UNI EN ISO 13849-1: i circuiti di comando e la sicurezza sulle macchine

Angelo Maggioni

Quadra S.r.l. www.quadrasrl.net

Allegato I, Direttiva 2006/42/CE

Sicurezza ed affidabilit dei sistemi di comando (1.2.1)
I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che: resistano alle previste sollecitazioni di servizio e agli influssi esterni, un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose, errori della logica del sistema di comando non creino situazioni pericolose, errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose.

Proroga norma UNI EN 954-1:1998

Con la Comunicazione della Commissione nellambito dellapplicazione della direttiva 2006/42/CE del Parlamento europeo e del Consiglio, relativa alle macchine e che modifica la direttiva 95/16/CE (rifusione) 2009/C 321/09, pubblicata sulla Gazzetta ufficiale dellUnione europea C 321 del 29/12/2009, stata prolungata la data di cessazione della presunzione di conformit della norma UNI EN 954-1:1998 (inizialmente prevista per il 28/12/2009) al 31/12/2011.

Norme armonizzate
UNI EN ISO 13849-1 (2008): Sicurezza del macchinario. Parti dei sistemi di comando legate alla sicurezza. Parte 1: principi generali per la progettazione. CEI EN 62061 (2005): Sicurezza del macchinario. Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza.

PL

SIL

Applicazione raccomandata delle norme CEI EN 62061 & UNI EN ISO 13849-1

Definizioni
UNI EN ISO 13849-1 Parte del sistema di comando correlata alla sicurezza SRP/CS (Safety Related part of Control System) Parte di un sistema di comando che risponde a segnali di ingresso legati alla sicurezza e genera dei corrispondenti segnali di uscita legati alla sicurezza Guasto pericoloso (Dangerous failure) Guasto che pu potenzialmente portare la SRP/CS in uno stato pericoloso o non in grado di effettuare la sua funzione. Livello di prestazione PL (Performance Level) Livello discreto usato per specificare labilit di un sistema di comando legato alla sicurezza di effettuare una funzione di sicurezza in determinate condizioni Livello di prestazione richiesto PLr (required Performance Level) Livello di prestazione (PL) applicato in modo da raggiungere i requisiti richiesti per quanto riguarda la riduzione dei rischi

Processo iterativo per la progettazione della SRP/CS UNI EN ISO 13849-1

Misure protettive per la riduzione del rischio

UNI EN ISO 13849-1

Le misure protettive per la riduzione del rischio che dovrebbero essere applicate sono:
riduzione della probabilit di guasti a livello dei componenti; lo scopo quello di ridurre la probabilit di guasti che possano compromettere le funzioni di sicurezza; ci pu essere fatto aumentando laffidabilit dei componenti, per esempio con la selezione di componenti testati o progettati secondo metodologie comprovate in modo da ridurre o escludere guasti critici miglioramento della struttura della SRP/CS; lo scopo quello di evitare gli effetti pericolosi di un guasto; per questo scopo pu essere utile lutilizzo di una struttura ridondante e/o monitorata

Entrambe queste soluzioni possono essere applicate singolarmente o in modo combinato

Funzioni di sicurezza
UNI EN ISO 13849-1 5

PL richiesto (PLr)
Per ogni funzione di sicurezza che deve essere svolta da una SRP/CS, si deve determinare e documentare un livello di prestazione richiesto (PLr). La determinazione del PLr il risultato della valutazione dei rischi e si riferisce allentit della riduzione del rischio a carico delle parti del sistema di comando legate alla sicurezza. Quanto maggiore lentit della riduzione del rischio richiesta da parte della SRP/CS, tanto pi elevato deve essere il PLr. La valutazione del rischio prende in considerazione una situazione precedente alla messa in atto della funzione di sicurezza prevista; la riduzione del rischio mediante altre misure tecniche indipendenti dal sistema di comando (per esempio ripari fissi) o funzioni di sicurezza aggiuntive, pu essere considerata nella determinazione del PLr.

10

Grafico per la determinazione del PLr per la funzione di sicurezza

UNI EN ISO 13849-1 Allegato A

11

Stima del PL
UNI EN ISO 13849-1

Il PL della SRP/CS deve essere determinato stimando i seguenti aspetti: MTTFd di ciascun componente [appendici C e D]; DC (copertura diagnostica) [appendice E]; architettura e comportamento della funzione di sicurezza in condizioni di avaria [punto 6]; CCF (guasti di causa comune) [appendice F]; software legato alla sicurezza [punto 4.6 e appendice J]; guasti sistematici [appendice G]; capacit di eseguire la funzione di sicurezza nelle condizioni ambientali previste.

12

Tempo medio ad un guasto pericoloso (MTTFd)

UNI EN ISO 13849-1

Il valore del MTTFd per ogni canale espresso in tre livelli (vedi tabella); dovrebbero essere tenuti in considerazione i valori di ogni canale preso singolarmente (ad esempio singolo canale oppure ogni canale di un sistema ridondante). Per il MTTFd, viene preso in considerazione un tempo massimo di 100 anni.

13

Tempo medio ad un guasto pericoloso (MTTFd)

UNI EN ISO 13849-1

Per la stima del MTTFd di un componente, si possono utilizzare, nellordine dato, i seguenti criteri: utilizzare i dati forniti dal costruttore; utilizzare i metodi esposti in allegato C ed in allegato D; scegliere un tempo di 10 anni.

14

Norme che trattano MTTFd o B10d dei componenti

UNI EN ISO 13849-1 Allegato C - Paragrafo C.2

15

Calcolo e valutazione del MTTFd

UNI EN ISO 13849-1 Allegato C Paragrafo C.4

Per i componenti pneumatici, meccanici ed elettromeccanici, il parametro B10d il numero di cicli in cui il 10% dei componenti si guasta pericolosamente

B10d dove nop il numero di operazioni allanno MTTF d 0,1 nop

Il tempo medio entro il quale il 10% dei componenti pneumatici, meccanici ed elettromeccanici si guasta pericolosamente dato da

T10d

B10d nop

La relazione con il tempo medio al guasto pericoloso la seguente

T10d MTTF d T10d 10 0,1

16

Metodo semplificato per la stima del MTTFd per ogni canale

UNI EN ISO 13849-1 Allegato D

Il valore di MTTFd di tutti i singoli componenti che compongono un canale sono usati nel calcolo

MTTFd quello complessivo dellintero canale MTTFdi, MTTFdj il MTTFd di ogni componente che ha un ruolo nellesecuzione della funzione di sicurezza La prima somma quella in cui i componenti hanno valori di MTTFdi diversi tra di loro; la seconda quella in cui gli nj componenti hanno MTTFdj identici

17

Metodo semplificato per la stima del MTTFd per ogni canale

UNI EN ISO 13849-1 Allegato D MTTFd per diversi canali, simmetrizzazione del MTTFd per ogni canale
In una SRP/CS ridondante, se il valore del MTTFd lo stesso per ogni canale il valore complessivo il medesimo di quello dei canali. Se il MTTFd dei canali differisce, ci sono due possibilit:
deve essere utilizzato il valore pi basso come assunzione del caso peggiore; la seguente equazione pu essere usata per stimare il valore di MTTFd assumibile per ogni canale:

dove MTTFd C1 e MTTFd C2 sono i due valori dei canali ridondanti

18

Copertura diagnostica (DC)

UNI EN ISO 13849-1

Il valore di DC viene espresso in quattro livelli (vedi tabella) Per la stima di DC, nella maggior parte dei casi la failure mode and effects analysis (FMEA) o metodi simili possono essere utili. In questo caso tutti i guasti rilevanti o i modi di guasto possono essere considerati. In alternativa, possibile utilizzare il metodo semplificato, sottoforma di tabella, riportato in Allegato E.

19

Criteri di stima della copertura diagnostica media

UNI EN ISO 13849-1 Allegato E

20

Requisiti per le categorie

UNI EN ISO 13849-1
Categoria Riassunto dei requisiti Le parti legate alla sicurezza dei sistemi di comando e/o delle loro attrezzature di protezione e dei loro componenti devono essere progettate, costruite, scelte, montate e combinate in conformit alle relative norme in modo che possano resistere alle influenze previste. Devono essere usati princpi di sicurezza basilari. Comportamento del sistema Princpi per ottenere la sicurezza MTTFd di ogni canale DCavg CCF

Il verificarsi di un guasto pu portare alla perdita della funzione di sicurezza.

Essenzialmente caratterizzati dalla scelta dei componenti

Da basso a medio

Nessuna

Non rilevante

Si devono applicare i requisiti della categoria B. Devono essere usati componenti e princpi di sicurezza ben collaudati.

Il verificarsi di un guasto pu portare alla perdita della funzione di sicurezza, ma la probabilit che si verifichi minore di quella della categoria B.

Essenzialmente caratterizzati dalla scelta dei componenti

Alto

Nessuna

Non rilevante

21

Requisiti per le categorie

UNI EN ISO 13849-1
Princpi per ottenere la sicurezza MTTFd di ogni canale

Categoria

Riassunto dei requisiti

Comportamento del sistema Il verificarsi di un guasto pu portare alla perdita della funzione di sicurezza nellintervallo tra le due verifiche. La perdita della funzione di sicurezza viene rilevata dalla verifica.

DCavg

CCF

Si devono applicare i requisiti della categoria B e luso di princpi di sicurezza ben collaudati. La funzione di sicurezza deve essere verificata ad opportuni intervalli dal sistema di controllo della macchina.

Essenzialmente caratterizzati dalla struttura

Da basso a alto

Da bassa a media

Rilevante

22

Requisiti per le categorie

UNI EN ISO 13849-1
Comportamento del sistema Quando si verifica il singolo guasto la funzione di sicurezza viene sempre assicurata. Vengono rilevati alcuni ma non tutti i guasti. L'accumulo di guasti non rilevati pu portare alla perdita della funzione di sicurezza. Princpi per ottenere la sicurezza MTTFd di ogni canale

Categoria

Riassunto dei requisiti Si devono applicare i requisiti della categoria B e luso di princpi di sicurezza ben collaudati. Le parti legate alla sicurezza devono essere progettate in modo che un singolo guasto in una qualsiasi di queste parti non porti ad una perdita della funzione di sicurezza e ogniqualvolta sia ragionevolmente possibile il singolo guasto venga rilevato.

DCavg

CCF

Essenzialmente caratterizzati dalla struttura

Da basso a alto

Da bassa a media

Rilevante

23

Requisiti per le categorie

UNI EN ISO 13849-1
Categoria Riassunto dei requisiti Si devono applicare i requisiti della categoria B e luso di princpi di sicurezza ben collaudati. Le parti legate alla sicurezza devono essere progettate in modo che un singolo guasto in una qualsiasi di queste parti non porti ad una perdita della funzione di sicurezza e il singolo guasto venga rilevato in corrispondenza o prima della successiva richiesta della funzione di sicurezza. Se ci non possibile, un accumulo di guasti non deve portare alla perdita della funzione di sicurezza. Comportamento del sistema Princpi per ottenere la sicurezza MTTFd di ogni canale DCavg CCF

Quando si verifica il singolo guasto la funzione di sicurezza viene sempre assicurata. Il rilevamento di guasti accumulati riduce la probabilit di perdita della funzione di sicurezza (DC alta). I guasti vengono rilevati in tempo per evitare la perdita della funzione di sicurezza.

Essenzialmente caratterizzati dalla struttura

Alto

Alta (compreso laccumulo dei guasti)

Rilevante

24

Procedura semplificata per la stima del PL

UNI EN ISO 13849-1 Per una stima pi semplice del PL possono essere fatte le seguenti assunzioni se larchitettura utilizzata rientra in quelle riportate al 6.2 della norma UNI EN ISO 13849-1: un tempo di utilizzo di 20 anni; un tasso di guasto costante per tutto il periodo di utilizzo; per una categoria 2, un rapporto rd 1/100 rt; per una categoria 2 un MTTFd,TE maggiore della met del MTTFd,L. MTTFd,TE = MTTFd del componente che esegue il test per la rilevazione dei guasti MTTFd,L = MTTFd del componente che esegue le funzioni della SRP/CS Il PL di ogni SRP/CS dipende dallarchitettura, dal MTTFd per ogni canale e dal DCavg. Nel caso di architetture con PLr da a a c, le misure per evitare i guasti possono essere sufficienti; per applicazioni con rischi maggiori, PLr da d a e, la struttura della SRP/CS deve prevedere misure per evitare, individuare e tollerare i guasti. Misure pratiche includono la ridondanza, la diversit e il monitoraggio. Per le categorie 2, 3 e 4, devono essere previste sufficienti misure per la riduzione dei guasti di causa comune (CCF).

25

Stima numerica del PL

UNI EN ISO 13849-1 Allegato K

26

Stima numerica del PL

UNI EN ISO 13849-1 Allegato K

27

Procedura semplificata per la stima del PL

UNI EN ISO 13849-1 MTTFd basso MTTFd medio MTTFd alto

28

Esempio di calcolo Riparo mobile interbloccato

Funzione di sicurezza: arresto del funzionamento del motore allapertura di un riparo mobile Il riparo interbloccato per mezzo di due microinterruttori (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza (K1) La concordanza dei sensori di ingresso viene monitorata dal modulo di sicurezza che in questo modo rileva eventuali guasti dei sensori I teleruttori (Q1 e Q2) tolgono lalimentazione al motore; i contattori vengono monitorati inserendo contatti nel circuito di ripristino del modulo di sicurezza Il guasto di un singolo componente non comporta la perdita della funzione di sicurezza

29

Dati forniti dal costruttore

Il modulo di sicurezza viene dichiarato dal costruttore conforme alla categoria 4, PL e (oppure SIL 3) e PFHD,K1=2,3110-9 B10d,B1= 1.000.000 cicli B10d,B2= 500.000 cicli nop= 35.040 (365 giorni, 24 ore/giorno, top=900 s) B10d,Q1=B10d,Q2=2.000.000 cicli Q1 e Q2 sono teleruttori a contatti legati

30

Calcoli
UNI EN ISO 13849-1

MTTFd,Q1= 570,77 anni MTTFd,Q2= 570,77 anni MTTFd,B1= 285,38 anni MTTFd,B2= 142,69 anni T10d,Q1= 57 anni T10d,Q2= 57 anni T10d,B1= 28,5 anni T10d,B2= 14,2 anni (componente da sostituire prima del mission time)

31

Calcoli
UNI EN ISO 13849-1

DCB1 = DCB2 = 99% controllo della concordanza dei segnali in ingresso

32

Calcoli
UNI EN ISO 13849-1

DCQ1 = DCQ2 = 99% monitoraggio diretto da parte del modulo di sicurezza grazie alla retroazione ed ai contatti legati

33

Calcolo sottosistemi
UNI EN ISO 13849-1
Sottosistema 1 (sensori B1 e B2) Si applica la limitazione dei canali a 100 anni MTTFd = 100 anni (alto) DC = 99% (alta) Categoria 4 PL = e PFHD = 2,4710-8

34

Calcolo sottosistemi

UNI EN ISO 13849-1 Sottosistema 3 (contattori Q1 e Q2) Si applica la limitazione dei canali a 100 anni MTTFd = 100 anni (alto) DC = 99% (alta) Categoria 4 PL = e PFHD = 2,4710-8

35

Risultato finale
UNI EN ISO 13849-1

Per ottenere il valore finale si sommano i valori di PFHD dei singoli sottosistemi PFHD,totale= PFHD,B1//B2+PFHD,K1+PFHD,Q1//Q2 = = (2,47 + 0,231 + 2,47)10-8 = 5,17110-8 PL = e

36

Esclusione di guasti
UNI EN ISO 13849-1

Non sempre possibile valutare gli SRP/CS senza escludere determinati guasti. Per lesclusione dei guasti fare riferimento alla norma UNI EN ISO 13849-2. La norma UNI EN ISO 13849-2 riporta un elenco dei guasti che possibile escludere suddivisi a seconda della tecnologia (meccanica, pneumatica, idraulica ed elettrica). Lesclusione di guasti un compromesso tra i requisiti di sicurezza e la teorica possibilit di accadimento di un guasto. Lesclusione di un guasto pu essere basata su: improbabilit tecnica di avere un certo tipo di guasto, esperienza tecnica comunemente accettata, indipendente da un particolare tipo di applicazione, requisiti tecnici relativi allapplicazione e a specifici rischi.

37

Esclusione di guasti
ISO/TR 23849:2010
Non opportuno che il raggiungimento di un PL pari ad e sia basato unicamente sullesclusione di guasti (ISO/TR 23849:2010); in generale, necessario essere sempre pi critici sulla possibilit di escludere un guasto al crescere del livello di prestazione richiesto. In generale, lesclusione dei guasti non dovrebbe essere applicabile agli aspetti meccanici dei microinterruttori di interblocco e degli interruttori azionati manualmente (ad es. comando di arresto di emergenza). Le esclusioni dei guasti permesse per i guasti di tipo meccanico sono descritti dalla norma UNI EN ISO 13849-2.

38

Esempio Riparo mobile interbloccato

Funzione di sicurezza: arresto del funzionamento del motore allapertura di un riparo mobile interbloccato con un microinterruttore a spinetta

39

Esempio Riparo mobile interbloccato

Il riparo interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza. Non escludendo il guasto di tipo meccanico (ad esempio allentamento della camme) del microinterruttore, la SRP/CS nel suo complesso in categoria 1.

Eseguendo gli opportuni calcoli, si ottiene: PFHd,totale= 1,1710-6 PL = c

40

Esempio Riparo mobile interbloccato

Il riparo interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza. Escludendo il guasto di tipo meccanico del microinterruttore, la SRP/CS nel suo complesso in categoria 4.

Eseguendo gli opportuni calcoli, si ottiene: PFHd,totale= 5,17110-8 PL = e

41