1

COMBINAZIONE DI SRP/CS PER CONSEGUIRE IL PL GLOBALE

ESEMPIO (rif. EN ISO 13849-1, App. H)
Legenda
AOPD Dispositivo optoelettronico a protezione attiva (per esempio raggio di luce),
SRP/CSa: Categoria 2 [Tipo 2], PL = c
E Logica di comando elettronica, SRP/CSb: Categoria 3, PL = d
F Sistema fluidico (valvola direzionale idraulica), SRP/CSc: Categoria 1, PL = c
Fa Azionatore fluidico
H Movimento pericoloso

145 / 217
 EN ISO 13849-1

COMBINAZIONE DI SRP/CS PER CONSEGUIRE IL PL GLOBALE

ESEMPIO (rif. EN ISO 13849-1, App. H)
Sostituzione dello schema precedente con architetture designate

146 / 217
 EN ISO 13849-1

COMBINAZIONE DI SRP/CS PER CONSEGUIRE IL PL GLOBALE

ESEMPIO (rif. EN ISO 13849-1, App. H)

PLlow = c,
Nlow = 2,
PL globale: PL = c

In caso di singola avaria nelle parti di categoria 1 o 2 può verificarsi una perdita
della funzione di sicurezza.

147 / 217
 EN ISO 13849-1

PARTE DI USCITA DELLA SRP/CS (sottosistema attuatore)

Se per componenti meccanici, idraulici, pneumatici o con tecnologie miste non sono disponibili
dati sull’affidabilità  definizione del PL senza calcolo del MTTFD.
RAPPORTO TRA PL CONSEGUIBILE E CATEGORIA

NOTA 1: l’MTTFD del canale diagnostico in cat. 2 deve essere almeno di 10 anni.
NOTA 2: Per le categorie 2, 3, 4 è necessario considerare il CCF e una DC sufficiente (bassa/media per cat. 2, 3 e
alta per cat. 4). In tal caso: DCavg = media aritmetica di tutte la DCi dei componenti del canale funzionale.

148 / 217
 EN ISO 13849-1

PROCESSO ITERATIVO PER LA PROGETTAZIONE DI UN SRP/CS

149 / 217
 EN ISO 13849-1

VERIFICA DEL PL DELLA FUNZIONE DI SICUREZZA

L’obiettivo del progettista in fase di implementazione del sistema di
comando sarà di selezionare dei componenti e verificare con un processo
iterativo che il PL che ha raggiunto raggiunga o superi il PLr

PL ≥ PLr

150 / 217
 EN ISO 13849-1

OSSERVAZIONI: CATEGORIA 2
(rif. PILZ AUTOMATION TECHNOLOGY)
Può essere allentante utilizzare la cat. 2 per raggiungere un PLd (singolo canale = risparmio
componenti e spazio).
Il fattore centrale della cat. 2 è la frequenza di sorveglianza:
• all’avvio
• la funzione di sicurezza deve essere testata almeno 100 volte tra due richieste della
funzione stessa.
In pratica tale frequenza di test è applicabile:
• se utilizzo dispositivi del tipo dinamically self-tested OSSD (Output Signal Switching Device)
di una barriera fotoelettrica di tipo 4.
Non è applicabile per:
• interblocchi elettromeccanici dei ripari perché il test significa attivare l’interblocco per
almeno 100 volte tra richieste successive di apertura del riparo. Inoltre ciò comporterebbe
un aumento dell’usura del componente ed un decremento dell’MTTFd, che è calcolato su
B10d (nop).
E’ più pratico per gli interblocchi elettromeccanici delle porte realizzare PLd con
cat. 3 o 4.

151 / 217
 EN ISO 13849-1

ESEMPI (rif. EN ISO 13849-1, App. I)

Funzione di sicurezza: arresto avviato dall’interblocco di un riparo mobile
Parametri di rischio: S = S2 (grave),
F = F1 (poco frequente/esposizione breve) ESEMPIO A
F = F2 (frequente o continuo/esposizione prolungata) ESEMPIO B
P = P1 (possibile evitare il pericolo)
ESEMPIO A
Livello di prestazione richiesto: PLr = c
PL = c si può conseguire sia con un sistema ad un canale (cat. 1) che con un’architettura ridondante (cat. 2 o 3).

ESEMPIO B
Livello di prestazione richiesto: PLr = d
PL = d si può conseguire con un’architettura ridondante (cat. 2 o 3)

152 / 217
 EN ISO 13849-1

ESEMPIO A (rif. EN ISO 13849-1, App. I)

CIRCUITO A SINGOLO CANALE ELETTROMECCANICO

NOTA: I dettagli funzionali che non contribuiscono alla funzione di sicurezza

dell’interblocco (come interruttori di avvio e di arresto) sono omessi.

153 / 217
 EN ISO 13849-1

ESEMPIO A (rif. EN ISO 13849-1, App. I)

CIRCUITO A SINGOLO CANALE ELETTROMECCANICO

154 / 217
 EN ISO 13849-1

ESEMPIO A (rif. EN ISO 13849-1, App. I)

CIRCUITO A SINGOLO CANALE ELETTROMECCANICO
2° Step : Calcolo di MTTFD
Si supponga che i seguenti valori siano forniti dal fabbricante:
B10D,SW1A = 20 000 000 cicli (interruttore di posizione indipendente dal carico)
B10D,K1A = 400 000 cicli (relé contattore con carico massimo)
Con 220 giorni lavorativi, 8 ore al giorno, tempo di ciclo 60 min si ha:
MTTFD,SW1A = 113 636 anni e MTTFD,K1A = 2 273 anni
Con il metodo della conta delle parti per il canale si ha:
MTTFD = 2 222 anni (limitato a 100 anni) , secondo la tab. 5 è ALTO

Calcolo di T10D:
T10D,SW1A = 11 364 anni e T10D,K1A = 227 anni > tempo di servizio di 20 anni
non c’è l’esigenza di un cambio preventivo.

155 / 217
 EN ISO 13849-1

ESEMPIO A (rif. EN ISO 13849-1, App. I)

CIRCUITO A SINGOLO CANALE ELETTROMECCANICO

Le caratteristiche della cat. 1 sono soddisfatte (SW1A e K1A, dell’esempio, sono

componenti ben provati quando sono implementati secondo la ISO 13849-2 e sono
implementati i principi di sicurezza di base e ben provati)

156 / 217
 EN ISO 13849-1

ESEMPIO A (rif. EN ISO 13849-1, App. I)

CIRCUITO A SINGOLO CANALE ELETTROMECCANICO

ISO 13849-1:2016 Categoria 1 PL c

157 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

158 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

159 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

160 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Valutazione di T10D :

T10D,SW1B = 278 anni

T10D,K1B = 5,5 anni < 20 anni

T10D,SW2 = 13,9 anni < 20 anni

La stima del PL è valida solo se:

K1B è sostituito entro 5,5 anni e

SW2 è sostituito entro 13,9 anni

161 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
3° Step: Calcolo di DCAVG

DCSW1B = DCSW2 = 99% ALTO

(controllo di plausibilità contatti NO e NC dal PLC)

DCK1B = 99% ALTO

(contatti meccanicamente legati sorveglianza diretta del PLC)

DCPLC = 30% NESSUNA

(valore fornito dal fabbricante)(Fornito dal fabbricante)

DCCC = 90% MEDIO

(sorveglianza indiretta tramite RS dell’attuatore mediante
logica di comando)

DCAVG = 67,9% DCAVG = 67,9% = Basso

162 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

163 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

164 / 217
 EN ISO 13849-1

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

165 / 217
 EN ISO 13849-1

GUASTI SISTEMATICI (rif. EN ISO 13849-1 app. G)

E’ un aspetto qualitativo del raggiungimento del PL che può essere dimostrato
mediante l’applicazione delle misure raccomandate per i guasti sistematici.
I dati affidabilistici relativi ai componenti utilizzati per le SRP/CS esprimono il tasso
dei guasti casuali.
I guasti sistematici sono invece quei guasti che si verificano sempre a seguito del
manifestarsi di certe condizioni al contorno (es. vibrazioni eccessive). Derivano da
debolezze strutturali della progettazione del sistema e possono essere eliminati solo
con modifiche proprio alla progettazione e costruzione del SRP/CS.
Es: Per una macchina installata all’aperto con IP insufficiente. Per i guasti elettrici che ho all’interno del
quadro, devo sostituire l’involucro e non sempre i componenti.

166 / 217
 EN ISO 13849-1

GUASTI SISTEMATICI (rif. EN ISO 13849-1 app. G)

Misure per il CONTROLLO DEI GUASTI SISTEMATICI
Misure aggiuntive da applicare (una o più) in funzione della complessità del PLr
(esempi):
• contatti guidati meccanicamente:
assicura che i contatti di monitoraggio degli attuatori siano nella stessa posizione dei contatti di potenza.
• modi di guasto orientati:
l’uso di componenti la cui normale modalità di guasto è quella non pericolosa.
Tassi tipici delle modalità di guasto di componenti con modi di guasto orientati o meno:
1. interruttore con comando ad apertura positiva (es. arresto emergenza):
20% mancata apertura dei contatti ; 80% mancata chiusura dei contatti
2. interruttore meccanico di finecorsa senza apertura forzata:
50% mancata apertura dei contatti ; 50% mancata chiusura dei contatti
• sovradimensionamento:
quando l’affidabilità è influenzata dai limiti di utilizzo, i componenti impiegati possono essere
sovradimensionati per diminuire la probabilità di un loro guasto.
Es.: la mancata apertura dei contatti dei contattori aumenta con l’incremento della corrente che li
attraversa: fattore di sovradimensionamento raccomandato ≥ 1,5.

167 / 217
 EN ISO 13849-1

GUASTI SISTEMATICI (rif. EN ISO 13849-1 app. G)

Misure per EVITARE I GUASTI SISTEMATICI (esempi):
• uso di materiali adeguati e corretta fabbricazione: adeguati alle sollecitazioni,
usura, temperature, corrosione, ecc.
• corretto dimensionamento
• corretta selezione, montaggio ed installazione dei componenti, compreso il
cablaggio e qualsiasi interconnessione: applicare le indicazioni dei costruttori dei
componenti, utilizzarli nei limiti specificati.
Misure aggiuntive da applicare (una o più) in funzione della complessità del PLr
(esempi):
• riesame della progettazione hardware:
verifica, mediante ispezioni, di eventuali discrepanze tra le specifiche di progetto e la realizzazione del
SRP/CS.

168 / 217
 EN ISO 13849-1

SOFTWARE – DEFINIZIONI
SRESW (Safety-Related Embedded Software)
SW di sistema (o SW incorporato) avente funzioni di sicurezza; è parte integrante della fornitura del
fabbricante del sistema di controllo e a cui il costruttore del macchinario non può accedere per apportare
modifiche. Di solito in linguaggio FVL.

FVL (Full Variability Language)

Linguaggio a variabilità completa che offre la possibilità di implementare una vasta gamma di funzioni ed
applicazioni (es. C, C++, assembler)

SRASW (Safety-Related Application Software)

SW applicativo avente funzioni di sicurezza, specifico dell’applicazione realizzato dal fabbricante della
macchina e generalmente contenente sequenze logiche, limiti ed espressioni che comandano gli ingressi
appropriati, le uscite, i calcoli e le decisioni necessari per soddisfare i requisiti delle SRP/CS. Di solito in
LVL.

LVL (Limited Variability Language)

Linguaggio a variabilità limitata che offre la possibilità di combinare funzioni di libreria predefinite,
specifiche per l’applicazione, per implementare le specifiche dei requisiti di sicurezza (es. linguaggio
programmazione PLC)

169 / 217
 EN ISO 13849-1

SRP/CS CON SOFTWARE

REQUISITI DI SICUREZZA DEL SOFTWARE
• I malfunzionamenti dei componenti hardware sono normalmente dovuti a guasti
casuali, mentre gli errori presenti nel software sono sistematici.
• L’unica misura per ridurre la possibilità che il sw che controlla funzioni di sicurezza
porti a comportamenti pericolosi della macchina, è evitare l’introduzione di errori
durante le fasi di sviluppo del sw (scrittura specifiche, progettazione del sw,
modifiche).
• I requisiti per la scrittura del sw hanno come obiettivo quello di disporre di un sw
leggibile, comprensibile, che possa essere sottoposto a prova e manutenzione.
Ovvero i requisiti di sicurezza del sw sono tesi ad evitare la presenza di errori.
• Requisiti più severi per funzioni aventi PL maggiori.

170 / 217
 EN ISO 13849-1

CICLO DI VITA DI SICUREZZA DEL SW: MODELLO A V

171 / 217
 EN ISO 13849-1

ATTIVITA’ E DOCUMENTI NEL CICLO DI VITA DI SICUREZZA DEL SW

172 / 217
 EN ISO 13849-1

SW APPLICATIVO LEGATO ALLA SICUREZZA

REQUISITI FONDAMENTALI

Misure di base per il SRASW per componenti con PLr da «a» ad «e»:

• ciclo di vita dello sviluppo con attività di verifica e validazione (modello a V),

• documentazione di specifica e di progetto,

• programmazione modulare e strutturata,

• presenza di test funzionali,

• appropriate attività di verifica dopo eventuali modifiche.

173 / 217
 EN ISO 13849-1

SW APPLICATIVO LEGATO ALLA SICUREZZA

REQUISITI AVANZATI
Misure aggiuntive per il SRASW per componenti con PLr da «c» ad «e»:
a) la specifica del sw deve essere disponibile, sottoposta a revisione e con descrizione di
specifici elementi;
b) adeguata selezione di strumenti, librerie e linguaggi;
c) la progettazione del sw deve seguire specifiche linee guida (tra cui utilizzo dell’architettura a tre
blocchi: ingressi – elaborazione – uscite).

174 / 217
 EN ISO 13849-1

SW APPLICATIVO LEGATO ALLA SICUREZZA

REQUISITI AVANZATI
Misure aggiuntive per il SRASW per componenti con PLr da «c» ad «e»:
d) quando in un componente sono combinati sw applicativo avente funzioni di sicurezza e sw
senza queste funzioni, non ci deve essere nessuna interferenza (codifica in blocchi funzionali
separati, nessuna combinazione logica tra dati legati alla sicurezza e non);

e) codifica del sw leggibile, comprensibile e verificabile;

f) prove a scatola nera del comportamento funzionale e dei criteri prestazionali (per PL «d» o
«e» prove con valori limite per gli ingressi);

g) documentazione di tutto il ciclo di vita e delle attività di modifica;

h) verifica del codice specifico dell’applicazione e non per i blocchi funzionali di librerie già
validate;
i) gestione della configurazione (gestione dei documenti per ogni versione del SRASW);
j) dopo le modifiche al sw occorre eseguire un’analisi di impatto per assicurare il rispetto
delle specifiche. Le modifiche devono essere verificate e documentate.
175 / 217
 EN ISO 13849-1

PARAMETRIZZAZIONE BASATA SU SOFTWARE

• La parametrizzazione basata sul software dei parametri correlati alla sicurezza
deve essere considerata un aspetto legato alla sicurezza della progettazione
della SRP/CS da descrivere nella specifica del software (es. velocità,
spostamenti massimi, pressioni, temperature, ecc. qualora la loro variazione
al di fuori di limiti o valori predefiniti possa generare situazioni pericolose).
• La parametrizzazione deve essere eseguita utilizzando uno strumento sw
dedicato offerto dal fornitore della SRP/CS che impedisca la modifica non
autorizzata (es. password).
• L’integrità dei dati utilizzati per la parametrizzazione deve essere mantenuta
con una serie di controlli.
• La parametrizzazione basata su sw deve essere verificata con una serie di
attività.

176 / 217
 EN ISO 13849-1

BUS
I blocchi I, L e O delle SRP/CS possono essere collegati mediante bus.
I bus utilizzati come mezzi di interconnessione nelle SRP/CS devono essere conformi
alla CEI EN 61784-3 (Bus di campo per sicurezza funzionale).
Possibili malfunzionamenti anomali dei bus:
corruzione dei dati, perdita di dati, sequenza scorretta, ripetizione indesiderata,
indirizzamento errato, ritardo di trasmissione inaccettabile, mascheratura dei dati di
sicurezza.
Misure per individuare e correggere errori di trasmissione dei dati comprendono:
numerazione delle sequenze, indicazione del tempo di trasmissione, limitazione del
ritardo massimo di trasmissione, autenticazione della connessione, messaggi di
risposta, controlli dell’integrità dei dati.

177 / 217
 EN ISO 13849-1

BUS
A seconda delle misure messe in atto è stimato:
il tasso di errore residuo caratteristico della trasmissione dei dati sul bus = PFHd del
bus

Se: PFHd bus ≤ 1% max PFHd del PLr

allora il tasso di errore residuo dovuto al bus di trasmissione può essere considerato
trascurabile e quindi, di fatto, escludere il guasto dovuto al bus di trasmissione.
Se il bus è conforme alla CEI EN 61874-3 la precedente relazione è sicuramente
soddisfatta.

178 / 217
 EN ISO 13849-1

USO DI EQUIPAGGIAMENTI ELETTRONICI PROGRAMMABILI STANDARD

L’uso di equipaggiamenti elettronici programmabili standard (non progettati per

funzioni di sicurezza) è vietato della EN ISO 13849-1 per la sola cat. 1.

Si potrebbero realizzare le cat. B, 2, 3, 4 con PLC standard, considerando di

utilizzare tecnologie diverse nelle strutture ridondanti.

Le difficoltà nell’uso pratico di questi componenti per le SRP/CS sono:

• la scarsa disponibilità dei dati affidabilistici (p. es. MTTFd),
• il sw di questi componenti dovrebbe soddisfare i requisiti della EN ISO 13849-1.

179 / 217
 PARTE 2
Il Software SISTEMA per il calcolo del PL
IL SW SISTEMA

IFA (Istituto per la Salute e la

Sicurezza sul Lavoro
dell’Assicurazione per gli Incidenti
sul Lavoro in Germania),
corrispettivo Tedesco di INAIL
(ex-ISPESL), ha elaborato il
SW

S.I.S.T.E.M.A.
Safety Integrity Software Tool
for the Evaluation of Machine
Applications
scaricabile gratuitamente per
consentire il calcolo del PL per
una funzione di sicurezza
(La versione italiana è a cura di
ISPESL)
181 / 217
 IL SW SISTEMA

SW SISTEMA
Uno strumento per la valutazione della sicurezza sui sistemi di controllo delle
macchine. Un supporto per l'applicazione della norma EN ISO 13849-1.
Questo strumento consente di creare un modello della struttura realizzata con i
componenti per il sistema di controllo relativo alla sicurezza sulla base
delle architetture designate, permettendo in tal modo di calcolare automaticamente
con diverso livello di dettaglio i parametri di affidabilita', compreso quello del Livello
di Prestazione (PL) ottenuto.

182 / 217
 IL SW SISTEMA

SW SISTEMA
Parametri di base come i parametri del rischio per la determinazione del Livello di
Prestazione (PLr) richiesto, la Categoria, le misure contro i guasti per causa comune
(CCF) su sistemi multicanale, la qualità media dei componenti (MTTFd) e la qualità
media della diagnostica (DCavg) di componenti e blocchi, vengono inseriti passo
passo in schede. Una volta che i dati richiesti sono stati inseriti in SISTEMA, i risultati
sono prodotti e visualizzati istantaneamente. Un vantaggio pratico per l'utente è che
ogni cambiamento di parametro si riflette immediatamente sull'interfaccia utente
insieme al suo impatto sull'intero sistema.
Il tempo da dedicare alla consultazione di tabelle ed al calcolo delle formule (calcolo
del MTTFd per mezzo del metodo della conta delle parti, simmetrizzazione del
MTTFd per ciascun canale, stima del DCavg, calcolo del PFH e PL, ecc.), viene
impiegato dal software. Questo permette di "giocare" con i valori dei parametri
e così di valutare l'effetto globale delle modifiche con uno sforzo minimo.

183 / 217
 Il SW SISTEMA

SW SISTEMA
SISTEMA consente di:
• Importare librerie di costruttori contenenti i parametri necessari per il calcolo
• Eseguire il calcolo
• Emettere il report dell’analisi

184 / 217
 Il SW SISTEMA

SW SISTEMA
Diagramma di flusso:
dalla funzione di sicurezza al PL

185 / 217
 Il SW SISTEMA
SW SISTEMA

SISTEMA riconosce sette diversi tipi di oggetti. Questi possono essere considerati come
i blocchi costruttivi dai quali un progetto viene creato e sono associati secondo la seguente
gerarchia.

186 / 217
 Il SW SISTEMA
NOME OGGETTO DESCRIZIONE ESEMPI
Somma delle funzioni di sicurezza, per esempio su
PROGETTO
una macchina o parte di una macchina, o in un Porta dell’area di lavoro sul tornio XY.
PR punto di pericolo.
FUNZIONE DI
Risposta orientata alla sicurezza determinata da un Arresto operativo di sicurezza quando
SICUREZZA
evento scatenante. una porta di sicurezza viene aperta.
SF
a) Un gruppo di blocchi entro una struttura rigida a) Sottosistema di Categoria 3
(corrisponde alla categoria)

SOTTOSISTEMA
SB
b) Componente di sicurezza con dichiarazione b) PLC di sicurezza
del fabbricante del PL, del PFH e della
Categoria (sistema incapsulato)

Canale funzionale 1

Collegamento di più blocchi in serie; SISTEMA crea

CANALE
sia uno che due canali funzionali, secondo la
CH categoria selezionata.

Canale funzionale 2

187 / 217
 Il SW SISTEMA

NOME OGGETTO DESCRIZIONE ESEMPI

Canale funzionale 1

Collegamento di blocchi in serie per la funzione di

CANALE DI TEST
test; SISTEMA crea un canale di test soltanto per la
TE categoria 2.

Canale di test
PLC di sicurezza
BLOCCO Componente del canale funzionale o del canale di
BL test.

Un blocco che contiene uno o più elementi. Un Contattori, interruttori di posizione,

ELEMENTO valore di B10d può essere inserito solo per gli componenti elettromeccanici, tutti i
EL elementi. componenti con un valore di B10d
fornito dal fabbricante.

188 / 217
 Il SW SISTEMA

SW SISTEMA
SISTEMA ha una struttura gerarchica che scende dal progetto fino al singolo
elemento della catena di comando (quello per il quale in definitiva sono noti i
parametri MTTFd (B10d), DCavg, CCF)

189 / 217
 Il SW SISTEMA

SW SISTEMA
Cat. 3 PL e

Structure Analysis – combinazione di SRP/CS come SOTTOSISTEMI (SB - subsystems):

• Seguire il cammino dei segnali di comando dal punto di attivazione all’attuatore: ogni componente su
ciascun canale funzionale viene rappresentato con un blocco.

• All’interno del singolo canale, il raggruppamento in blocchi è abbastanza arbitrario: ciò non intacca la
validità del calcolo (I, L, O ha solo funzione esplicativa). L’essenziale è il rispetto delle caratteristiche delle
categorie (ridondanza, sorveglianza, componenti ben provati).

• Se l’intero SRP/CS è rappresentabile con un’unica categoria  SRP/CS = SB

• Se l’intero SRP/CS è rappresentato da più SRP/CSi (anche di differenti categorie) collegati in serie 
SRP/CSi = SBi e la SF sarà composta da più SBi, la cui posizione in sequenza non incide sul calcolo del PL.

190 / 217
 Il SW SISTEMA

SW SISTEMA
Realizzare lo schema circuitale della funzione di sicurezza.

191 / 217
 Il SW SISTEMA
SW SISTEMA
Individuare i canali funzionali e di test e realizzare lo schema a blocchi della funzione di
sicurezza.

192 / 217
 Il SW SISTEMA
SW SISTEMA

193 / 217
 Il SW SISTEMA

SW SISTEMA

194 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

195 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Inserimento del Progetto (PR)

196 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Inserimento delle Funzioni di Sicurezza (SF)

197 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO

198 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Definizione del PLr

199 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Inserimento di un sottosistema (è l’SRP/CS che implementa la funzione di sicurezza)

200 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Sottosistemi incapsulati, di cui è noto il PL

201 / 217
 Il SW SISTEMA
ESEMPIO B (rif. EN ISO 13849-1, App. I)
CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Definizione della categoria

202 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Determinazione dell’MTTFd dai blocchi

203 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Determinazione dell’DCavg dai blocchi

204 / 217
Il SW SISTEMA

205 / 217
 Il SW SISTEMA
ESEMPIO B (rif. EN ISO 13849-1, App. I)
CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Inserimento dei blocchi dei canali

206 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Definizione del singolo blocco

207 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Definizione dell’MTTFd del blocco

208 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Definizione dell’DC del blocco

209 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Inserimento degli elementi

Dai siti dei costruttori si possono scaricare

le librerie con i dati degli elementi

210 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Definizione dell’elemento

211 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Determinazione dell’MTTFd da B10d dell’elemento

212 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE
ELETTRICO/ELETTRONICO
Determinazione del B10d con il metodo
delle buone pratiche di ingegneria

213 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Determinazione DC

214 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Determinazione DC

215 / 217
 Il SW SISTEMA

ESEMPIO B (rif. EN ISO 13849-1, App. I)

CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Struttura del progetto completo e verifica del PL calcolato

216 / 217
 Il SW SISTEMA

Numerosi esempi di FUNZIONI DI SICUREZZA sono analizzati nel

documento
BGIA Report 2/2008 Functional safety of machine controls −
Application of EN ISO 13849-1

BG-Institute for Occupational Safety

and Health
Emanazione di IFA

Per questi esempi esistono anche progetti già risolti con SISTEMA

217 / 217