Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Certifico S.r.l.
2022
1 / 217
PARTE 1
La Norma
EN ISO 13849-1:2015
EN ISO 13849-1
3 / 217
EN ISO 13849-1
4 / 217
EN ISO 13849-1
5 / 217
EN ISO 13849-1
RESS 1.2.1 – Allegato I della DIRETTIVA MACCHINE 2006/42/CE
1.2. SISTEMI DI COMANDO
1.2.1. Sicurezza ed affidabilità dei sistemi di comando
(1° par. Requisiti di base per l’affidabilità e la sicurezza dei sistemi di comando)
I sistemi di comando devono essere progettati e costruiti in modo da
evitare l'insorgere di situazioni pericolose.
In ogni caso essi devono essere progettati e costruiti in modo tale che:
− resistano alle previste sollecitazioni di servizio e agli influssi esterni,
− un'avaria nell'hardware o nel software del sistema di comando non crei
situazioni pericolose,
− errori della logica del sistema di comando non creino situazioni
pericolose,
− errori umani ragionevolmente prevedibili nelle manovre non creino
situazioni pericolose.
6 / 217
EN ISO 13849-1
7 / 217
EN ISO 13849-1
8 / 217
EN ISO 13849-1
9 / 217
EN ISO 13849-1
10 / 217
EN ISO 13849-1
TERMINI E DEFINIZIONI
GUASTO: cessazione dell’attitudine di un elemento ad eseguire la funzione
richiesta.
AVARIA: stato di un elemento caratterizzato dall’incapacità di eseguire una
funzione richiesta. Spesso è il risultato di un guasto dell’elemento.
GUASTO PERICOLOSO: guasto che può potenzialmente mettere la SRP/CS
in uno stato pericoloso o di incapacità di funzionare.
11 / 217
EN ISO 13849-1
TERMINI E DEFINIZIONI
DANNO: Lesione fisica o danno alla salute.
PERICOLO: Potenziale sorgente di danno.
SITUAZIONE PERICOLOSA: Circostanza in cui una persona è esposta ad
almeno un pericolo, con l’esposizione avente immediatamente o per un
lungo periodo di tempo il potenziale per risultare in un danno.
RISCHIO: Combinazione della probabilità di accadimento di un danno e
della gravità di quel danno.
RISCHIO RESIDUO: Rischio rimanente dopo l’adozione di misure di
protezione.
12 / 217
EN ISO 13849-1
TERMINI E DEFINIZIONI
USO PREVISTO DI UNA MACCHINA: Uso di una macchina in conformità alle
informazioni fornite nelle istruzioni per l’uso.
USO SCORRETTO RAGIONEVOLMENTE PREVEDIBILE: Uso di una macchina
in un modo non previsto dal progettista ma che può derivare da un
comportamento umano facilmente prevedibile.
13 / 217
EN ISO 13849-1
TERMINI E DEFINIZIONI
SISTEMA DI COMANDO DELLA MACCHINA: Sistema che risponde ai segnali
in ingresso da parti degli elementi della macchina, operatori,
apparecchiature di comando esterne o una loro combinazione e che genera
segnali in uscita per far sì che la macchina si comporti nel modo previsto.
14 / 217
EN ISO 13849-1
15 / 217
EN ISO 13849-1
16 / 217
EN ISO 13849-1
Panoramica del
processo di
RISK
ASSESSMENT
(Valutazione del
rischio)
secondo EN ISO
1200 EN ISO
13849-1
DIR.
2006/42/CE
All. I – Principi
Generali
17 / 217
EN ISO 13849-1
richiesto
ottenuto
Rischio
adeguatament
e ridotto Rischio non
adeguatamente
ridotto
18 / 217
EN ISO 13849-1
• Categoria
• MTTFd
• DC
• CCF
• Guasto sistematico
• Software delle parti legate alla
sicurezza, se esistente 19 / 217
EN ISO 13849-1
20 / 217
EN ISO 13849-1
21 / 217
EN ISO 13849-1
22 / 217
EN ISO 13849-1
23 / 217
EN ISO 13849-1
CEI EN 62061
LIVELLO DI INTEGRITA’ DELLA SICUREZZA
(Safety Integrity Level - SIL):
Livello discreto (uno di quattro possibili) per specificare i requisiti di
integrità della sicurezza delle funzioni di sicurezza da assegnare ai sistemi
E/E/PE legati alla sicurezza, in cui il livello di integrità 4 è il livello massimo
di integrità della sicurezza e il livello 1 è quello minimo.
24 / 217
EN ISO 13849-1
• Parti non complesse progettate secondo il relativo PL in accordo con EN ISO 13849-1
possono essere integrate come sottosistemi in un sistema elettrico progettato secondo la
EN 62061. Ogni parte complessa progettata secondo il relativo PL in accordo con EN ISO
13849-1 può essere integrata in un sistema progettato secondo EN ISO 13849-1.
• Ogni sottosistema non complesso progettato secondo la EN 62061 per il relativo SIL può
essere integrato come parte legata alla sicurezza in una combinazione di SRP/CS
progettate secondo EN ISO 13849-1.
• Ogni sottosistema complesso progettato secondo la IEC 61508 per il relativo SIL può
essere integrato come parte legata alla sicurezza in una combinazione di SRP/CS
progettate secondo EN ISO 13849-1 oppure come sottosistema in un sistema elettrico
progettato secondo la EN 62061.
25 / 217
EN ISO 13849-1
26 / 217
EN ISO 13849-1
27 / 217
EN ISO 13849-1
NOTA:
SIL 4 è per eventi catastrofici nell’industria di processo, non è pertinente per i rischi
delle macchine.
28 / 217
EN ISO 13849-1
29 / 217
EN ISO 13849-1
30 / 217
EN ISO 13849-1
31 / 217
EN ISO 13849-1
32 / 217
EN ISO 13849-1
33 / 217
EN ISO 13849-1
LE FUNZIONI DI SICUREZZA
Con FUNZIONE DI SICUREZZA (SF) si intende «la funzione di una macchina
il cui guasto può determinare un immediato aumento del rischio».
Il progettista (o norme di tipo C) deve identificare le SF necessarie per
conseguire le misure di sicurezza richieste dal sistema di comando per
l’applicazione specifica.
EN ISO 13849-1 fornisce un elenco delle funzioni di sicurezza tipiche con le
relative caratteristiche (art. 5 prospetto 8).
34 / 217
EN ISO 13849-1
35 / 217
EN ISO 13849-1
36 / 217
EN ISO 13849-1
38 / 217
EN ISO 13849-1
FUNZIONE DI AVVIO/RIAVVIO
(rif. EN ISO 13849-1)
Un riavviamento deve aver luogo automaticamente soltanto se non si è in
presenza di una situazione pericolosa.
Ad es. chiudendo un riparo la macchina non deve ripartire. È necessario un
comando intenzionale dell’operatore. (Per i ripari interbloccati con una
funzione di avvio si applica la EN ISO 12100, p.to 6.3.2.5)
39 / 217
EN ISO 13849-1
FUNZIONE DI INIBIZIONE
Per inibizione si intende «l’interruzione automatica e temporanea di una o
più funzioni di sicurezza da parte delle SRP/CS»
L’inibizione non deve portare ad alcuna esposizione delle persone a
situazioni pericolose. Durante l’inibizione devono essere garantite condizioni
di sicurezza con altri mezzi.
Al termine dell’inibizione, tutte le funzioni di sicurezza della SRP/CS devono
essere rispristinate.
40 / 217
EN ISO 13849-1
41 / 217
EN ISO 13849-1
42 / 217
EN ISO 13849-1
43 / 217
EN ISO 13849-1
44 / 217
EN ISO 13849-1
45 / 217
EN ISO 13849-1
46 / 217
EN ISO 13849-1
47 / 217
EN ISO 13849-1
(Il periodo di esposizione dovrebbe essere valutato in base ad una media relativa al tempo
totale con il quale il macchinario è utilizzato. Per esempio, se è necessario raggiungere spesso
l’utensile in lavorazione per delle regolazioni, sarà necessario selezionare F2. Se questo accesso
è saltuario dovrà essere selezionato F1.)
48 / 217
EN ISO 13849-1
49 / 217
EN ISO 13849-1
50 / 217
EN ISO 13849-1
51 / 217
EN ISO 13849-1
52 / 217
EN ISO 13849-1
53 / 217
EN ISO 13849-1
54 / 217
EN ISO 13849-1
DISPOSITIVO DI
TEST
55 / 217
EN ISO 13849-1
56 / 217
EN ISO 13849-1
Il perfomance level di un SRP/CS può essere determinato tramite la stima di alcuni aspetti:
• MTTFs (Mean Time To Failure Dangerous);
• DC (Diagnostic Coverage);
Aspetti quantificabili
• CCF (Common Cause Failure);
• Struttura del sistema;
• Comportamento della funzione di sicurezza anche in condizioni di avaria;
• Software con funzioni di sicurezza;
• Guasti sistematici;
• Abilità nel mantenere la funzione di sicurezza in presenza di determinate condizioni
ambientali.
57 / 217
EN ISO 13849-1
58 / 217
EN ISO 13849-1
59 / 217
EN ISO 13849-1
60 / 217
EN ISO 13849-1
61 / 217
EN ISO 13849-1
NORME INTERNAZIONALI CONCERNENTI MTTFd E B10d DEI COMPONENTI
62 / 217
EN ISO 13849-1
PRINCIPI DI SICUREZZA DI BASE – SISTEMI ELETTRICI
(rif. EN ISO 13849-2, App. D, Prospetto D.1)
63 / 217
EN ISO 13849-1
64 / 217
EN ISO 13849-1
65 / 217
EN ISO 13849-1
66 / 217
UNI EN ISO 14119
67 / 217
EN ISO 13849-1
Il pulsante di emergenza deve essere ad apertura forzata: tra il fungo ed il contatto elettrico
elementi rigidi.
Il contatto si deve aprire sempre anche se si rompono i contatti, quindi si può guastare, ma non
in modo pericoloso.
68 / 217
EN ISO 13849-1
69 / 217
EN ISO 13849-1
70 / 217
EN ISO 13849-1
71 / 217
EN ISO 13849-1
73 / 217
EN ISO 13849-1
75 / 217
EN ISO 13849-1
Ciò determina un MTTFd del componente "alto". Queste ipotesi sono valide solo per un tempo
di funzionamento della valvola limitato di 23,7 anni. 76 / 217
EN ISO 13849-1
77 / 217
EN ISO 13849-1
Nel software SISTEMA si può calcolare l’MTTFd (in anni) a partire dal tasso di guasto
pericoloso espresso in FIT con la formula:
MTTFd = 1/λd
78 / 217
EN ISO 13849-1
λd si può considerare costante e minimo nel mission time dei componenti 79 / 217
EN ISO 13849-1
1 1
≅
80 / 217
EN ISO 13849-1
81 / 217
EN ISO 13849-1
82 / 217
EN ISO 13849-1
83 / 217
EN ISO 13849-1
85 / 217
EN ISO 13849-1
CALCOLO DEL MTTFd DI OGNI CANALE
SIMMETRIZZAZIONE DI UN SISTEMA MULTI-CANALE
Nelle architetture designate si assume che i diversi canali di una struttura
ridondante abbiano MTTFd uguali. Le architetture designate presuppongono che
per canali diversi in una SRP/CS ridonante, i valori di MTTFd di ogni canale siano
uguali. Se il MTTFd dei canali è diverso, ci sono due possibilità:
- ipotizzando il caso peggiore, si dovrebbe tenere conto del valore più basso;
- la formula seguente può essere utlizzata come una stima di un valore che può
essere sostituito a MTTFd per ogni canale:
Dove MTTFdc1 e MTTFdc2 sono i valori per i due canali ridonanti diversi, ognuno limitato a
un valore massimo di 100 anni (categorie B, 1, 2 e 3) o 2500 anni (categoria 4) prima che si
applichi la formula.
86 / 217
EN ISO 13849-1
87 / 217
EN ISO 13849-1
88 / 217
EN ISO 13849-1
89 / 217
EN ISO 13849-1
Un valore della DC < 60% ha solo un lieve effetto sull’affidabilità del sistema
sottoposto a prova ed è pertanto denominato "nessuna".
90 / 217
EN ISO 13849-1
91 / 217
EN ISO 13849-1
92 / 217
EN ISO 13849-1
STIMA DI DC DEI SINGOLI BLOCCHI (rif. EN ISO 13849-1, All. E.1)
93 / 217
EN ISO 13849-1
94 / 217
EN ISO 13849-1
STIMA DI DC DEI SINGOLI BLOCCHI (Rif. EN ISO 13849-1, All.E.1)
95 / 217
EN ISO 13849-1
96 / 217
EN ISO 13849-1
97 / 217
EN ISO 13849-1
98 / 217
EN ISO 13849-1
• Tecnologia elettrica: monitoraggio diretto del funzionamento dei contattori degli attuatori di
potenza mediante retroazione di contatti ausiliari meccanicamente collegati (contattori di
sicurezza o contattori con contatti ausiliari a guida forzata)
DC = 99%
DC = ALTA
99 / 217
EN ISO 13849-1
NOTA: La formula deriva dalla definizione di DC come rapporto tra la frequenza dei
guasti pericolosi rilevati e la frequenza dei guasti pericolosi totali.
100 / 217
EN ISO 13849-1
101 / 217
EN ISO 13849-1
102 / 217
EN ISO 13849-1
103 / 217
EN ISO 13849-1
104 / 217
EN ISO 13849-1
105 / 217
EN ISO 13849-1
106 / 217
EN ISO 13849-1
107 / 217
EN ISO 13849-1
CATEGORIE
CATEGORIA: classificazione delle parti di un sistema di comando legate alla
sicurezza in relazione alla loro resistenza alle avarie e al loro successivo
comportamento nella condizione di avaria, che è conseguita mediante la
disposizione strutturale delle parti, il rilevamento delle avarie e/o la loro affidabilità.
ARCHITETTURE DESIGNATE: rappresentazione tipica in forma di schema a blocchi
legato alla sicurezza (schema logico) di ogni categoria.
• Le architetture designate possono essere usate anche per descrivere una parte o
una sottoparte del sistema di comando che risponde a segnali di ingresso e
genera segnali d’uscita legati alla sicurezza.
108 / 217
EN ISO 13849-1
CATEGORIE
La scelta di una categoria per una particolare SRP/CS dipende
principalmente da:
• la riduzione del rischio da conseguire mediante la funzione di sicurezza a
cui la parte contribuisce;
• il livello di prestazione richiesto (PLr);
• le tecnologie utilizzate;
• il rischio che si presenta in caso di una o più avarie in quella parte;
• la possibilità di evitare la(e) avaria(e) in quella parte (avarie
sistematiche);
• la probabilità che si verifichino una o più avarie in quella parte e i
parametri pertinenti;
• il tempo medio al guasto pericoloso (MTTFd);
• la copertura diagnostica (DC); e
• il guasto da causa comune (CCF) nel caso delle categorie 2, 3 e 4.
109 / 217
EN ISO 13849-1
CATEGORIA B
La progettazione e la costruzione della SRP/CS deve rispettare i principi di sicurezza di base in
accordo alla specifica applicazione e le norme pertinenti.
111 / 217
EN ISO 13849-1
CATEGORIA B: esempio
112 / 217
EN ISO 13849-1
CATEGORIA 1
Si applicano i requisiti della categoria B, in aggiunta le SRP/CS devono essere progettate e costruite
utilizzando componenti e principi di sicurezza ben provati.
113 / 217
EN ISO 13849-1
CATEGORIA 1: esempio
114 / 217
EN ISO 13849-1
CATEGORIA 2
Si applicano i requisiti della categoria B, con aggiunta dei principi di sicurezza ben provati.
Le funzioni di sicurezza devono essere testate (anche in modo automatico):
• all’avvio della macchina,
• prima dell’inizio di qualsiasi situazione pericolosa e/o periodicamente durante il funzionamento.
Tutti i controlli della(e) funzione(i) di sicurezza devono:
• consentire il funzionamento se non si rilevano avarie; oppure
• generare un’uscita che avvii l’azione di comando appropriata in caso di rilevamento di un’avaria.
(Viene introdotto nell’architettura il CONCETTO DI SORVEGLIANZA, cioè il sistema rileva quando la sicurezza
non è garantita.)
115 / 217
EN ISO 13849-1
CATEGORIA 2
Per PLr = d : l’uscita OTE deve avviare uno stato di sicurezza che è mantenuto fino alla
risoluzione dell’avaria.
Per PLr ≤ c : l’uscita OTE deve dare inizio a uno stato di sicurezza che è mantenuto fino alla
risoluzione dell’avaria ogni qual volta ciò sia fattibile e, se non lo è, può essere
sufficiente che l’uscita dell’attrezzatura di prova OTE segnali il pericolo.
116 / 217
EN ISO 13849-1
CATEGORIA 2
RILEVAMENTO AVARIE
RAGIONEVOLMENTE REALIZZABILE
(LINEE TRATTEGGIATE)
NOTA: Nel calcolo di MTTFd e DCavg non si considerano i blocchi del canale diagnostico.
117 / 217
EN ISO 13849-1
CATEGORIA 2: esempio
118 / 217
EN ISO 13849-1
CATEGORIA 3
Si applicano i requisiti della categoria B, con aggiunta dei principi di sicurezza ben provati.
Un singolo guasto in qualsiasi sua parte NON DEVE comportare la perdita della funzione di sicurezza.
Quando possibile, tale guasto deve essere rilevato durante o prima della successiva richiesta della
funzione di sicurezza.
Il requisito del rilevamento di una singola avaria non significa che tutte le avarie siano rilevate. Di
conseguenza, l’accumulo delle avarie non rilevate può portare ad un’uscita accidentale e a una
situazione pericolosa nella macchina. Tipici esempi di misure attuabili per il rilevamento delle avarie
sono l’utilizzo del feedback (ritorno) dei contatti di relè meccanicamente guidati e la sorveglianza
delle uscite elettriche ridondanti.
119 / 217
EN ISO 13849-1
CATEGORIA 3
RILEVAMENTO AVARIE
RAGIONEVOLMENTE REALIZZABILE
(LINEE TRATTEGGIATE)
120 / 217
EN ISO 13849-1
CATEGORIA 3
• Quando si verifica il singolo guasto la funzione di sicurezza viene sempre assicurata
(RIDONDANZA)
• Vengono rilevati alcuni ma non tutti i guasti (SORVEGLIANZA)
• L’accumulo dei guasti non rilevati può portare alla perdita della funzione di sicurezza
Oltre alla sorveglianza viene introdotto nell’architettura il CONCETTO DI RIDONDANZA, cioè in
caso di guasto di un canale la sicurezza è garantita da un altro canale. La perdita della funzione
viene immediatamente rilevata.
121 / 217
EN ISO 13849-1
CATEGORIA 3: esempio
122 / 217
EN ISO 13849-1
CATEGORIA 4
Si applicano i requisiti della categoria B, con aggiunta dei principi di sicurezza ben provati.
Un singolo guasto in qualsiasi sua parte NON DEVE comportare la perdita della funzione di
sicurezza.
Il singolo guasto DEVE essere rilevato prima della successiva richiesta della funzione di
sicurezza (p.es.: all’accensione o alla fine del ciclo operativo). Quando ciò non è possibile, la
somma di più guasti non rilevati NON DEVE comunque causare la perdita della funzione di
sicurezza.
123 / 217
EN ISO 13849-1
CATEGORIA 4
COPERTURA DIAGNOSTICA
SUPERIORE ALLA CATEGORIA 3
(LINEE INTERE)
124 / 217
EN ISO 13849-1
CATEGORIA 4
• Quando si verifica una singola avaria la funzione di sicurezza è sempre espletata
(RIDONDANZA).
• Il rilevamento delle avarie accumulate riduce la probabilità della perdita della funzione di
sicurezza (DC ALTA).
• Le avarie sono rilevate in tempo per prevenire la perdita della funzione di sicurezza
(SORVEGLIANZA)
I guasti devono essere sistematicamente rilevati Ad es. anche i sensori su campo devono
essere ridondati e sorvegliati.
125 / 217
EN ISO 13849-1
CATEGORIA 4: esempio
126 / 217
EN ISO 13849-1
127 / 217
EN ISO 13849-1
128 / 217
EN ISO 13849-1
129 / 217
EN ISO 13849-1
ESCLUSIONE DEI GUASTI
• La EN ISO 13849-2 elenca i guasti e le avarie importanti per le varie
tecnologie nelle appendici informative.
130 / 217
EN ISO 13849-1
131 / 217
EN ISO 13849-1
• Il tempo di servizio (ciclo di vita previsto o mission time) abbia durata pari a 20 anni.
• Per la categoria 2,
- la frequenza di richiesta della funzione di sicurezza sia ≤ 1/100 della frequenza di prova
oppure
- la frequenza di richiesta della funzione di sicurezza sia ≤ 1/25 della frequenza di prova (in
questo caso i valori del PFHD della cat. 2 della tab. K.1 della ISO 13849-1 devono essere
degradati moltiplicandoli per 1,1 ed essere utilizzati come stima del caso peggiore)
oppure
- le prove avvengono immediatamente su richiesta della funzione di sicurezza ed il tempo
complessivo per rilevare l’avaria e per condurre la macchina in una condizione di non pericolo
(es. arresto) è < tempo per raggiungere il pericolo (EN ISO 13855).
• Per la categoria 2, l’MTTFd,TE del dispositivo di Test sia > ½ MTTFd del canale funzionale.
132 / 217
EN ISO 13849-1
133 / 217
EN ISO 13849-1
134 / 217
EN ISO 13849-1
135 / 217
EN ISO 13849-1
MTTFd
LOW
MED
HIGH
136 / 217
EN ISO 13849-1
137 / 217
EN ISO 13849-1
138 / 217
EN ISO 13849-1
139 / 217
EN ISO 13849-1
COME SI LEGGE IL GRAFICO – IV Passo CCF
Per avere una 2° categoria o maggiore, CCF deve essere non inferiore in ogni
caso a 65 punti.
140 / 217
EN ISO 13849-1
141 / 217
EN ISO 13849-1
COMBINAZIONE DI SRP/CS PER CONSEGUIRE IL PL GLOBALE
Una funzione di sicurezza può essere realizzata combinando diverse SRP/CS: sistema di
ingresso, unità di elaborazione segnali, sistema di uscita.
Queste SRP/CS possono essere associate a una e/o a diverse categorie.
Per la combinazione di queste SRP/CS, si può identificare un PL globale con il seguente metodo
semplificato che ipotizza un allineamento in serie di N SRP/CSi di cui è noto il relativo PLi.
• Se i PFHDi sono noti allora PFHD globale è la somma dei PFHDi. Il PL è limitato da:
- il PLi più basso e
- il PL corrispondente alla PFHD globale
142 / 217
EN ISO 13849-1
143 / 217
EN ISO 13849-1
144 / 217
EN ISO 13849-1
145 / 217
EN ISO 13849-1
146 / 217
EN ISO 13849-1
PLlow = c,
Nlow = 2,
PL globale: PL = c
In caso di singola avaria nelle parti di categoria 1 o 2 può verificarsi una perdita
della funzione di sicurezza.
147 / 217
EN ISO 13849-1
NOTA 1: l’MTTFD del canale diagnostico in cat. 2 deve essere almeno di 10 anni.
NOTA 2: Per le categorie 2, 3, 4 è necessario considerare il CCF e una DC sufficiente (bassa/media per cat. 2, 3 e
alta per cat. 4). In tal caso: DCavg = media aritmetica di tutte la DCi dei componenti del canale funzionale.
148 / 217
EN ISO 13849-1
149 / 217
EN ISO 13849-1
PL ≥ PLr
150 / 217
EN ISO 13849-1
OSSERVAZIONI: CATEGORIA 2
(rif. PILZ AUTOMATION TECHNOLOGY)
Può essere allentante utilizzare la cat. 2 per raggiungere un PLd (singolo canale = risparmio
componenti e spazio).
Il fattore centrale della cat. 2 è la frequenza di sorveglianza:
• all’avvio
• la funzione di sicurezza deve essere testata almeno 100 volte tra due richieste della
funzione stessa.
In pratica tale frequenza di test è applicabile:
• se utilizzo dispositivi del tipo dinamically self-tested OSSD (Output Signal Switching Device)
di una barriera fotoelettrica di tipo 4.
Non è applicabile per:
• interblocchi elettromeccanici dei ripari perché il test significa attivare l’interblocco per
almeno 100 volte tra richieste successive di apertura del riparo. Inoltre ciò comporterebbe
un aumento dell’usura del componente ed un decremento dell’MTTFd, che è calcolato su
B10d (nop).
E’ più pratico per gli interblocchi elettromeccanici delle porte realizzare PLd con
cat. 3 o 4.
151 / 217
EN ISO 13849-1
ESEMPIO B
Livello di prestazione richiesto: PLr = d
PL = d si può conseguire con un’architettura ridondante (cat. 2 o 3)
152 / 217
EN ISO 13849-1
153 / 217
EN ISO 13849-1
154 / 217
EN ISO 13849-1
Calcolo di T10D:
T10D,SW1A = 11 364 anni e T10D,K1A = 227 anni > tempo di servizio di 20 anni
non c’è l’esigenza di un cambio preventivo.
155 / 217
EN ISO 13849-1
156 / 217
EN ISO 13849-1
157 / 217
EN ISO 13849-1
158 / 217
EN ISO 13849-1
159 / 217
EN ISO 13849-1
160 / 217
EN ISO 13849-1
161 / 217
EN ISO 13849-1
162 / 217
EN ISO 13849-1
163 / 217
EN ISO 13849-1
164 / 217
EN ISO 13849-1
165 / 217
EN ISO 13849-1
166 / 217
EN ISO 13849-1
167 / 217
EN ISO 13849-1
168 / 217
EN ISO 13849-1
SOFTWARE – DEFINIZIONI
SRESW (Safety-Related Embedded Software)
SW di sistema (o SW incorporato) avente funzioni di sicurezza; è parte integrante della fornitura del
fabbricante del sistema di controllo e a cui il costruttore del macchinario non può accedere per apportare
modifiche. Di solito in linguaggio FVL.
169 / 217
EN ISO 13849-1
170 / 217
EN ISO 13849-1
171 / 217
EN ISO 13849-1
172 / 217
EN ISO 13849-1
Misure di base per il SRASW per componenti con PLr da «a» ad «e»:
• ciclo di vita dello sviluppo con attività di verifica e validazione (modello a V),
173 / 217
EN ISO 13849-1
174 / 217
EN ISO 13849-1
176 / 217
EN ISO 13849-1
BUS
I blocchi I, L e O delle SRP/CS possono essere collegati mediante bus.
I bus utilizzati come mezzi di interconnessione nelle SRP/CS devono essere conformi
alla CEI EN 61784-3 (Bus di campo per sicurezza funzionale).
Possibili malfunzionamenti anomali dei bus:
corruzione dei dati, perdita di dati, sequenza scorretta, ripetizione indesiderata,
indirizzamento errato, ritardo di trasmissione inaccettabile, mascheratura dei dati di
sicurezza.
Misure per individuare e correggere errori di trasmissione dei dati comprendono:
numerazione delle sequenze, indicazione del tempo di trasmissione, limitazione del
ritardo massimo di trasmissione, autenticazione della connessione, messaggi di
risposta, controlli dell’integrità dei dati.
177 / 217
EN ISO 13849-1
BUS
A seconda delle misure messe in atto è stimato:
il tasso di errore residuo caratteristico della trasmissione dei dati sul bus = PFHd del
bus
178 / 217
EN ISO 13849-1
179 / 217
PARTE 2
Il Software SISTEMA per il calcolo del PL
IL SW SISTEMA
S.I.S.T.E.M.A.
Safety Integrity Software Tool
for the Evaluation of Machine
Applications
scaricabile gratuitamente per
consentire il calcolo del PL per
una funzione di sicurezza
(La versione italiana è a cura di
ISPESL)
181 / 217
IL SW SISTEMA
SW SISTEMA
Uno strumento per la valutazione della sicurezza sui sistemi di controllo delle
macchine. Un supporto per l'applicazione della norma EN ISO 13849-1.
Questo strumento consente di creare un modello della struttura realizzata con i
componenti per il sistema di controllo relativo alla sicurezza sulla base
delle architetture designate, permettendo in tal modo di calcolare automaticamente
con diverso livello di dettaglio i parametri di affidabilita', compreso quello del Livello
di Prestazione (PL) ottenuto.
182 / 217
IL SW SISTEMA
SW SISTEMA
Parametri di base come i parametri del rischio per la determinazione del Livello di
Prestazione (PLr) richiesto, la Categoria, le misure contro i guasti per causa comune
(CCF) su sistemi multicanale, la qualità media dei componenti (MTTFd) e la qualità
media della diagnostica (DCavg) di componenti e blocchi, vengono inseriti passo
passo in schede. Una volta che i dati richiesti sono stati inseriti in SISTEMA, i risultati
sono prodotti e visualizzati istantaneamente. Un vantaggio pratico per l'utente è che
ogni cambiamento di parametro si riflette immediatamente sull'interfaccia utente
insieme al suo impatto sull'intero sistema.
Il tempo da dedicare alla consultazione di tabelle ed al calcolo delle formule (calcolo
del MTTFd per mezzo del metodo della conta delle parti, simmetrizzazione del
MTTFd per ciascun canale, stima del DCavg, calcolo del PFH e PL, ecc.), viene
impiegato dal software. Questo permette di "giocare" con i valori dei parametri
e così di valutare l'effetto globale delle modifiche con uno sforzo minimo.
183 / 217
Il SW SISTEMA
SW SISTEMA
SISTEMA consente di:
• Importare librerie di costruttori contenenti i parametri necessari per il calcolo
• Eseguire il calcolo
• Emettere il report dell’analisi
184 / 217
Il SW SISTEMA
SW SISTEMA
Diagramma di flusso:
dalla funzione di sicurezza al PL
185 / 217
Il SW SISTEMA
SW SISTEMA
SISTEMA riconosce sette diversi tipi di oggetti. Questi possono essere considerati come
i blocchi costruttivi dai quali un progetto viene creato e sono associati secondo la seguente
gerarchia.
186 / 217
Il SW SISTEMA
NOME OGGETTO DESCRIZIONE ESEMPI
Somma delle funzioni di sicurezza, per esempio su
PROGETTO
una macchina o parte di una macchina, o in un Porta dell’area di lavoro sul tornio XY.
PR punto di pericolo.
FUNZIONE DI
Risposta orientata alla sicurezza determinata da un Arresto operativo di sicurezza quando
SICUREZZA
evento scatenante. una porta di sicurezza viene aperta.
SF
a) Un gruppo di blocchi entro una struttura rigida a) Sottosistema di Categoria 3
(corrisponde alla categoria)
SOTTOSISTEMA
SB
b) Componente di sicurezza con dichiarazione b) PLC di sicurezza
del fabbricante del PL, del PFH e della
Categoria (sistema incapsulato)
Canale funzionale 1
Canale funzionale 2
187 / 217
Il SW SISTEMA
Canale di test
PLC di sicurezza
BLOCCO Componente del canale funzionale o del canale di
BL test.
188 / 217
Il SW SISTEMA
SW SISTEMA
SISTEMA ha una struttura gerarchica che scende dal progetto fino al singolo
elemento della catena di comando (quello per il quale in definitiva sono noti i
parametri MTTFd (B10d), DCavg, CCF)
189 / 217
Il SW SISTEMA
SW SISTEMA
Cat. 3 PL e
• All’interno del singolo canale, il raggruppamento in blocchi è abbastanza arbitrario: ciò non intacca la
validità del calcolo (I, L, O ha solo funzione esplicativa). L’essenziale è il rispetto delle caratteristiche delle
categorie (ridondanza, sorveglianza, componenti ben provati).
• Se l’intero SRP/CS è rappresentato da più SRP/CSi (anche di differenti categorie) collegati in serie
SRP/CSi = SBi e la SF sarà composta da più SBi, la cui posizione in sequenza non incide sul calcolo del PL.
190 / 217
Il SW SISTEMA
SW SISTEMA
Realizzare lo schema circuitale della funzione di sicurezza.
191 / 217
Il SW SISTEMA
SW SISTEMA
Individuare i canali funzionali e di test e realizzare lo schema a blocchi della funzione di
sicurezza.
192 / 217
Il SW SISTEMA
SW SISTEMA
193 / 217
Il SW SISTEMA
SW SISTEMA
194 / 217
Il SW SISTEMA
195 / 217
Il SW SISTEMA
196 / 217
Il SW SISTEMA
197 / 217
Il SW SISTEMA
198 / 217
Il SW SISTEMA
199 / 217
Il SW SISTEMA
200 / 217
Il SW SISTEMA
201 / 217
Il SW SISTEMA
ESEMPIO B (rif. EN ISO 13849-1, App. I)
CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Definizione della categoria
202 / 217
Il SW SISTEMA
203 / 217
Il SW SISTEMA
204 / 217
Il SW SISTEMA
205 / 217
Il SW SISTEMA
ESEMPIO B (rif. EN ISO 13849-1, App. I)
CIRCUITO RIDONDANTE ELETTRICO/ELETTRONICO
Inserimento dei blocchi dei canali
206 / 217
Il SW SISTEMA
207 / 217
Il SW SISTEMA
208 / 217
Il SW SISTEMA
209 / 217
Il SW SISTEMA
210 / 217
Il SW SISTEMA
211 / 217
Il SW SISTEMA
212 / 217
Il SW SISTEMA
213 / 217
Il SW SISTEMA
214 / 217
Il SW SISTEMA
215 / 217
Il SW SISTEMA
216 / 217
Il SW SISTEMA
Per questi esempi esistono anche progetti già risolti con SISTEMA
217 / 217