Sicurezza macchine
Sicurezza macchine
Sicurezza macchine
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
La valutazione dei rischi e la progettazione dei circuiti di<br />
comando delle <strong>macchine</strong> aventi funzioni di sicurezza<br />
Applicazione pratica delle norme UNI EN ISO 13849-1 1 & CEI EN 62061<br />
28 Settembre 2009<br />
QUADRA S.R.L. — CORNATE D’ADDA (MI)<br />
TEL. 0396060383 – 0396060351<br />
WWW.QUADRASRL.NET<br />
Applicazione pratica 138491 & 62061/0 - 1
La direttiva 2006/42/CE<br />
A partire dal 29 dicembre 2009 verrà attuata la nuova direttiva <strong>macchine</strong><br />
2006/42/CE, che andrà a sostituire l’attuale direttiva 98/37/CE<br />
Tra le principali novità introdotte dalla nuova direttiva vi è:<br />
l’esplicito riferimento alla necessità di eseguire una valutazione dei<br />
rischi sulla macchina prima di immetterla sul mercato o di metterla in<br />
servizio<br />
l’obbligo di integrare tale valutazione all’interno del fascicolo tecnico<br />
per le <strong>macchine</strong> previsto dall’allegato VII parte A o della<br />
documentazione tecnica pertinente per le quasi-<strong>macchine</strong> prevista<br />
dall’allegato VII parte B:<br />
…dalla documentazione relativa alla valutazione dei rischi che deve<br />
dimostrare la procedura seguita, inclusi:<br />
un elenco dei requisiti essenziali di sicurezza e di tutela della salute applicabili<br />
alla macchina,<br />
le misure di protezione attuate per eliminare i pericoli identificati o per ridurre i<br />
rischi e, se del caso, l'indicazione dei rischi residui connessi con la macchina<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 2
Direttiva 2006/42/CE<br />
Considerando<br />
(23) Il fabbricante o il suo mandatario dovrebbe inoltre garantire<br />
che sia effettuata una valutazione dei rischi per la macchina<br />
che intende immettere sul mercato. A tal fine egli dovrebbe<br />
stabilire quali siano i requisiti essenziali di sicurezza e di tutela<br />
della salute applicabili alla sua macchina e per i quali dovrà<br />
adottare provvedimenti.<br />
(24) È indispensabile che il fabbricante o il suo mandatario<br />
stabilito nella Comunità, prima di redigere la dichiarazione «CE»<br />
di conformità, costituisca un fascicolo tecnico della<br />
costruzione. Tuttavia non è indispensabile che tutta la<br />
documentazione sia materialmente disponibile in permanenza:<br />
basta che sia disponibile su richiesta. Essa può non<br />
comprendere i disegni dettagliati dei sottoinsiemi utilizzati per la<br />
fabbricazione delle <strong>macchine</strong>, salvo se la loro conoscenza è<br />
indispensabile alla verifica della conformità ai requisiti essenziali<br />
di sicurezza e di tutela della salute.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 3
Scopo del fascicolo tecnico<br />
(e della documentazione tecnica pertinente)<br />
Il fascicolo tecnico, o la documentazione tecnica<br />
pertinente, deve essere visto come un «mezzo»<br />
attraverso il quale è possibile realizzare una<br />
macchina sicura e conforme ai requisiti della direttiva<br />
<strong>macchine</strong>, alla stregua di uno schema elettrico per la<br />
realizzazione dell'equipaggiamento elettrico della<br />
macchina o di un disegno meccanico per la<br />
fabbricazione di un determinato pezzo<br />
Il «fine fine» della direttiva <strong>macchine</strong> è l'avere nel territorio<br />
dell'unione europea solamente <strong>macchine</strong> sicure e non<br />
certo quello di costringere i fabbricanti a realizzare<br />
collezioni di documenti inutili<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 4
Criteri per la redazione della<br />
documentazione<br />
Bisogna tenere conto del fatto che il fascicolo tecnico e la<br />
documentazione tecnica pertinente dovranno potere essere letti e<br />
utilizzati da persone diverse da quelle che li hanno redatti e che tale<br />
utilizzo può avvenire anche molto tempo dopo la redazione (ad esempio<br />
da parte di autorità nazionali nell'ambito delle attività di sorveglianza del<br />
mercato oppure di organi giudiziari in caso di incidente)<br />
Non utilizzare espressioni gergali e spiegare il significato di tutti i<br />
termini e le locuzioni usate<br />
Commentare i documenti (ad esempio spiegazione del funzionamento<br />
dei circuiti elettrici aventi funzioni di sicurezza)<br />
Spiegare il ragionamento fatto per decidere le misure di sicurezza<br />
adottate (ad esempio indicare il non rispetto di una norma illustrando<br />
le misure alternative prese)<br />
Il fascicolo tecnico viene lasciato «in eredità»<br />
ad altri progettisti o ad altre<br />
persone non facenti parte della stessa organizzazione<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 5
Norme<br />
Una norma tecnica è un documento formale che stabilisce criteri tecnici<br />
uniformi o di ingegneria, metodi, processi e pratiche.<br />
La direttiva 98/34/CE definisce:<br />
‘norma’: una specifica tecnica approvata da un organismo<br />
riconosciuto ad attività normativa per applicazione ripetuta o continua,<br />
la cui osservanza non è obbligatoria, e che è uno dei seguenti:<br />
norma internazionale: norma adottata da una organizzazione di<br />
standardizzazione internazionele (per esempio ISO) e quindi resa<br />
disponibile al pubblico<br />
norma europea: norma adottata da un ente di standardizzazione europeo<br />
(per esempio CEN) e quindi resa disponibile al pubblico<br />
norma nazionale: norma adottata da un ente di standardizzazione<br />
nazionale (per esempio UNI) e quindi resa disponibile al pubblico<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 6
Enti di normalizzazione nel mondo<br />
Elettrotecnica<br />
Elettronica<br />
Altre aree<br />
Internazionale IEC ISO<br />
Europeo CENELEC CEN<br />
Italia<br />
Francia<br />
Germania<br />
Inghilterra<br />
CEI<br />
www.ceiweb.it<br />
UTE<br />
www.ute-fr.com<br />
DKE<br />
www.dke.de<br />
BEC-BSI<br />
www.bsigroup.com<br />
UNI<br />
www.uni.com<br />
AFNOR<br />
www.afnor.org<br />
DIN<br />
www.din.de<br />
BSI<br />
www.bsigroup.com<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 7
L’ISO è composta da 161 membri:<br />
Membri dell’ISO<br />
Afghanistan, Albania, Algeria, Antigua and Barbuda, Argentina, Armenia Australia, Austria,<br />
Azerbaijan, Bahrain, Bangladesh, Barbados, Belarus, Belgium, Bhutan, Bolivia, Bosnia and<br />
Herzegovina, Botswana, Brazil, Brunei, Darussalam, Bulgaria, Burkina Faso, Burundi,<br />
Cambodia, Cameroon, Canada, Chile, China, Colombia, Congo, The Democratic Republic of<br />
the Congo, Costa Rica, Croatia, Cuba, Cyprus, Czech Republic, Côte-d'Ivoire, Denmark,<br />
Dominica, Dominican Republic, Egypt, El Salvador, Eritrea, Estonia, Ethiopia, Fiji, Finland,<br />
France, Gabon, Gambia, Georgia, Germany, Ghana, Greece, Guatemala, Guinea, Guyana,<br />
Honduras, Hong Kong, China, Hungary, Iceland, India, Indonesia, Iran Islamic Republic of,<br />
Iraq, Ireland, Israel, Italy, Jamaica, Japan, Jordan, Kazakhstan, Kenya, Korea, Democratic<br />
People's Republic Korea, Republic of Kuwait, Kyrgyzstan, Lao People's Democratic Rep.,<br />
Latvia, Lebanon, Lesotho, Liberia, Libyan, Arab, Jamahiriya, Lithuania, Luxembourg, Macau,<br />
Madagascar, Malawi, Malaysia, Malta, Mauritania, Mauritius, Moldova, Republic of Mongolia,<br />
Montenegro, Morocco, Mozambique, Myanmar, Namibia, Nepal, Netherlands, New Zealand,<br />
Norway, Oman, Pakistan, Palestine, Panama, Papua, New Guinea, Paraguay, Peru,<br />
Philippines, Poland, Portugal, Qatar, Romania, Russian Federation, Rwanda, Saint Lucia,<br />
Saint Vincent and the Grenadines, Saudi Arabia, Senegal, Serbia, Seychelles, Sierra Leone,<br />
Singapore, Slovakia, Slovenia, South Africa, Spain, Sri Lanka, Sudan, Suriname, Swaziland,<br />
Sweden, Switzerland, Syrian Arab Republic, Tajikistan, Tanzania, United Republic of,<br />
Thailand, Macedonia, Trinidad and Tobago, Tunisia, Turkey, Turkmenistan, USA, Uganda,<br />
Ukraine, United Arab Emirates, United Kingdom, Uruguay, Uzbekistan, Venezuela, Viet<br />
Nam, Yemen, Zambia, Zimbabwe<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 8
L’ISO è composta da 76 membri:<br />
Membri dell’IEC<br />
Albania, Algeria, Argentina, Australia, Austria, Bahrain, Belarus,<br />
Belgium, Bosnia & erzegovina, Brazil, Bulgaria, Canada, China,<br />
Colombia, Croatia, Cuba, Cyprus, Czech epublic, Democratic<br />
People's Republic of Korea, Denmark, Egypt, Estonia, Finland,<br />
France, Germany, Greece, Hungary, Iceland, India, Indonesia, Iran,<br />
Iraq, Ireland, Israel, Italy, Japan, Kazakhstan, Kenya, Korea, Republic<br />
of, Latvia, Libyan Arab Jamahiriya, Lithuania, Luxembourg, Malaysia,<br />
Malta, Mexico, Montenegro, Netherlands, New Zealand, Nigeria,<br />
Norway, Pakistan, Philippines, Rep. of the, Poland, Portugal, Qatar,<br />
Romania, Russian federation, Saudi Arabia, Serbia, Singapore,<br />
Slovakia, Slovenia, South Africa, Spain, Sri Lanka, Sweden,<br />
Switzerland, Thailand, The Former Yugoslav Rep. of Macedonia,<br />
Tunisia, Turkey, Ukraine, United Kingdom, United States of America,<br />
Vietnam<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 9
Le norme si dividono in:<br />
Norme<br />
norme di tipo A (norme generali di sicurezza): contengono i concetti fondamentali, i<br />
principi di progettazione e gli aspetti generali applicabili a tutte le <strong>macchine</strong> (per<br />
esempio UNI EN ISO 12100-2:2005, UNI EN ISO 14121-1:2007)<br />
norme di tipo B (norme di sicurezza comuni a gruppi): trattano un aspetto della<br />
sicurezza o un tipo di dispositivo di sicurezza, applicabili a numerosi tipi di <strong>macchine</strong>,<br />
che a sua volta si distinguono in:<br />
norme di tipo B1, che riguardano aspetti particolari della sicurezza, quali distanze di sicurezza,<br />
temperature delle superfici raggiungibili, rumore (per esempio UNI EN ISO 13857:2008, UNI EN<br />
ISO 13732-1:2007)<br />
norme di tipo B2, che riguardano dispositivi di sicurezza, quali comandi a due mani, dispositivi di<br />
interblocco, dispositivi sensibili alla pressione, ripari (per esempio UNI EN ISO 13850:2007, UNI<br />
EN 574:1998)<br />
norme di tipo C (norme di sicurezza per <strong>macchine</strong>): contengono i requisiti di<br />
sicurezza di dettaglio per una macchina o per un gruppo di <strong>macchine</strong> particolari (per<br />
esempio UNI EN 692:2006, UNI EN 201:2001)<br />
Se esiste quindi una norma di tipo C applicabile alla specifica macchina il costruttore ha<br />
indicazioni particolareggiate sulle possibili soluzioni da adottare per garantire la sicurezza<br />
della macchina stessa.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 10
Le norme<br />
Il principio generale enunciato chiaramente nel diritto comunitario, ed in<br />
particolare nella risoluzione del 7 maggio 1985, e nelle direttive di nuovo<br />
approccio è che le norme tecniche sono sempre facoltative: la mancata<br />
conformità non è mai un’inadempienza in sé, s in quanto il concetto di<br />
inadempienza comporta sempre l’esistenza di un obbligo.<br />
Il mancato rispetto della norma non consente di trarre la conclusione<br />
che il prodotto non sia conforme alla regolamentazione: il fabbricante è<br />
infatti libero di prendere provvedimenti diversi da quelli stabiliti dalla<br />
norma.<br />
Va infatti sottolineato che le norme non sono infallibili: tutte comportano<br />
i rischi caratteristici a tutti i documenti oggetto di lunghe trattative o di<br />
compromessi.<br />
Per rifiutare una macchina munita di marcatura CE, è necessario<br />
dimostrare il mancato rispetto di almeno un requisito essenziale. La<br />
semplice mancata conformità a una norma e, a maggior ragione, a una<br />
norma nazionale non è sufficiente a giustificare l’applicazione di un<br />
divieto.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 11
Le norme<br />
Le norme assumono carattere vincolante solo in tre casi:<br />
quando la norma è imposta da una normativa: non è il<br />
caso, ad esempio, delle direttive di nuovo approccio,<br />
tranne poche eccezioni, dove le disposizioni contenute<br />
nella norma diventano disposizioni di legge a tutti gli<br />
effetti;<br />
quando la norma è inserita in un contratto privato o<br />
pubblico: in tal caso la conformità diventa un obbligo<br />
contrattuale che, come qualsiasi impegno di questo tipo,<br />
è liberamente negoziabile;<br />
quando la norma codifica lo stato dell’arte<br />
arte.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 12
Stato dell’arte<br />
Stato dell’arte (UNI CEI EN 45020:2007): stadio dello sviluppo, raggiunto in un<br />
determinato momento, dalle capacità tecniche relative a prodotti, processi e<br />
servizi basato su pertinenti scoperte scientifiche, tecnologiche e sperimentali<br />
Solo gli usi dimostrati rientrano nelle regole dell’arte, il che presuppone il<br />
concetto di ripetitività nel tempo, costanza, notorietà e generalità<br />
Un uso rientra nello stato dell’arte quando:<br />
è «conosciuto» dai professionisti ed è possibile attestarne l’esistenza con certezza<br />
è un uso costante che presenta una certa stabilità nel tempo<br />
è un uso generale, che non può essere limitato ad un’unica persona<br />
fa parte di tecniche «attuali», applicate quotidianamente nella prassi industriale, da non<br />
confondere con le tecniche potenziali o sperimentali né con quelle ormai superate<br />
Lo stato dell’arte contempla tutti gli ostacoli, compresi i vincoli economici insiti<br />
nella fabbricazione e nell’impiego di una macchina<br />
I mezzi impiegati in un momento determinato per rispettare gli obblighi di<br />
sicurezza secondo lo stato dell’arte possono non essere più accettabili se<br />
l’evoluzione tecnologica consente di realizzare <strong>macchine</strong> più sicure o di<br />
progettare una macchina diversa e al contempo più sicura per raggiungere lo<br />
stesso obiettivo<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 13
Direttiva 2006/42/CE<br />
Presunzione di conformità & norme armonizzate<br />
Art. 7 § 2<br />
Le <strong>macchine</strong> costruite in conformità di una norma<br />
armonizzata, il cui riferimento è stato pubblicato nella<br />
Gazzetta ufficiale dell'Unione europea, sono presunte<br />
conformi ai requisiti essenziali di sicurezza e di tutela<br />
della salute coperti da tale norma armonizzata.<br />
Art. 7 § 3<br />
La Commissione pubblica nella Gazzetta ufficiale<br />
dell'Unione europea i riferimenti delle norme<br />
armonizzate.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 14
Pubblicazione dei riferimenti alle norme<br />
armonizzate<br />
Sito ufficiale Comunità<br />
Europea sulle direttive<br />
di prodotto che<br />
richiedono la marcatura<br />
CE<br />
www.newapproach.org<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 15
Definizioni<br />
(UNI EN ISO 14121-1:2007 1:2007 & UNI EN ISO 12100-1:2005)<br />
1:2005)<br />
Danno: lesione fisica o danno alla salute<br />
Pericolo: fonte di possibili lesioni fisiche o danni alla salute; il pericolo<br />
considerato in questa definizione:<br />
è presente in modo permanente durante l'uso previsto della macchina<br />
(movimento degli elementi mobili pericolosi, arco elettrico durante la<br />
fase di saldatura, ecc.), o<br />
può manifestarsi in modo inatteso (avviamento imprevisto/inatteso,<br />
ecc.)<br />
Rischio: combinazione di probabilità e di gravità di possibili lesioni o<br />
danni alla salute in una situazione pericolosa<br />
Rischio residuo: rischio che sussiste dopo aver adottato delle misure di<br />
protezione; è possibile distinguere:<br />
rischi residui dopo le misure di protezione realizzate in fase di<br />
progettazione<br />
rischi residui dopo l’attuazione di tutte le possibili misure di protezione<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 16
Definizioni<br />
(UNI EN ISO 14121-1:2007 1:2007 & UNI EN ISO 12100-1:2005)<br />
1:2005)<br />
Uso previsto di una macchina: uso al quale la macchina è destinata in<br />
conformità con le indicazioni fornite dal fabbricante, o che è ritenuto usuale in<br />
relazione alla sua progettazione, costruzione e funzione; l'uso previsto implica<br />
anche il rispetto delle istruzioni tecniche contenute nelle istruzioni per l’uso e la<br />
presa in considerazione dell'uso scorretto che è ragionevole prevedere<br />
Uso ragionevolmente prevedibile: uso della macchina in modo non inteso dal<br />
progettista, ma che può essere facilmente prevedibile<br />
Misura di sicurezza: mezzo per ottenere una riduzione del rischio attuata:<br />
dal progettista della macchina (progettazione intrinsecamente sicura, ripari e<br />
dispositivi di protezione, informazioni per l’uso)<br />
dall’utilizzatore (organizzazione [procedure di lavoro, supervisione], misure di<br />
protezione addizionali, dispositivi di protezione individuali, addestramento)<br />
Informazioni per l'uso:<br />
Informazioni per l'uso: misure di protezione composte da comunicazioni e avvisi<br />
(per esempio testi, parole, segni, segnali, simboli, diagrammi) usati<br />
separatamente o in combinazione per trasmettere informazioni all'utilizzatore<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 17
Che cosa si può «ragionevolmente» prevedere<br />
Dal punto di vista giuridico, per persona «ragionevole» s’intende una<br />
persona dotata di buon senso e di una capacità di comprensione<br />
normale (media)<br />
L’esperienza del servizio di assistenza clienti può essere preziosa per<br />
stabilire il profilo dell’utilizzatore medio<br />
Il fabbricante è tenuto unicamente a prevedere situazioni «ragionevoli»,<br />
ovvero conformi alla razionalità, alla logica, agli usi e al buon senso e, in<br />
quest’ottica, deve rispettare un giusto equilibrio.<br />
Il concetto di «ragionevolmente» prevedibile deve impedire l’irrazionalità<br />
in materia tecnica e qualsiasi ipotesi estrema, del tipo “infilare il gatto<br />
nel forno a microonde”<br />
Le situazioni «ragionevolmente prevedibili» sono fortunatamente meno<br />
numerose di quelle «possibili» che, a loro volta, sono più limitate di<br />
quelle «immaginarie»<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 18
Direttiva 2006/42/CE<br />
Principi generali<br />
I requisiti essenziali di sicurezza e di tutela della<br />
salute elencati nel presente allegato sono<br />
inderogabili. Tuttavia, tenuto conto dello stato della<br />
tecnica, gli obiettivi da essi prefissi possono non<br />
essere raggiunti. In tal caso la macchina deve, per<br />
quanto possibile, essere progettata e costruita per<br />
tendere verso questi obiettivi.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 19
Direttiva 2006/42/CE<br />
Principi generali<br />
Il fabbricante di una macchina, o il suo mandatario, deve garantire che sia<br />
effettuata una valutazione dei rischi per stabilire i requisiti di sicurezza e di tutela<br />
della salute che concernono la macchina. La macchina deve inoltre essere<br />
progettata e costruita tenendo conto dei risultati della valutazione dei rischi.<br />
Con il processo iterativo della valutazione dei rischi e della riduzione dei rischi di<br />
cui sopra, il fabbricante o il suo mandatario:<br />
stabilisce i limiti della macchina, il che comprende l'uso previsto e l'uso<br />
scorretto ragionevolmente prevedibile,<br />
individua i pericoli cui può dare origine la macchina e le situazioni pericolose<br />
che ne derivano,<br />
stima i rischi, tenendo conto della gravità dell'eventuale lesione o danno alla<br />
salute e della probabilità che si verifichi,<br />
valuta i rischi al fine di stabilire se sia richiesta una riduzione del rischio<br />
conformemente all'obiettivo della presente direttiva,<br />
elimina i pericoli o riduce i rischi<br />
elimina i pericoli o riduce i rischi che ne derivano, applicando le misure di<br />
protezione nell'ordine indicato nel §1.1.2, lettera b)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 20
Direttiva 2006/42/CE<br />
Principi di integrazione della sicurezza (§1.1.2 b)<br />
Per la scelta delle soluzioni più opportune il fabbricante o il<br />
suo mandatario deve applicare i seguenti principi,<br />
nell'ordine indicato:<br />
eliminare o ridurre i rischi nella misura del possibile<br />
(integrazione della sicurezza nella progettazione e nella<br />
costruzione della macchina),<br />
adottare le misure di protezione necessarie nei confronti dei<br />
rischi che non possono essere eliminati<br />
informare gli utilizzatori dei rischi residui dovuti all'incompleta<br />
efficacia delle misure di protezione adottate, indicare se è<br />
richiesta una formazione particolare e segnalare se è<br />
necessario prevedere un dispositivo di protezione individuale.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 21
Requisiti essenziali di sicurezza<br />
e di tutela della salute<br />
Allegato I direttiva 2006/42/CE<br />
1. Requisiti essenziali di sicurezza e di tutela della salute<br />
2. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />
talune categorie di <strong>macchine</strong><br />
2.1. Macchine alimentari e <strong>macchine</strong> per prodotti cosmetici e farmaceutici<br />
2.2. Macchine portatili tenute e/o condotte a mano<br />
2.3. Macchine per la lavorazione del legno e di materie con caratteristiche fisiche<br />
simili<br />
3. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />
ovviare ai pericoli dovuti alla mobilità delle <strong>macchine</strong><br />
4. Requisiti essenziali di sicurezza e di tutela della salute per prevenire i<br />
pericoli dovuti ad operazioni di sollevamento<br />
5. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />
le <strong>macchine</strong> destinate ad essere utilizzate nei lavori sotterranei<br />
6. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />
le <strong>macchine</strong> che presentano particolari pericoli dovuti al sollevamento di<br />
persone<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 22
Norma per la valutazione dei rischi<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 23
Processo iterativo per ottenere la sicurezza<br />
Avvio<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
Determinazione dei<br />
limiti della macchina<br />
Identificazione del<br />
pericolo<br />
Analisi del<br />
rischio<br />
Stima del rischio<br />
Processo di<br />
valutazione del<br />
rischio<br />
Valutazione del rischio<br />
Il rischio è stato<br />
adeguatamente<br />
ridotto<br />
No<br />
Riduzione del rischio<br />
(UNI EN ISO 12100-<br />
1:2005, punto 5)<br />
Sì<br />
Fine<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 24
Determinazione dei limiti della macchina<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
Limiti d’uso<br />
Diverse modalità di funzionamento e diverse procedure di intervento<br />
L’uso della macchina (ambito industriale o domestico) da parte di<br />
persone diverse (sesso, età,ecc.)<br />
Livello di formazione degli operatori che possono intervenire (operatori di<br />
produzione, manutentori, ecc.)<br />
Esposizione di altre persone ai rischi associati alla macchina, dove<br />
ragionevolmente prevedibile<br />
Operatori nelle vicinanze per altre mansioni<br />
Altro personale nelle vicinanze (poco attento ai possibili rischi)<br />
Limiti di spazio<br />
Posizione dei lavoratori<br />
Interazione e interfacce con la macchina<br />
Limiti di tempo<br />
Tempo di vita della macchina o di alcuni dei suoi componenti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 25
Identificazione dei pericoli<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 26
Identificazione dei pericoli<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 27
Stima del rischio<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 28
Possibilità di neutralizzare o eludere le misure di sicurezza<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
La stima dei rischi deve tener conto degli incentivi a neutralizzare o<br />
eludere le misure di sicurezza, per esempio:<br />
la misura di sicurezza rallenta la produzione, o interferisce con<br />
qualsiasi altra attività o preferenza dell'utilizzatore<br />
la misura di sicurezza è difficile da utilizzare<br />
sono coinvolte persone diverse dall’operatore<br />
La stima dei rischi deve considerare se è possibile mantenere le misure<br />
di sicurezza nella condizione necessaria per fornire il livello di<br />
protezione richiesto<br />
Se non è possibile mantenere facilmente una misura di sicurezza in<br />
un corretto stato di funzionamento, questo può incoraggiare la<br />
neutralizzazione o l’elusione della misura di sicurezza per consentire<br />
di continuare a utilizzare la macchina<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 29
Vincoli nella scelta delle misure di sicurezza da adottare<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
Vincoli tecnici:<br />
non sempre le misure di sicurezza che garantirebbero il massimo<br />
grado di protezione relativamente a un determinato rischio sono<br />
realizzabili sulla macchina in modo ragionevolmente facile<br />
Vincoli economici:<br />
non si può pretendere l'adozione di una misura di sicurezza il cui<br />
costo è spropositato in relazione al valore della macchina oppure che<br />
infici la produttività della macchina in modo da renderne l'utilizzo<br />
economicamente non vantaggioso<br />
Vincoli legati all'usabilit<br />
Vincoli legati all'usabilità della macchina:<br />
della macchina:<br />
le misure di sicurezza adottate devono tenere in considerazione le<br />
necessità dell'operatore di interagire con la macchina e consentire<br />
l'uso della macchina stessa in modo ragionevolmente semplice e<br />
veloce<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 30
Vincoli legati all'usabilità della macchina<br />
Se, per esempio, è necessario intervenire all'interno di una zona<br />
pericolosa racchiusa da protezioni perimetrali dotate di porte<br />
interbloccate a ogni cambio di lavorazione per effettuare le regolazioni<br />
e la messa a punto della macchina:<br />
è possibile consentire il movimento degli organi della macchina solamente con gli<br />
operatori all'esterno delle protezioni perimetrali, garantendo un livello di rischio molto<br />
basso, ma costringendo gli operatori a effettuare una regolazione approssimativa<br />
della macchina, uscire dalle protezioni perimetrali e richiudere le porte interbloccate,<br />
far partire la macchina per effettuare una prova di produzione, arrestare la<br />
macchina, entrare all'interno delle protezioni perimetrali, controllare l'esito della<br />
lavorazione e se non soddisfacente ricominciare da capo<br />
in alternativa è possibile dotare la macchina di una modalità di funzionamento<br />
utilizzabile per le operazioni di regolazione e messa a punto nella quale gli organi di<br />
lavorazione sono azionabili solamente mediante comandi ad azione mantenuta<br />
(ovvero in modo tale che gli elementi in movimento comandati si arrestino al rilascio<br />
degli attuatori di comando), in condizioni di sicurezza maggiorate (per esempio a<br />
velocità lenta) da una postazione di comando portatile che può essere azionata<br />
dall'operatore stesso che si trova all'interno delle protezioni perimetrali ed effettua le<br />
operazioni di regolazione della macchina; in questo modo sono sì presenti rischi<br />
residui dovuti al comando della macchina stando all'interno delle protezioni<br />
perimetrali, ma le operazioni di regolazione sono effettuabili “in tempo reale” facendo<br />
funzionare la macchina e verificando direttamente e immediatamente l'esito della<br />
regolazione e assicurando comunque un sufficiente livello di protezione<br />
dell'operatore che esegue tale operazione<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 31
Direttiva 2006/42/CE<br />
Considerando<br />
(14) I requisiti essenziali di sicurezza e di tutela<br />
della salute dovrebbero essere rispettati al fine di<br />
garantire che la macchina sia sicura; questi<br />
requisiti dovrebbero essere applicati con<br />
discernimento, tenendo conto dello stato dell'arte al<br />
momento della costruzione e dei requisiti tecnici ed<br />
economici<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 32
Raggiungimento di una adeguata riduzione dei rischi<br />
(UNI EN ISO 14121-1:2007)<br />
1:2007)<br />
Si è raggiunta una adeguata riduzione del rischio quando:<br />
tutte le condizioni operative e tutte le procedure di intervento<br />
sulla macchina sono state considerate<br />
i pericoli sono stati eliminati e i rischi ridotti al più basso livello<br />
fattibile<br />
ogni nuovo pericolo introdotto dall'adozione di misure di<br />
protezione è stato adeguatamente tenuto in considerazione<br />
gli utilizzatori siano sufficientemente informati a proposito dei<br />
rischi residui<br />
le varie misure di protezione sono compatibili tra di loro<br />
sono state sufficientemente considerate le conseguenze che<br />
possono derivare dall'uso di una macchina progettata per uso<br />
professionale/industriale in un contesto non professionale/non<br />
industriale<br />
le misure di protezione non influenzano negativamente le<br />
condizioni di lavoro dell'operatore o l'usabilità della macchina<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 33
Guida per la valutazione dei rischi<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 34
Metodi per la valutazione dei rischi<br />
La valutazione dei rischi legati alla macchina dovrebbe essere<br />
effettuata da un gruppo di persone<br />
Tale gruppo di persone deve:<br />
conoscere la macchina nei sui diversi aspetti (meccanici,<br />
elettrici, ecc.) e l’ambiente in cui viene utilizzata;<br />
avere la possibilità di recuperare dati ed informazioni tecniche;<br />
conoscere il ciclo di funzionamento della macchina, comprese<br />
le regolazioni e le manutenzioni previste;<br />
essere a conoscenza di eventuali incidenti (o quasi-incidenti)<br />
pregressi;<br />
saper usare la macchina (quindi conoscere eventuali<br />
comportamenti scorretti prevedibili degli operatori).<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 35
Registrazione delle informazioni<br />
Il processo di identificazione dei pericoli deve essere<br />
documentato utilizzando un sistema organico che comprenda<br />
perlomeno la registrazione delle seguenti informazioni:<br />
il pericolo e la sua collocazione (la zona pericolosa);<br />
la situazione pericolosa, indicando le persone che sono<br />
esposte al pericolo (operatori, manutentori, altre persone) e<br />
l'operazione che li espone al pericolo;<br />
come la situazione pericolosa provoca un danno come<br />
conseguenza di un evento pericoloso oppure di esposizione<br />
prolungata;<br />
eventualmente, la natura e la gravità del danno (conseguenze);<br />
eventualmente, le misure di protezione esistenti e la loro<br />
efficacia.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 36
Metodi per la valutazione dei rischi<br />
Le informazioni da reperire per eseguire l’analisi dei rischi possono essere<br />
molto differenti a seconda della tipologia di <strong>macchine</strong>, in base alla complessità e<br />
all’estensione della macchina e possono richiedere:<br />
Ricerche documentali<br />
Raccolta di dichiarazioni di conformità (per es. recipienti in pressione) e di istruzioni<br />
per l’uso di fornitori, di schede di sicurezza delle sostanze utilizzate, ecc.<br />
Analisi dei disegni di progetto, degli schemi elettrici, pneumatici ed idraulici<br />
Analisi del flusso dei materiali ed eventuali posizioni pericolose per gli operatori<br />
Analisi di <strong>macchine</strong> simili già in servizio<br />
Raccolta di foto e video già presenti in archivio<br />
Storico infortuni, errori di utilizzo, quasi-incidenti<br />
Sopralluoghi<br />
Visite presso il luogo in cui verrà utilizzata la macchina durante le operazioni di<br />
montaggio e messa a punto<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 37
Metodi per l’identificazione l<br />
dei pericoli<br />
Esistono fondamentalmente due possibili approcci al processo di<br />
identificazione dei pericoli:<br />
i metodi deduttivi (top-down) partono dalle possibili conseguenze (per<br />
esempio schiacciamento, taglio, ecc.) e stabiliscono se e cosa può<br />
causare un danno (andando a ritroso dall'evento pericoloso, alla<br />
situazione pericolosa e quindi al pericolo stesso); ogni possibile<br />
conseguenza viene applicata a ogni fase del ciclo di vita della<br />
macchina e a ogni sua parte o funzione e/o ogni operazione svolta su<br />
di essa;<br />
i metodi induttivi (bottom-up) partono dall'elenco dei possibili pericoli<br />
e identificano le possibili circostanze in cui tali pericoli possono<br />
causare un danno, cioè le possibili situazioni pericolose e i possibili<br />
eventi pericolosi; questo approccio può essere più comprensivo e<br />
scrupoloso rispetto ai metodi deduttivi, ma può anche richiedere un<br />
maggiore sforzo e tempo per essere portato a termine.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 38
Metodi per l’identificazione l<br />
dei pericoli<br />
top-down<br />
Danno<br />
Situazione<br />
pericolosa<br />
Evento pericoloso<br />
Zona pericolosa<br />
Presenza di<br />
persone<br />
Pericolo<br />
bottom-up<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 39
Metodi per la stima dei rischi<br />
I metodi per la stima dei rischi possono essere semplici<br />
metodi qualitativi oppure dettagliati metodi quantitativi<br />
La scelta del metodo da utilizzare è più un orientamento<br />
«culturale» che un'esigenza pratica; infatti i vari metodi<br />
sono spesso intercambiabili e combinabili tra di loro<br />
La maggior parte dei metodi per la stima dei rischi<br />
disponibili si basano su uno dei seguenti metodi:<br />
matrici di rischio<br />
grafici di rischio<br />
punteggi numerici<br />
quantificazione<br />
metodi ibridi<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 40
Matrici di rischio<br />
Le matrici di rischio sono tabelle multidimensionali che consentono di combinare classi<br />
di gravità del danno con classi di probabilità di accadimento del danno<br />
Nelle caselle di intersezione di ogni classe di gravità con ogni classe di probabilità<br />
sono contenute le stime del rischio per la situazione pericolosa presa in<br />
considerazione, normalmente espressa con un indice (per esempio da 1 a 6 oppure<br />
da A a D) o in modo qualitativo (per esempio “alto”, “medio” e “basso”)<br />
Un esempio di matrice di rischio è mostrato di seguito, dove le classi di gravità e<br />
probabilità di accadimento del danno possono essere determinate secondo i seguenti<br />
criteri:<br />
gravità del danno<br />
catastrofica: morte o lesione irreversibile (perdita della funzione di parte del corpo,<br />
amputazione)<br />
seria: lesione reversibile grave (recupero della funzione delle parti del corpo offese<br />
solo dopo lungo tempo, recupero non completo della loro funzione)<br />
moderata: lesione reversibile lieve (che richiede un intervento medico ma che<br />
consente il recupero della funzione delle parti del corpo offese dopo un tempo breve)<br />
minore: nessuna lesione oppure lesione reversibile molto lieve (che non richiede un<br />
intervento medico e consente la ripresa pressoché immediata del lavoro)<br />
probabilità di accadimento del danno<br />
molto probabile: quasi certo che accada<br />
probabile: può accadere<br />
poco probabile: è improbabile che accada<br />
remota: quasi impossibile che accada<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 41
Matrici di rischio<br />
Probabilità di<br />
accadimento<br />
dell'evento<br />
pericoloso<br />
Gravità del danno<br />
Catastrofica Seria Moderata Minore<br />
Molto probabile Alto Alto Alto Medio<br />
Probabile Alto Alto Medio Basso<br />
Poco probabile Medio Medio Basso Trascurabile<br />
Remota Basso Basso Trascurabile Trascurabile<br />
Stima del rischio<br />
Alto<br />
Medio<br />
Criterio di accettabilità<br />
Rischio intollerabile<br />
Rischio non desiderabile e tollerabile solamente se la riduzione del rischio non è praticamente<br />
realizzabile oppure se i suoi costi sono sproporzionati rispetto al miglioramento ottenuto<br />
Basso<br />
Rischio tollerabile se i costi della riduzione del rischio sono superiori al miglioramento ottenuto<br />
Trascurabile<br />
Rischio accettabile<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 42
Grafici di rischio<br />
I grafici di rischio sono alberi in cui ogni nodo rappresenta un parametro da cui partono<br />
rami che vengono seguiti a seconda del valore che assume il parametro; al termine<br />
dei rami sono indicate le classi di rischio normalmente espresse con un indice<br />
Un esempio di grafico di rischio è contenuto nella norma UNI EN ISO 13849-1:2008<br />
dove tale metodo viene utilizzato per la determinazione del livello di prestazione<br />
richiesto (PL r ), i criteri di attribuzione dei parametri possono essere i seguenti:<br />
gravità del danno<br />
S1: lesione reversibile di entità lieve (lacerazione, bruciatura, taglio superficiale)<br />
S2: lesione reversibile di entità grave (taglio profondo, frattura, …), lesione<br />
irreversibile (amputazione, …) oppure morte<br />
frequenza e tempo di esposizione al pericolo<br />
F1: frequenza bassa (meno di una volta alla settimana) e/o tempo di<br />
esposizione corto (meno di 30 minuti)<br />
F2: frequenza alta (una volta alla settimana o più) e/o tempo di esposizione<br />
lungo (più di 30 minuti)<br />
possibilità di evitare il pericolo<br />
P1: possibile in determinate condizioni (operazioni eseguite da personale<br />
esperto, velocità di manifestazione del pericolo bassa, pericolo evidente)<br />
P2: scarsamente possibile (operazioni eseguite da personale non specializzato,<br />
velocità di manifestazione del pericolo alta, pericolo non evidente)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 43
Grafici di rischio<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
P1<br />
P2<br />
S1<br />
S2<br />
F1 a b<br />
F2 b c<br />
F1 c d<br />
F2 d e<br />
Matrice di rischio equivalente<br />
al grafico di rischio<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 44
Punteggi numerici<br />
I metodi che si basano su punteggi numerici raggruppano i parametri da valutare<br />
in classi, in modo analogo a quanto accade per le matrici o i grafici di rischio; in<br />
questo caso però ai parametri vengono assegnati punteggi numerici (per<br />
esempio da 1 a 20) e non termini descrittivi; i punteggi dei vari parametri<br />
vengono quindi combinati tra di loro per ottenere la classificazione complessiva<br />
del rischio<br />
Un esempio di metodo che utilizza punteggi numerici può essere il seguente:<br />
punteggio di gravità (PG)<br />
catastrofica: morte o lesione irreversibile (perdita della funzione di parte del corpo)<br />
[PG ≥ 100]<br />
seria: lesione reversibile grave (recupero della funzione delle parti del corpo offese<br />
solo dopo lungo tempo oppure recupero non completo) [99 ≥ PG ≥ 90]<br />
moderata: lesione reversibile lieve (che richiede un intervento medico ma che<br />
consente il recupero della funzione delle parti del corpo offese dopo un tempo breve)<br />
[89 ≥ PG ≥ 30]<br />
minore: nessuna lesione oppure lesione reversibile molto lieve (che non richiede un<br />
intervento medico e consente la ripresa pressoché immediata del lavoro)<br />
[29 ≥ PG ≥ 0]<br />
punteggio di probabilità (PP)<br />
molto probabile: quasi certo che accada [PP ≥ 100]<br />
probabile: può accadere [99 ≥ PG ≥ 70]<br />
poco probabile: è improbabile che accada [69 ≥ PG ≥ 30]<br />
remota: quasi impossibile che accada [29 ≥ PG ≥ 0]<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 45
Punteggi numerici<br />
Il punteggio di rischio (PR) può essere ottenuto come somma dei due<br />
punteggi:<br />
PR = PG + PP<br />
Categoria<br />
Valore del punteggio di<br />
rischio<br />
Alto PR ≥ 160<br />
Medio 159 ≥ PR ≥ 120<br />
Basso 119 ≥ PR ≥ 90<br />
Trascurabile 89 ≥ PR ≥ 0<br />
Un vantaggio dei metodi basati sui punteggi numerici è la possibilità di<br />
pesare differentemente i vari parametri presi in considerazione, per<br />
esempio moltiplicando ogni parametro per un diverso fattore<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 46
Quantificazione<br />
La stima dei rischi quantitativa consiste nel calcolo<br />
matematico — il più accurato possibile tenendo conto dei dati<br />
disponibili — della probabilità dell'accadimento di un determinato<br />
evento in un periodo di tempo definito; la stima dei rischi<br />
quantitativa permette al rischio calcolato di essere confrontato<br />
con indici statistici quali il numero di incidenti per anno di un<br />
determinato tipo su una specifica macchina<br />
La principale difficoltà nell'effettuare una stima dei rischi<br />
quantitativa consiste nella scarsità dei dati di partenza su cui<br />
basare la stima, soprattutto in termini di dati divisi per gravità e<br />
probabilità di accadimento del danno; inoltre lo sforzo e il tempo<br />
richiesti per eseguire la stima sono estremamente elevati<br />
Un'altra criticità nell'applicazione di questo tipo di metodi<br />
consiste nella valutazione dell'incertezza associata ai dati di<br />
partenza e nella determinazione di come questa incertezza si<br />
propaga attraverso l'algoritmo di calcolo e quindi nei risultati<br />
ottenuti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 47
Metodi ibridi<br />
I metodi ibridi combinano due o più dei metodi esposti<br />
sopra, prendendo da ognuno di essi alcuni elementi<br />
che più si adattano al processo di stima dei rischi che<br />
si vuole seguire<br />
Per esempio si possono utilizzare matrici di rischio in<br />
cui ad alcuni parametri viene assegnato un punteggio<br />
numerico<br />
Un esempio di metodo ibrido è contenuto nella norma<br />
CEI EN 62061:2005 dove tale metodo viene utilizzato<br />
per la determinazione del livello di integrità della<br />
sicurezza richiesto (SILCL)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 48
Metodi ibridi<br />
CEI EN 62061:2005<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 49
Metodi ibridi<br />
CEI EN 62061:2005<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 50
Direttiva 2006/42/CE<br />
<strong>Sicurezza</strong> ed affidabilità dei sistemi di comando (§1.2.1)(<br />
I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di<br />
situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che:<br />
resistano alle previste sollecitazioni di servizio e agli influssi esterni,<br />
un'avaria nell'hardware o nel software del sistema di comando non crei situazioni<br />
pericolose,<br />
errori della logica del sistema di comando non creino situazioni pericolose,<br />
errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose.<br />
Particolare attenzione richiede quanto segue:<br />
la macchina non deve avviarsi in modo inatteso,<br />
i parametri della macchina non devono cambiare in modo incontrollato, quando tale<br />
cambiamento può portare a situazioni pericolose,<br />
non deve essere impedito l'arresto della macchina, se l'ordine di arresto è già stato dato,<br />
nessun elemento mobile della macchina o pezzo trattenuto dalla macchina deve cadere o<br />
essere espulso,<br />
l'arresto manuale o automatico degli elementi mobili di qualsiasi tipo non deve essere<br />
impedito,<br />
i dispositivi di protezione devono rimanere pienamente efficaci o dare un comando di<br />
arresto,<br />
le parti del sistema di controllo legate alla sicurezza si devono applicare in modo coerente<br />
all'interezza di un insieme di <strong>macchine</strong> e/o di quasi <strong>macchine</strong>.<br />
In caso di comando senza cavo deve essere attivato un arresto automatico quando non si<br />
ricevono i segnali di comando corretti, anche quando si interrompe la comunicazione.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 51
Sistemi di comando aventi funzioni di sicurezza<br />
Le parti dei sistemi di comando aventi funzioni di sicurezza devono garantire una sufficiente<br />
resistenza ai guasti da assicurare lo svolgimento della funzione di sicurezza anche in presenza<br />
di anomalie; a tale proposito possono essere utilizzate tecniche quali:<br />
uso di componenti «affidabili» o «ben collaudati», ovvero la cui probabilità di guasto è bassa;<br />
uso di componenti a «modo di guasto orientato», cioè che in caso di guasto normalmente si<br />
vengono a trovare in uno stato che assicura comunque che la funzione di sicurezza venga<br />
svolta (per esempio sensori che arrestano la macchina quando aprono il circuito elettrico e<br />
che normalmente si guastano interrompendo il circuito);<br />
applicazione della «ridondanza» dei componenti o dei sotto sistemi e del loro<br />
«monitoraggio», ovvero la strutturazione del sistema di comando in modo che in caso di<br />
anomalia in una parte del sistema un'altra parte svolga la stessa funzione e che il corretto<br />
funzionamento di parti del sistema di comando venga tenuto sotto controllo in modo che al<br />
presentarsi di un'anomalia venga attivata una funzione che assicuri comunque il<br />
funzionamento sicuro della macchina;<br />
utilizzo della «diversità»<br />
à», cioè di tecniche differenti in più parti del sistema di comando in<br />
modo da minimizzare la probabilità che più componenti o parti del sistema si guastino per<br />
una stessa causa; per esempio nell'ambito di un circuito elettrico si possono usare<br />
combinazioni di contatti normalmente aperti e normalmente chiusi, oppure in un sistema<br />
logico programmabile due CPU di costruttori diversi, oppure ancora un sistema di comando<br />
può essere la combinazione di parti elettriche e parti pneumatiche.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 52
Funzioni di sicurezza<br />
UNI EN ISO 13849-1:2008,<br />
1:2008, §5.2<br />
Arresto di sicurezza (interblocchi di ripari, arresto di<br />
emergenza, ecc.)<br />
Ripristino manuale<br />
Avvio / riavvio<br />
Controllo locale<br />
Inibizione dei dispositivi di sicurezza (muting)<br />
Tempo di risposta<br />
Parametri correlati alla sicurezza (velocità, pressione,<br />
temperatura, flusso d’aria, finecorsa, ecc.)<br />
Fluttuazione, mancanza e ripristino delle alimentazioni<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 53
Direttiva 2006/42/CE<br />
Allegato V<br />
Elenco indicativo dei componenti di sicurezza di cui all’art.<br />
2 lettera C [estratto]<br />
Dispositivi di protezione per rilevare la presenza di persone<br />
Blocchi logici per assicurare funzioni di sicurezza<br />
Valvole dotate di mezzi ausiliari per il rilevamento di guasti<br />
destinate ad essere utilizzate per il comando dei movimenti<br />
pericolosi delle <strong>macchine</strong><br />
Sistemi di estrazione per le emissioni delle <strong>macchine</strong><br />
Ripari e dispositivi di protezione destinati a proteggere le<br />
persone esposte contro le parti mobili coinvolte nel processo<br />
di lavorazione delle <strong>macchine</strong><br />
Dispositivi di arresto di emergenza<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 54
Perché due nuove norme<br />
La norma EN 954-1 è stata sostituita in quanto<br />
mancante di una valutazione probabilistica della<br />
prestazioni dei sistemi di comando e controllo per<br />
la sicurezza delle <strong>macchine</strong>.<br />
Le norme EN 62061 ed EN ISO 13849-1<br />
rispondono a questa esigenza con l'introduzione di<br />
misure concrete e di parametri di riferimento per<br />
valutare le prestazioni dei dispositivi in termini di<br />
affidabilità, copertura diagnostica, immunità in<br />
relazione a una particolare architettura del sistema<br />
di controllo.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 55
Campo di applicazione della UNI EN ISO 13849-1:2008<br />
1:2008<br />
La prima parte della norma UNI EN ISO 13849 fornisce i requisiti di<br />
sicurezza ed i principi per la progettazione e l'integrazione delle parti<br />
relative alla sicurezza dei sistemi di controllo (SRP/CS), compresa la<br />
progettazione del software.<br />
Per queste parti del SRP/CS specifica le caratteristiche, che includono il<br />
livello di prestazione (PL), necessarie per l'espletamento di funzioni di<br />
sicurezza.<br />
Essa si applica a SRP/CS, indipendentemente dal tipo di tecnologia o<br />
energia utilizzata (elettrica, idraulica, pneumatica, meccanica, ecc.), per<br />
tutti i tipi di <strong>macchine</strong>.<br />
La norma UNI EN ISO 13849-1:2008 prevede, inoltre, specifici requisiti<br />
per SRP/CS che utilizzano sistemi elettronici programmabili<br />
sistemi elettronici programmabili.<br />
Essa non fornisce i requisiti specifici per la progettazione di prodotti che<br />
sono parti del SRP/CS; tuttavia i principi dati, come categorie o livelli di<br />
prestazione, possono essere usati.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 56
Campo di applicazione della CEI EN 62061:2005<br />
La norma CEI EN 62061:2005 specifica i requisiti e le raccomandazioni per la<br />
progettazione, integrazione e convalida dei requisiti relativi alla sicurezza di<br />
sistemi elettrici, elettronici ed elettronici programmabili (SRECS) per le<br />
<strong>macchine</strong>.<br />
Tale norma:<br />
si riferisce esclusivamente alle prescrizioni per la sicurezza funzionale,<br />
destinate a ridurre il rischio di lesioni o di danni alla salute di persone nelle<br />
immediate vicinanze della macchina o direttamente coinvolte nell’uso della<br />
macchina;<br />
è limitata ai rischi direttamente derivanti dai pericoli della macchina stessa o<br />
di un gruppo di <strong>macchine</strong> che operano insieme in modo coordinato;<br />
non specifica prescrizioni per le prestazioni di elementi di controllo non<br />
elettrici (ad esempio idraulici o pneumatici) di <strong>macchine</strong>;<br />
non tratta i rischi elettrici derivanti dalla stessa apparecchiatura di controllo<br />
(per esempio elettrocuzione; vedere CEI EN 60204-1:2006)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 57
Approccio deterministico vs approccio<br />
probabilistico<br />
Deterministico: si basa sul fatto che la progettazione<br />
del sistema sia corretta<br />
Probabilistico: si basa sulla probabilità statistica di<br />
occorrenza di un evento non voluto o di un guasto<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 58
Applicazione raccomandata delle norme<br />
CEI EN 62061:2005 & UNI EN ISO 13849-1:2008<br />
1:2008<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 59
Definizioni<br />
Sistema di controllo legato alla sicurezza SRP/CS (Safety Related d part of<br />
Control System): parte di un sistema di controllo che risponde a segnali di<br />
ingresso legati alla sicurezza e genera dei corrispondenti segnali di uscita legati<br />
alla sicurezza<br />
Sistema elettrico di controllo relativo alla sicurezza SRECS (Safety Related<br />
Electronic Control System): sistema elettrico di controllo di una macchina il cui<br />
guasto può produrre un immediato aumento del rischio<br />
Funzione di controllo relativa alla sicurezza SRFC (Safety Related ed Function<br />
Control): funzione di controllo, realizzata da uno SRECS con un livello di<br />
integrità specificato, destinata a mantenere la condizione di sicurezza della<br />
macchina, o a evitare un immediato aumento del o dei rischi<br />
Categoria: classificazione delle parti dei sistemi di controllo legate alla sicurezza<br />
in riferimento alla loro resistenza ai guasti ed il loro conseguente<br />
comportamento in condizioni di guasto e che è ottenuta dalla disposizione<br />
strutturale dei componenti, dall’individuazione dei guasti e/o dall’affidabilità<br />
Probabilità di guasti pericolosi all’ora PFH D<br />
(Probably of Dangerous Failure per<br />
Hour):<br />
probabilità media di un guasto pericoloso in un’ora.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 60
Definizioni<br />
Avaria (Fault): stato di un'entità caratterizzato dall'incapacità di eseguire una<br />
funzione richiesta, esclusa l'inabilità durante la manutenzione preventiva o<br />
durante altre azioni programmate o dovuta alla mancanza di mezzi esterni.<br />
Un'avaria è spesso il risultato di un guasto dell'entità stessa, ma può esistere anche<br />
senza un precedente guasto.<br />
Guasto (Failure): cessazione dell'attitudine di una entità ad eseguire la funzione<br />
richiesta.<br />
A seguito del guasto, questa entità è in avaria.<br />
Il “guasto” è un evento da uno stato ad un altro, l’“avaria” è uno stato.<br />
Nella pratica spesso i termini avaria e guasto sono utilizzati come sinonimi.<br />
Questo concetto, così definito, non si applica ad entità composte unicamente da<br />
software.<br />
Guasto di causa comune CCF (Common Cause Failure): guasto di diverse entità,<br />
risultato di un singolo evento, dove un guasto non è conseguenza di altri guasti.<br />
Tolleranza all’avaria avaria FT (Fault Tolerance): capacità di uno SRECS, di un<br />
sottosistema, o di un elemento di quest’ultimo di continuare a eseguire una<br />
funzione richiesta in presenza di avarie o guasti.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 61
Definizioni<br />
Livello di prestazione PL (Performance Level): livello discreto usato per specificare<br />
l’abilità di un sistema di controllo legato alla sicurezza di effettuare una funzione di<br />
sicurezza in determinate condizioni.<br />
Livello di prestazione richiesto PL r (Performance Level required): Livello di<br />
prestazione (PL) applicato in modo da raggiungere i requisiti richiesti per quanto<br />
riguarda la riduzione dei rischi.<br />
Tempo medio ad un guasto pericoloso MTTF d (Mean Time to Dangerous Failure):<br />
tempo medio al verificarsi di un guasto pericoloso.<br />
Copertura diagnostica DC (Diagnostic Coverage): misura dell’efficacia della<br />
diagnostica, che può essere determinata come il rapporto tra la probabilità di guasto<br />
dei guasti pericolosi diagnosticabili e la probabilità totale di occorrenza dei guasti<br />
pericolosi.<br />
Livello di integrità della sicurezza SIL (Safety Integrity Level): livello discreto usato<br />
per specificare l’integrità delle funzioni di sicurezza eseguite da sistemi elettrici,<br />
elettronici ed elettronici programmabili, dove 4 è il più alto livello di integrità mentre 1<br />
è il più basso.<br />
Funzione di sicurezza:<br />
Funzione di sicurezza: funzione di una macchina il cui guasto può provocare un<br />
immediato aumento del o dei rischi.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 62
PL vs SIL<br />
SIL<br />
IEC 61508<br />
no<br />
equivalent<br />
1 2 3 (4)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 63
PL vs SIL<br />
Il livello PL a non ha nessuna corrispondenza con il SIL ed è utilizzato<br />
per ridurre rischi aventi conseguenze lievi e normalmente reversibili. Il<br />
livello di SIL 4 è dedicato a eventi potenzialmente catastrofici<br />
nell’industria di processo, questo livello non è mai richiesto per le<br />
<strong>macchine</strong>. Per questo il livello di PL e corrisponde al SIL 3 ed è<br />
considerato il livello maggiore.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 64
Misure protettive per la riduzione del rischio<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Le misure protettive per la riduzione del rischio che<br />
dovrebbero essere applicate sono:<br />
riduzione della probabilità di guasti a livello dei componenti;<br />
lo scopo è quello di ridurre la probabilità di guasti che<br />
possano compromettere le funzioni di sicurezza; ciò può<br />
essere fatto aumentando l’affidabilità dei componenti, per<br />
esempio con la selezione di componenti testati o progettati<br />
secondo metodologie comprovate in modo da ridurre o<br />
escludere guasti critici<br />
miglioramento della struttura del SRP/CS; lo scopo è quello<br />
di evitare gli effetti pericolosi di un guasto; alcuni guasti<br />
possono essere rilevati e per questo scopo può essere utile<br />
l’utilizzo di una struttura ridondante e/o monitorata<br />
Entrambe queste soluzioni possono essere applicate<br />
singolarmente o in modo combinato<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 65
Grafico per la determinazione del PL r per la funzione di sicurezza<br />
UNI EN ISO 13849-1:2008<br />
1:2008 – Allegato A<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 66
Guida alla scelta dei parametri S, F e P per la stima del rischio<br />
UNI EN ISO 13849-1:2008<br />
1:2008 – Allegato A<br />
Gravità della lesione S1 e S2<br />
Nello stimare il rischio dovuto al guasto di una funzione di sicurezza,<br />
vengono considerati sia le lesioni minori (normalmente reversibili) che<br />
quelle più serie (normalmente irreversibili o fatali).<br />
Per prendere una decisione sulla scelta di S1 e S2 è necessario tenere<br />
conto delle normali conseguenze delle lesioni in esame. Per esempio<br />
bruciature o lacerazioni verranno classificate come S1, amputazioni o<br />
morte come S2.<br />
Frequenza e tempo di esposizione al pericolo F1 e F2<br />
In generale non è possibile stabilire un periodo di tempo specifico per<br />
la determinazione di F1 e F2.<br />
In ogni caso F2 dovrebbe essere selezionato se la persona è<br />
frequentemente o continuamente esposta al pericolo.<br />
Il periodo di esposizione dovrebbe essere valutato in base ad una<br />
media relativa al tempo totale con il quale il macchinario è utilizzato.<br />
Per esempio, se è necessario raggiungere spesso l’utensile in<br />
lavorazione per delle regolazioni, sarà necessario selezionare F2. Se<br />
questo accesso è saltuario dovrà essere selezionato F1.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 67
Guida alla scelta dei parametri S, F e P per la stima del rischio<br />
UNI EN ISO 13849-1:2008<br />
1:2008 – Allegato A<br />
Possibilità di evitare un pericolo P1 e P2<br />
È importante sapere se un pericolo può essere individuato ed evitato<br />
prima dell’incidente. Per esempio, un’importante considerazione è se il<br />
pericolo può essere fisicamente individuato o riconosciuto solamente<br />
tramite mezzi tecnici quali indicatori.<br />
Altri aspetti importanti per la selezione di P possono essere:<br />
operazioni con o senza supervisione;<br />
operazioni eseguite da esperti o da personale non specializzato;<br />
velocità alla quale si presenta il pericolo (ad esempio alta o bassa);<br />
possibilità di evitare il pericolo (ad esempio vie di fuga);<br />
esperienze pratiche di sicurezza sul processo.<br />
Al presentarsi di una situazione pericolosa, P1 dovrebbe essere scelto<br />
solo se c’è una reale possibilità di evitare il pericolo o di ridurre i suoi<br />
effetti; P2 dovrebbe essere scelto se invece non ci sono praticamente<br />
possibilità di evitare il pericolo.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 68
Tempo medio ad un guasto pericoloso (MTTF d )<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Il valore del MTTF d<br />
per ogni canale è espresso in tre livelli (vedi tabella);<br />
dovrebbero essere tenuti in considerazione i valori di ogni canale preso<br />
singolarmente (ad esempio singolo canale oppure ogni canale di un sistema<br />
ridondante).<br />
Per il MTTF d<br />
, viene preso in considerazione un tempo massimo di 100 anni.<br />
Per la stima del MTTF d<br />
di un componente, si possono utilizzare, nell’ordine<br />
dato, i seguenti criteri:<br />
utilizzare i dati forniti dal costruttore;<br />
utilizzare uno dei metodi esposti negli allegati C e D;<br />
scegliere un tempo di 10 anni.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 69
Calcolo e valutazione del MTTF d<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato C<br />
Se i seguenti criteri sono soddisfatti, i valori di MTTF d o di B 10d dei<br />
componenti possono essere stimati dalle tabelle seguenti.<br />
I componenti sono costruiti in accordo con i principi base di sicurezza<br />
e in accordo con la norma UNI EN ISO 13849-2:2008, o altre norme<br />
ad essi applicabili; per conferma vedere le caratteristiche tecniche dei<br />
componenti dichiarate dai fabbricanti;<br />
Il costruttore dei componenti deve specificare l’applicazione<br />
appropriata e le condizioni operative ottimali.<br />
Il progetto del SRP/CS segue i principi basilari di sicurezza in<br />
accordo con la norma UNI EN ISO 13849-2:2008, per<br />
l’implementazione e l’utilizzo del componente.<br />
Se queste condizioni non vengono soddisfatte, il valore di MTTF d deve<br />
essere fornito dal costruttore.<br />
Metodi di calcolo e valutazione del MTTF d per tipologie di componenti<br />
(meccanici, idraulici, pneumatici, elettromeccanici, elettrici, componenti<br />
passivi) sono riportati nell’allegato C della norma UNI EN ISO 13849-<br />
2:2008.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 70
Calcolo e valutazione del MTTF d<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato C<br />
B 10d è il numero di cicli in cui il 10% dei componenti si guasta pericolosamente<br />
dove n op è il numero di operazioni all’anno<br />
Se viene fornito solamente il valore di B 10 , si raccomanda (se non diversamente<br />
giustificato, ad esempio nel caso di componenti con modo di guasto orientato) di<br />
considerare il 50% di guasti pericolosi, ovvero B 10d = 2 × B 10<br />
Il tempo medio entro il quale il 10% dei componenti si guasta pericolosamente è dato da<br />
La relazione con il tempo medio al guasto pericoloso è la seguente<br />
Il tempo di utilizzo non dovrebbe essere superiore al minimo valore di T 10d dei componenti<br />
utilizzati per funzioni di sicurezza<br />
Il manuale di istruzioni della macchina dovrebbe prescrivere la sostituzione dei<br />
componenti utilizzati per funzioni di sicurezza alla scadenza del tempo di utilizzo<br />
considerato o una volta trascorso il T 10d , utilizzando il minore dei due valori<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 71
Esempi di valutazione del MTTF d<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato C<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 72
Norme che trattano MTTF d<br />
o B 10d dei componenti<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato C<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 73
Norme che trattano MTTF d<br />
o B 10d dei componenti<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato C<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 74
Metodo semplificato per la stima del MTTF d<br />
per ogni canale<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato D<br />
Il valore di MTTF d di tutti i singoli componenti che compongono un<br />
canale sono usati nel calcolo<br />
MTTF d è quello complessivo dell’intero canale<br />
MTTF di , MTTF dj è il MTTF d di ogni componente che da un contributo<br />
nell’esecuzione della funzione di sicurezza<br />
La prima somma è quella con tutti i componenti separatamente; la<br />
seconda è quella in cui gli n j componenti simili con MTTF dj identici<br />
sono raggruppati assieme.<br />
In alternativa è possibile calcolare direttamente il valore di PFH D (ad<br />
esempio nel caso in cui tale dato viene fornito direttamente dal<br />
costruttore, come può capitare per i PLC di sicurezza)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 75
Metodo semplificato per la stima del MTTF d<br />
per ogni canale<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato D<br />
MTTF d<br />
per diversi canali, simmetrizzazione del MTTF d<br />
per ogni canale<br />
Le architetture predefinite mostrate nella norma UNI EN ISO 13849-1:2008<br />
assumono il fatto che per diversi canali di un SRP/CS ridondante, il valore del<br />
MTTF d è lo stesso per ogni canale.<br />
Se il MTTF d dei canali differisce, ci sono due possibilità:<br />
deve essere tenuto conto il valore più basso come assunzione del caso peggiore;<br />
la seguente equazione può essere usata per stimare il valore di MTTF d<br />
assumibile per ogni canale:<br />
dove MTTF d C1 e MTTF d C2 sono i due valori dei canali ridondanti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 76
Copertura diagnostica (DC)<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Il valore di DC viene espresso in quattro livelli (vedi tabella).<br />
Per la stima di DC, nella maggior parte dei casi la failure mode and<br />
effects analysis (FMEA) o metodi simili possono essere utili. In questo<br />
caso tutti i guasti rilevanti o i modi di guasto possono essere<br />
considerati e il PL della combinazione di SRP/CS può essere<br />
confrontato con quello richiesto (PL r ).<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 77
Criteri di stima della copertura diagnostica media<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato E<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 78
Calcolo della copertura diagnostica media (DC avg<br />
UNI EN ISO 13849-1:2008<br />
1:2008 – Allegato E<br />
In molti sistemi possono essere utilizzate parecchie misure per il rilevamento<br />
dei guasti. Queste misure possono controllare diverse parti del SRP/CS e<br />
avere diverse DC. Per una stima del PL utilizzando i metodi semplificati è<br />
possibile utilizzare un solo valore di DC medio per il SRP/CS nel suo insieme.<br />
La DC può essere determinata come rapporto tra il tasso dei guasti pericolosi<br />
rilevati e quello di tutti i guasti pericolosi. In accordo con questa definizione<br />
può essere stimata una copertura diagnostica media (DC avg<br />
):<br />
avg )<br />
Tutti i componenti del SRP/CS a cui è stata applicata l’esclusione dei guasti<br />
vanno considerati e sommati. Per ogni blocco si deve considerare sia il<br />
MTTF d<br />
che la DC.<br />
Componenti senza rilevamento dei guasti (ovvero che non vengono<br />
controllati) hanno DC = 0 e contribuiscono solo al denominatore nel calcolo<br />
della DC avg<br />
.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 79
Procedura semplificata per la stima del PL<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Per una stima più semplice del PL possono essere fatte le seguenti assunzioni<br />
se l’architettura utilizzata rientra in quelle riportate al §6.2 della norma UNI EN<br />
ISO 13849-1:2008:<br />
un tempo di utilizzo di 20 anni;<br />
un tasso di guasto costante per tutto il periodo di utilizzo;<br />
per una categoria 2, un rapporto r d<br />
≤ 1/100 r t<br />
;<br />
per una categoria 2 un MTTF d,TE<br />
maggiore della metà del MTTF d,L<br />
.<br />
MTTF d,TE<br />
= MTTF d<br />
del componente che esegue il test per la rilevazione dei<br />
guasti<br />
MTTF d,L<br />
= MTTF d<br />
del componente che esegue le funzioni del SRP/CS<br />
La metodologia considera le categorie come delle architetture con un definito<br />
DC avg<br />
. Il PL di ogni SRP/CS dipende dall’architettura, dal MTTF d<br />
per ogni canale<br />
e dal DC avg<br />
.<br />
Nel caso di architetture con PL r<br />
da a a c, le misure per evitare i guasti possono<br />
essere sufficienti; per applicazioni con rischi maggiori, PL r<br />
da d a e, la struttura<br />
del SRP/CS deve prevedere misure per evitare, individuare e tollerare i guasti.<br />
Misure pratiche includono la ridondanza, la diversità e il monitoraggio.<br />
Per le categorie 2, 3 e 4, devono essere previste sufficienti misure per la<br />
riduzione dei guasti di causa comune.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 80
Procedura semplificata per la stima del PL<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
MTTF d<br />
basso<br />
MTTF d<br />
medio<br />
MTTF d<br />
alto<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 81
Stima numerica del PL<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato K<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 82
Stima numerica del PL<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato K<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 83
Architetture predefinite<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Le architetture predefinite non devono essere<br />
considerate solamente come schemi fisici, ma anche<br />
come schemi logici. Per le categorie 3 e 4 ciò significa<br />
che non tutte le parti devono essere necessariamente<br />
fisicamente ridondanti, ma che ci sono mezzi<br />
ridondanti per assicurare che un guasto non porti ad<br />
una perdita della funzione di sicurezza.<br />
Anche se la varietà delle strutture possibili è alta, i<br />
concetti di base sono spesso simili. Quindi la maggior<br />
parte delle strutture presenti nel campo delle<br />
<strong>macchine</strong> possono essere ricondotte ad una delle<br />
categorie.<br />
Progettazioni che soddisfano le caratteristiche di una<br />
categoria generalmente sono equivalenti<br />
all’architettura predefinita della categoria.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 84
Architetture predefinite<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Le categorie sono i parametri base usati per raggiungere uno<br />
specifico PL. Indicano il comportamento del SRP/CS rispetto alla sua<br />
resistenza ai guasti in base alle considerazioni di progettazione.<br />
La categoria B è la categoria base. La presenza di un guasto porta<br />
alla perdita della funzione di sicurezza.<br />
Nella categoria 1 una migliore resistenza ai guasti viene raggiunta<br />
tramite la selezione e l’utilizzo di componenti.<br />
Nelle categorie 2, 3 e 4, un miglioramento delle prestazioni per una<br />
determinata funzione di sicurezza viene raggiunto fondamentalmente<br />
migliorando la struttura del SRP/CS.<br />
Nella categoria 2 questo viene ottenuto mediante un controllo periodico<br />
che una specifica funzione di sicurezza è funzionante.<br />
Nelle categorie 3 e 4 questo viene ottenuto assicurando che un guasto<br />
singolo non porti alla perdita della funzione di sicurezza.<br />
Nella categoria 4, e dove è ragionevolmente possibile nella categoria 3, il<br />
guasto viene rilevato.<br />
La categoria 4 assicura la resistenza all’accumulo di guasti.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 85
Categoria B<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Il SRP/CS deve, come minimo, essere progettato, costruito, scelto,<br />
montato e combinato in conformità alle norme relative, utilizzando i<br />
princìpi pi di sicurezza di base per la specifica applicazione, in modo che<br />
possano sopportare:<br />
le sollecitazioni di funzionamento previste, per esempio l'affidabilità in<br />
relazione alla capacità e alla frequenza di rottura<br />
l'influenza del materiale elaborato, per esempio i detergenti in una<br />
lavatrice<br />
altre influenze esterne correlate, per esempio vibrazioni meccaniche,<br />
campi esterni, interruzioni dell'alimentazione di energia o disturbi<br />
Le strutture di categoria B sono normalmente sistemi a canale singolo<br />
DC avg<br />
MTTF d<br />
CCF<br />
PL max<br />
Nessuna<br />
Medio-basso<br />
Non rilevante<br />
b<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 86
Categoria 1<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Si devono applicare i requisiti della categoria B e in aggiunta quanto di seguito indicato<br />
Gli SRP/CS di categoria 1 devono essere progettati e costruiti utilizzando componenti e<br />
princìpi pi di sicurezza ben collaudati<br />
Un componente ben collaudato per un'applicazione legata alla sicurezza è un<br />
componente che:<br />
a) è stato largamente usato nel passato con risultati positivi in applicazioni simili, oppure<br />
b) è stato prodotto e collaudato utilizzando princìpi che dimostrano la sua idoneità e<br />
affidabilità per le applicazioni legate alla sicurezza<br />
Componenti e princìpi di sicurezza sviluppati di recente possono essere considerati<br />
equivalenti ai “ben collaudati” se soddisfano i requisiti di b)<br />
La decisione di accettare un particolare componente come ben collaudato può dipendere<br />
dall'applicazione<br />
Componenti elettronici complessi (ad esempio PLC, microprocessori, circuiti integrati<br />
specifici per l’applicazione) non possono essere considerati equivalenti ai “ben collaudati”<br />
Le strutture di categoria 1 sono normalmente sistemi a canale singolo<br />
DC avg<br />
MTTF d<br />
CCF<br />
PL max<br />
Nessuna<br />
Alto<br />
Non rilevante<br />
c<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 87
Categoria 1<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Quando si ha un guasto si può avere la perdita della funzione di<br />
sicurezza. Tuttavia, il MTTF d di ogni canale della categoria 1 è<br />
maggiore di quello di categoria B. Conseguentemente anche la<br />
perdita della funzione di sicurezza è meno probabile.<br />
È importante fare una distinzione tra “componenti ben collaudati”<br />
e “esclusione dei guasti”. La qualifica di un componente ben<br />
collaudato dipende dalla sua applicazione. L’esclusione di un<br />
guasto può portare ad avere un PL molto alto, ma le misure per<br />
poter escludere quel tipo di guasto devono essere mantenute<br />
durante tutto il ciclo di vita del componente. Per assicurare ciò,<br />
possono essere necessarie misure addizionali al di fuori del<br />
sistema di controllo, per esempio:<br />
misure per assicurare il fissaggio di un interruttore dopo la sua<br />
messa a punto,<br />
misure per assicurare il fissaggio della camme,<br />
misure per la protezione contro danneggiamenti esterni.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 88
Categoria 2<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Per la categoria 2, si applicano i requisiti della categoria B, l'uso dei princìpi di<br />
sicurezza ben collaudati e in aggiunta quanto di seguito indicato<br />
Il SRP/CS di categoria 2 deve essere progettato in modo che le sue funzioni<br />
vengano verificate ad opportuni intervalli dal sistema di comando della<br />
macchina<br />
La verifica delle funzioni di sicurezza deve essere effettuata<br />
all'avviamento della macchina e<br />
prima del verificarsi di qualsiasi situazione pericolosa, ad esempio all’avvio di ogni<br />
nuovo ciclo di lavoro, e/o periodicamente durante il funzionamento se la<br />
valutazione dei rischi e il tipo di operazioni dimostrano che è necessario<br />
DC avg<br />
MTTF d<br />
CCF<br />
PL max<br />
Medio-bassa<br />
Da alto a basso<br />
Rilevante<br />
d<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 89
Categoria 2<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
L'attuazione di questa verifica può essere automatica<br />
Qualsiasi verifica delle funzioni di sicurezza deve:<br />
consentire il funzionamento se non sono stati rilevati guasti, oppure<br />
generare un segnale che attivi un'opportuna azione di comando se è stato rilevato un<br />
guasto<br />
Ogniqualvolta sia possibile, tale segnale deve portare ad una situazione sicura; questa<br />
situazione sicura deve essere mantenuta finché il guasto non viene eliminato<br />
Se non è possibile attivare una situazione sicura (per esempio a causa della saldatura<br />
del contatto nell'interruttore finale), il segnale deve fornire un avvertimento del pericolo<br />
La verifica in sé non deve portare ad una situazione pericolosa<br />
L'apparecchiatura di controllo può essere parte integrante o essere separata dalle parti<br />
legate alla sicurezza che forniscono la funzione di sicurezza<br />
In alcuni casi la categoria 2 non è applicabile, perché la verifica della funzione di<br />
sicurezza non può essere applicata a tutti i componenti, per esempio pressostati o<br />
sensori di temperatura<br />
Il comportamento dei sistemi di categoria 2 consente:<br />
che il verificarsi di un guasto porti alla perdita della funzione di sicurezza nell'intervallo tra le due<br />
verifiche<br />
che la perdita delle funzioni di sicurezza sia rilevata dalla verifica<br />
I princìpi tecnici che supportano la validità di una funzione di sicurezza di categoria 2 è<br />
che le soluzione tecniche adottate e, per esempio, la scelta della frequenza di controllo<br />
possono diminuire la probabilità del verificarsi di una situazione pericolosa<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 90
Categoria 3<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Per la categoria 3, si applicano i requisiti della categoria B, l'uso dei princìpi di<br />
sicurezza ben collaudati e in aggiunta quanto di seguito indicato<br />
Il SRP/CS di categoria 3 deve essere progettato in modo che un singolo<br />
guasto in una qualsiasi parte non porti alla perdita della funzione di sicurezza;<br />
ogni qualvolta sia ragionevolmente possibile, il singolo guasto deve essere<br />
rilevato in corrispondenza o prima della successiva richiesta della funzione di<br />
sicurezza<br />
DC avg<br />
MTTF d<br />
CCF<br />
PL max<br />
Medio bassa<br />
Da basso ad alto a<br />
seconda del PL r<br />
Rilevante<br />
e<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 91
Categoria 3<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Il requisito di rilevamento del singolo guasto non significa che<br />
vengano rilevati tutti i guasti; di conseguenza, l'accumulo di<br />
guasti non rilevati può portare ad un segnale di uscita non<br />
previsto e ad una situazione di pericolo sulla macchina<br />
Tipici esempi di misure per il rilevamento dei guasti sono<br />
l’utilizzo di retroazione di contatti guidati meccanicamente di<br />
contattori ed il monitoraggio di uscite elettriche ridondanti<br />
Il comportamento di SRP/CS di categoria 3 consente:<br />
di assicurare sempre la funzione di sicurezza quando si<br />
verifica un guasto singolo<br />
di rilevare alcuni ma non tutti i guasti<br />
che l'accumulo di guasti non rilevati possa portare alla perdita<br />
della funzione di sicurezza<br />
La tecnologia utilizzata influenza le possibilità di applicazione del<br />
rilevamento dei guasti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 92
Categoria 4<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Per la categoria 4, si applicano i requisiti della categoria B, l'uso dei princìpi di<br />
sicurezza ben collaudati e in aggiunta quanto di seguito indicato<br />
Il SRP/CS di categoria 4 deve essere progettato in modo che:<br />
un singolo guasto in una qualsiasi parte legata alla sicurezza non porti ad una<br />
perdita della funzione di sicurezza, e<br />
il singolo guasto venga rilevato in corrispondenza o prima della successiva<br />
richiesta delle funzioni di sicurezza, per esempio immediatamente,<br />
all'accensione, alla fine di un ciclo operativo della macchina; se tale<br />
rilevamento non è possibile, un accumulo di guasti non deve portare alla<br />
perdita della funzione di sicurezza<br />
DC avg<br />
MTTF d<br />
CCF<br />
PL max<br />
Alta (compreso l’accumulo<br />
di guasti)<br />
Alto<br />
Rilevante<br />
e<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 93
Categoria 4<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Il comportamento dei sistemi di categoria 4 consente:<br />
che venga sempre assicurata la funzione di sicurezza<br />
quando si verifica un guasto<br />
che i guasti vengano rilevati in tempo per evitare la<br />
perdita della funzione di sicurezza<br />
che venga tenuto in considerazione l’accumulo di guasti<br />
non rilevati<br />
La differenza tra la categoria 3 e la categoria 4 è un<br />
DC avg maggiore nella categoria 4 e un MTTF d “alto”<br />
per ogni canale<br />
Nella pratica può essere sufficiente considerare una<br />
combinazione di due guasti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 94
Assegnazione del punteggio e quantificazione<br />
delle misure contro i CCF<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 95
Assegnazione del punteggio e quantificazione<br />
delle misure contro i CCF<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 96
Riassunto dei requisiti per le categorie<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Categoria<br />
Riassunto dei requisiti<br />
Comportamento<br />
del sistema<br />
Princìpi per<br />
ottenere la<br />
sicurezza<br />
MTTF d<br />
di ogni<br />
canale<br />
DC avg<br />
CCF<br />
B<br />
Le parti legate alla sicurezza dei<br />
sistemi di comando e/o delle<br />
loro attrezzature di protezione e<br />
dei loro componenti devono<br />
essere progettate, costruite,<br />
scelte, montate e combinate in<br />
conformità alle relative norme in<br />
modo che possano resistere alle<br />
influenze previste.<br />
Devono essere usati princìpi di<br />
sicurezza basilari.<br />
Il verificarsi di un<br />
guasto può portare<br />
alla perdita della<br />
funzione di<br />
sicurezza.<br />
Essenzialmente<br />
caratterizzati<br />
dalla scelta dei<br />
componenti<br />
Da<br />
basso a<br />
medio<br />
Nessuna<br />
Non<br />
rilevante<br />
1<br />
Si devono applicare i requisiti<br />
della categoria B.<br />
Devono essere usati<br />
componenti e princìpi di<br />
sicurezza ben collaudati.<br />
Il verificarsi di un<br />
guasto può portare<br />
alla perdita della<br />
funzione di<br />
sicurezza, ma la<br />
probabilità che si<br />
verifichi è minore di<br />
quella della<br />
categoria B.<br />
Essenzialmente<br />
caratterizzati<br />
dalla scelta dei<br />
componenti<br />
Alto<br />
Nessuna<br />
Non<br />
rilevante<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 97
Riassunto dei requisiti per le categorie<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Categoria<br />
Riassunto dei requisiti<br />
Comportamento<br />
del sistema<br />
Princìpi per<br />
ottenere la<br />
sicurezza<br />
MTTF d<br />
di ogni<br />
canale<br />
DC avg<br />
CCF<br />
2<br />
Si devono applicare i requisiti<br />
della categoria B e l’uso di<br />
princìpi di sicurezza ben<br />
collaudati.<br />
La funzione di sicurezza deve<br />
essere verificata ad opportuni<br />
intervalli dal sistema di controllo<br />
della macchina.<br />
Il verificarsi di un<br />
guasto può portare<br />
alla perdita della<br />
funzione di<br />
sicurezza<br />
nell’intervallo tra le<br />
due verifiche.<br />
La perdita della<br />
funzione di<br />
sicurezza viene<br />
rilevata dalla<br />
verifica.<br />
Essenzialmente<br />
caratterizzati<br />
dalla struttura<br />
Da<br />
basso a<br />
alto<br />
Da<br />
bassa a<br />
media<br />
Rilevante<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 98
Riassunto dei requisiti per le categorie<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Categoria<br />
Riassunto dei requisiti<br />
Comportamento<br />
del sistema<br />
Princìpi per<br />
ottenere la<br />
sicurezza<br />
MTTF d<br />
di ogni<br />
canale<br />
DC avg<br />
CCF<br />
3<br />
Si devono applicare i requisiti<br />
della categoria B e l’uso di<br />
princìpi di sicurezza ben<br />
collaudati.<br />
Le parti legate alla sicurezza<br />
devono essere progettate in<br />
modo che un singolo guasto in<br />
una qualsiasi di queste parti non<br />
porti ad una perdita della<br />
funzione di sicurezza e<br />
ogniqualvolta sia<br />
ragionevolmente possibile il<br />
singolo guasto venga rilevato.<br />
Quando si verifica il<br />
singolo guasto la<br />
funzione di<br />
sicurezza viene<br />
sempre assicurata.<br />
Vengono rilevati<br />
alcuni ma non tutti i<br />
guasti. L'accumulo<br />
di guasti non<br />
rilevati può portare<br />
alla perdita della<br />
funzione di<br />
sicurezza.<br />
Essenzialmente<br />
caratterizzati<br />
dalla struttura<br />
Da<br />
basso a<br />
alto<br />
Da<br />
bassa a<br />
media<br />
Rilevante<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 99
Riassunto dei requisiti per le categorie<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Categoria<br />
Riassunto dei requisiti<br />
Comportamento del<br />
sistema<br />
Princìpi per<br />
ottenere la<br />
sicurezza<br />
MTTF d<br />
di ogni<br />
canale<br />
DC avg<br />
CCF<br />
4<br />
Si devono applicare i<br />
requisiti della categoria B<br />
e l’uso di princìpi di<br />
sicurezza ben collaudati.<br />
Le parti legate alla<br />
sicurezza devono essere<br />
progettate in modo che<br />
un singolo guasto in una<br />
qualsiasi di queste parti<br />
non porti ad una perdita<br />
della funzione di<br />
sicurezza e il singolo<br />
guasto venga rilevato in<br />
corrispondenza o prima<br />
della successiva richiesta<br />
della funzione di<br />
sicurezza.<br />
Se ciò non è possibile, un<br />
accumulo di guasti non<br />
deve portare alla perdita<br />
della funzione di<br />
sicurezza.<br />
Quando si verifica il<br />
singolo guasto la<br />
funzione di sicurezza<br />
viene sempre<br />
assicurata.<br />
Il rilevamento di<br />
guasti accumulati<br />
riduce la probabilità<br />
di perdita della<br />
funzione di sicurezza<br />
(DC alta).<br />
I guasti vengono<br />
rilevati in tempo per<br />
evitare la perdita<br />
della funzione di<br />
sicurezza.<br />
Essenzialmente<br />
caratterizzati<br />
dalla struttura<br />
Alto<br />
Alta<br />
(compreso<br />
l’accumulo dei<br />
guasti)<br />
Rilevante<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 100
Esempio di determinazione del PL r<br />
Per determinare il livello di prestazione richiesto (PL r ) è necessario<br />
individuare, per ogni rischio, i parametri di valutazione, ovvero:<br />
Gravità del danno (Severity)<br />
Frequenza e tempo di esposizione al pericolo (Frequency)<br />
Possibilità di evitare il pericolo (Possibility)<br />
Gravità del danno<br />
[S1 = lesione reversibile di<br />
entità lieve (lacerazione,<br />
bruciatura, taglio superficiale,<br />
…)]<br />
[S2 = lesione reversibile di entità<br />
grave (taglio profondo, frattura,<br />
…), lesione irreversibile<br />
(amputazione, …), morte]<br />
S2<br />
Frequenza e tempo di esposizione<br />
al pericolo<br />
[F1 = frequenza bassa (meno<br />
di una volta alla settimana) e/o<br />
tempo di esposizione corto<br />
(meno di 30 minuti)]<br />
[F2 = frequenza alta (una volta alla<br />
settimana o più) e/o tempo di<br />
esposizione lungo (più di 30<br />
minuti)]<br />
F1<br />
Possibilità di evitare il pericolo<br />
[P1 = possibile in determinate<br />
condizioni (operazioni eseguite<br />
da personale esperto, velocità<br />
di manifestazione del pericolo<br />
bassa, pericolo evidente)]<br />
[P2 = scarsamente possibile<br />
(operazioni eseguite da<br />
personale non specializzato,<br />
velocità di manifestazione del<br />
pericolo alta, pericolo non<br />
evidente)]<br />
P2<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 101
Come determinare il PL r<br />
S2, F1, P2 PL r = d<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 102
Come determinare il PL r<br />
Un PL d può essere raggiunto, ad esempio, utilizzando un circuito<br />
conforme alla categoria 3, avente un MTTF d medio/alto ed una<br />
copertura diagnostica media<br />
MTTF d<br />
basso<br />
MTTF d<br />
medio<br />
MTTF d<br />
alto<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 103
SIL & PL richiesti<br />
I parametri che portano alla determinazione dei SIL e dei PL<br />
richiesti devono essere valutati per ogni rischio presente e per le<br />
differenti modalità di interazione con la macchina<br />
Infatti ogni rischio presente sulla macchina può portare a<br />
conseguenze più o meno gravi per gli operatori oppure la<br />
frequenza di utilizzo di una funzione di sicurezza può essere<br />
diversa (ad esempio nel caso di interblocchi di ripari utilizzati<br />
durante la normale lavorazione oppure solamente per operazioni<br />
di manutenzione)<br />
Se una funzione di sicurezza protegge da più rischi, questa dovrà<br />
soddisfare le caratteristiche prestazionali del rischio maggiore<br />
PL r = max (PL r1 , PL r2 , PL r3 , …)<br />
SILCL = max (SILCL 1<br />
, SILCL 2<br />
, SILCL 3<br />
, …)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 104
CEI EN 62061 & UNI EN ISO 13849-1<br />
Elementi simili<br />
Entrambe le norme richiedono dati affidabilistici dei<br />
componenti utilizzati per la realizzazione del circuito avente<br />
funzioni di sicurezza<br />
C’è una corrispondenza tra il Performance Level (PL), il<br />
Safety Integrity Level (SIL) e la probabilità di guasto<br />
pericoloso all’ora (PFH D )<br />
Ne deriva la possibilità, nella maggior parte dei casi, di<br />
passare da un indicatore all’altro<br />
I requisiti riguardanti il software per funzioni di sicurezza<br />
sono simili ed entrambe le norme richiamano la norma EN<br />
61508-3 più specifica<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 105
CEI EN 62061 & UNI EN ISO 13849-1<br />
Differenze<br />
Per un PL a non si ha nessun SIL corrispondente<br />
Il SIL 4 è dedicato ad eventi potenzialmente catastrofici<br />
possibili in industrie di processo (chimico, nucleare) e che<br />
quindi ha poco a che vedere con i possibili rischi legati alle<br />
<strong>macchine</strong>, di conseguenza il PL maggiore (e) corrisponde<br />
ad un SIL 3<br />
Il SIL 4 non viene nemmeno preso in considerazione dalla<br />
norma EN 62061<br />
La norma CEI EN 62061 non è applicabile a circuiti non<br />
elettrici / elettronici<br />
La norma UNI EN ISO 13849-1 è utilizzabile solamente a<br />
circuiti che possono essere ricondotti alle architetture<br />
predefinite<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 106
CEI EN 62061 & UNI EN ISO 13849-1<br />
Vantaggi e svantaggi<br />
Le due norme hanno numerosi elementi in comune e sono nella<br />
maggior parte dei casi intercambiabili.<br />
La norma CEI EN 62061 appare più adeguata:<br />
nel caso in cui si debbano realizzare circuiti elettronici complessi<br />
per circuiti di sicurezza di impianti di processo dove già si<br />
utilizzano le norme EN 61508 ed EN 61511<br />
in caso si abbiano architetture dei sistemi di controllo non<br />
convenzionali (non riconducibili ad architetture predefinite), anche<br />
se tale caso è poco frequente nella realizzazione dei circuiti di<br />
sicurezza delle <strong>macchine</strong><br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 107
CEI EN 62061 & UNI EN ISO 13849-1<br />
Vantaggi e svantaggi<br />
La norma UNI EN ISO 13849-1 appare più adeguata per la definizione delle<br />
prestazioni dei circuiti di controllo delle <strong>macchine</strong> in quanto:<br />
è applicabile anche ai circuiti non elettrici/elettronici; quindi deve essere<br />
utilizzata se una macchina comprende circuiti di comando non elettrici<br />
aventi funzioni di sicurezza (ad esempio una pressa idraulica)<br />
è applicabile anche in caso si utilizzino circuiti elettronici programmabili<br />
permette di utilizzare architetture predefinite che garantiscono una facile<br />
conversione dalla “vecchia” UNI EN 954-1 utilizzata per molto tempo da<br />
tutti i costruttori di <strong>macchine</strong><br />
la pressoché totalità dei circuiti di sicurezza normalmente utilizzati sulle<br />
<strong>macchine</strong> possono essere ricondotti alle architetture predefinite<br />
le norme di tipo C (specifiche per determinati tipi di <strong>macchine</strong>) solitamente<br />
specificano un PL minimo che il circuito di sicurezza deve garantire<br />
sono disponibili strumenti software gratuiti che permettono di effettuare il<br />
calcolo del livello di prestazione raggiunto in modo facile<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 108
Armonizzazione ai sensi della direttiva 98/37/CE<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 109
Armonizzazione ai sensi della direttiva 98/37/CE<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 110
Armonizzazione ai sensi della direttiva 2006/42/CE<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 111
Software Sistema<br />
Sistema (Safety Integrity Software Tool for the<br />
Evaluation of Machine Applications)<br />
Software gratuito che permette di modellare i sistemi di<br />
controllo (basati sulle architetture designate) e che<br />
permette di calcolare immediatamente le caratteristiche<br />
di affidabilità, incluso il PL<br />
Possibilità di disporre di librerie già completate dalle<br />
case costruttrici contenenti tutti i dati necessari dei<br />
prodotti<br />
http://www.dguv.de/bgia<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 112
La possibilità di<br />
utilizzare librerie<br />
fornite dai costruttori<br />
permette di avere<br />
sempre dati<br />
aggiornati e di poter<br />
provare facilmente<br />
diverse soluzioni con<br />
diversi componenti in<br />
modo da ottenere la<br />
soluzione migliore<br />
Elenco elementi<br />
disponibili<br />
Librerie<br />
Elenco librerie<br />
importate<br />
Caratteristiche<br />
dell’elemento<br />
elemento<br />
selezionato<br />
Help<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 113
Diagramma ad albero di un progetto e<br />
definizione della SRP/CS<br />
Sistema permette di progettare funzioni di sicurezza basandosi su di uno schema ad<br />
albero<br />
PR = Nome del progetto (Project)<br />
SF = Funzione di sicurezza (Safety Function)<br />
SB = Sottosistema (Sub-system), elemento che forma la SF collegato in serie<br />
CH = Canale (Channel), descrive la presenza di una ridondanza all’interno di un<br />
sottosistema<br />
BL = Blocco (Block), descrive i blocchi contenuti all’interno di ogni canale<br />
EL = Elemento (Element), descrive gli elementi contenuti in ogni blocco (presi se<br />
possibile dalle librerie)<br />
TE = Test, descrive l’elemento che esegue le funzioni di test all’interno del progetto<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 114
Diagramma ad albero di un progetto e<br />
definizione della SRP/CS<br />
I sottoblocchi sono collegati in serie tra loro all’interno della SF<br />
All’interno di un sottosistema si possono avere due canali (quindi<br />
una ridondanza) ed un elemento per le funzioni di test<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 115
Definizione di una SRP/CS<br />
Per iniziare è necessario<br />
stimare il PL r<br />
della<br />
funzione di sicurezza<br />
Per ogni sottosistema<br />
bisogna indicare la<br />
categoria corrispondente<br />
all’architettura del circuito<br />
Non è necessario<br />
specificare tutti i livelli del<br />
diagramma ad albero: se<br />
si hanno già i dati del<br />
sottosistema questi<br />
possono essere inseriti<br />
direttamente<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 116
Definizione di una SRP/CS<br />
Si possono specificare le<br />
azioni intraprese per<br />
ogni sottosistema per<br />
evitare le cause di<br />
guasto comune (CCF), il<br />
calcolo dei punteggi è<br />
poi automatico<br />
A seconda del punto del<br />
diagramma selezionato<br />
vengono indicate<br />
direttamente i risultati di<br />
tutto il sistema; eventuali<br />
modifiche modificano<br />
immediatamente i<br />
risultati finali<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 117
Definizione di una SRP/CS<br />
La definizione della copertura diagnostica può essere effettuata in vari<br />
modi, ad esempio secondo i criteri dell’allegato E della norma UNI EN<br />
ISO 13849-1:2008<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 118
Livelli intermedi per DC avg<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 119
Software Sistema<br />
Vantaggi e Svantaggi<br />
Possibilità di importare le librerie dei costruttori con dati sempre<br />
aggiornati (non solo di componenti elettrici)<br />
Possibilità di creare proprie librerie e progetti standard personalizzati da<br />
riutilizzare<br />
Possibilità di cambiare velocemente i componenti utilizzati e verificare il<br />
soddisfacimento dei vincoli prestazionali imposti; velocizzazione della<br />
scelta dei componenti<br />
Limitazione dell’utilizzo solamente ad architetture predefinite; necessità<br />
di tradurre correttamente il circuito in schemi logici corrispondenti ad<br />
un’architettura predefinita<br />
Eventuali esclusioni dei guasti devono essere definite ed inserite negli<br />
schemi a blocchi<br />
Possibilità di stampare automaticamente un report del calcolo<br />
report del calcolo (da<br />
allegare al fascicolo tecnico)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 120
Esempio di comando a due mani<br />
Pressa idraulica per la raddrizzatura di anelli in<br />
metallo dotata di comando a due mani<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 121
Esempio di comando a due mani<br />
Valutazione del PL r :<br />
Gravità del danno = S2 (lesione reversibile di entità grave, lesione<br />
irreversibile o morte)<br />
Frequenza e tempo di esposizione al pericolo = F2 (frequenza alta<br />
ovvero una volta alla settimana o più)<br />
Possibilità di evitare il pericolo = P2 (scarsamente possibile in<br />
quanto velocità di manifestazione del pericolo alta)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 122
Esempio di comando a due mani<br />
Comando per avviare<br />
un movimento<br />
pericoloso della<br />
macchina<br />
Entrambi i pulsanti S1<br />
ed S2 devono essere<br />
premuti<br />
contemporaneamente<br />
I contattori K2 e K3<br />
abilitano / disabilitano<br />
il movimento<br />
pericoloso<br />
Categoria 4, PL r<br />
=e<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 123
Esempio di comando a due mani<br />
Frequenza di attuazione elevata<br />
Il PLC di sicurezza K1 è in grado di rilevare eventuali guasti sia dei pulsanti S1 ed S2 che<br />
dei contattori K1 e K2, impedendo un successivo riavvio della macchina<br />
I due pulsanti S1 ed S2 seguono i principi di ridondanza e differenziazione, ovvero<br />
utilizzano doppi contatti con un contatto normalmente aperto (NO) ed un contatto<br />
normalmente chiuso (NC), entrambi conformi alla IEC 60947-5-1<br />
Pulsanti posizionati in modo tale da non poter essere azionati con una mano sola o con<br />
parti del corpo diverse dalle mani<br />
Il PLC di sicurezza K1 è conforme al tipo III C della norma EN 574, dichiarato dal<br />
costruttore conforme alla categoria 4, PL= e<br />
I contattori K2 e K3 hanno contatti legati e sono monitorati dal PLC di sicurezza K1<br />
Logica di<br />
controllo<br />
Contatto NO<br />
pulsante S1<br />
Contatto NC<br />
pulsante S2<br />
Contattore<br />
CH1<br />
CH2<br />
Rappresentazione hardware<br />
Contatto NO<br />
pulsante S2<br />
Contatto NC<br />
pulsante S1<br />
Contattore<br />
Rappresentazione logica semplificata<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 124
Esempio di comando a due mani<br />
Il PLC di sicurezza K1 viene considerato come un sottosistema a parte con<br />
PFH D =2,47⋅10 -8 , categoria 4 (dati forniti dal costruttore)<br />
I due contatti di ogni pulsante sono collegati in parallelo, quindi su due canali<br />
La necessità che entrambi i comandi debbano essere azionati<br />
contemporaneamente non viene descritta (è assicurata dal PLC di sicurezza K1)<br />
Nel caso in cui non si abbia il dato di affidabilità dei singoli contatti di ogni<br />
pulsante ma solo quello del pulsante intero (comprendente entrambi i contatti) è<br />
possibile usare il valore indicato come quello di ogni singolo contatto, quindi con<br />
un errore di stima che aumenta l’affidabilità<br />
Logica di controllo (Rockwell GuardLogix)<br />
PFH D,K1 =2,47⋅10 -8 (dal costruttore, MTTF d =100 anni, DC=99%)<br />
Pulsanti (Rockwell 800F)<br />
B 10d,S1 =B 10d,S2 =10.000.000 cicli (dal costruttore)<br />
Contattore (Rockwell 700S-CF)<br />
B 10d,K2 =B 10d,K3 =3.000.000 cicli (dal costruttore)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 125
Esempio di comando a due mani<br />
n op,S1,S2 =345.600 cicli all’anno (240 giorni, 8 ore/giorno, 20 s a ciclo)<br />
MTTF d,S1 =MTTF d,S2 =289,35 anni<br />
MTTF d,K2 =MTTF d,K3 =86,8 anni<br />
MTTF d,CH1,CH2 = 54,25 anni (alto)<br />
DC S1 =DC S2 =99% monitoraggio da parte del PLC di sicurezza K1<br />
DC K1 =99% (dal costruttore)<br />
DC K2 =DC K3 =99% monitoraggio da parte del PLC di sicurezza K1<br />
DC sistema =99% (alta)<br />
Misure contro i CCF soddisfatte<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 126
Esempio di comando a due mani<br />
MTTF d,CH1//CH2 =54,25 anni (alto)<br />
DC CH1//CH2 =99% (alta)categoria 4PL e<br />
PFH D,CH1//CH2 =5,26⋅10 -8 (tabella K.1 UNI EN ISO 13849-1:2008)<br />
PFH D = PFH D,CH1//CH2 +PFH D,K1 =5,26⋅10 -8 +2,47⋅10 -8 = 7,73⋅10 -8 PL=e<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 127
Stima numerica del PL<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato K<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 128
Esempio di controllo elettroidraulico per pressa<br />
Pressa idraulica per la formazione ed il taglio delle alette di scambiatori di<br />
calore protetta mediante protezioni perimetrali in rete metallica con porte di<br />
accesso dotate di dispositivo di interblocco<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 129
Esempio di controllo elettroidraulico per pressa<br />
Valutazione del PL r :<br />
Gravità del danno = S2 (lesione reversibile di entità grave, lesione<br />
irreversibile o morte)<br />
Frequenza e tempo di esposizione al pericolo = F2 (frequenza alta<br />
ovvero una volta alla settimana o più)<br />
Possibilità di evitare il pericolo = P2 (scarsamente possibile in<br />
quanto velocità di manifestazione del pericolo alta)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 130
Esempio di controllo elettroidraulico per pressa<br />
L’apertura di un riparo<br />
deve interrompere la<br />
discesa della mazza<br />
della pressa<br />
I movimenti delle valvole<br />
idrauliche 1V3, 1V4 e<br />
1V5 sono comandati da<br />
un PLC funzionale (K1)<br />
Tutte e tre le valvole<br />
sono monitorate<br />
I comandi alle valvole<br />
vengono interrotti da un<br />
modulo di sicurezza<br />
(K2)<br />
Categoria 4, PL r = e<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 131
Esempio di controllo elettroidraulico per pressa<br />
La rottura di uno dei componenti non porta alla perdita della funzione<br />
di sicurezza; tutti i guasti vengono rilevati e, tramite il PLC (K1), viene<br />
impedito un successivo riavvio della macchina<br />
B1 conforme alla IEC 60947-5-1 (apertura forzata)<br />
K2 dichiarato conforme alla categoria 4, PL=e<br />
Le valvole di comando sono dotate di molle che, in assenza di<br />
alimentazione, le portato in posizione tale da arrestare tutti i movimenti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 132
Esempio di controllo elettroidraulico per pressa<br />
n op<br />
=35.040 cicli all’anno (365 giorni, 16 ore, 10 minuti a ciclo)<br />
Sensore B1 (Rockwell Elf)<br />
B 10d,B1<br />
=2⋅10 6 MTTF d,B1<br />
=570 anni<br />
Sensore B2 (Rockwell Sprite)<br />
B 10d,B2<br />
=2⋅10 6 MTTF d,B1<br />
=570 anni<br />
Modulo di sicurezza (Rockwell MSR117)<br />
MTTF d,K2<br />
=100 anni DC=99%<br />
Valvole idrauliche<br />
MTTF d,1V3<br />
=MTTF d,1V4<br />
=MTTF d,1V5<br />
=150 anni<br />
(dal costruttore)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 133
Esempio di controllo elettroidraulico per pressa<br />
MTTF d,B1<br />
=570 anni (alto) 100 anni (alto)<br />
MTTF d,B2<br />
=570 anni (alto) 100 anni (alto)<br />
MTTF d,B1//B2 = 100 anni (alto)<br />
MTTF d,B1//B2<br />
MTTF d,valvole = 88 anni (alto)<br />
MTTF d,valvole<br />
MTTF d,totale = 31,8 anni (alto)<br />
MTTF d,totale<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 134
Esempio di controllo elettroidraulico per pressa<br />
DC B1,B2<br />
= 99% dovuto al controllo del modulo di sicurezza K2<br />
DC K2<br />
= 99% controlli automatici del modulo di sicurezza<br />
DC 1V3,1V4,1V5<br />
= 99% dovuto al monitoraggio di tutte e tre le valvole<br />
DC totale<br />
= 99% (alta)<br />
MTTF d =31,8 anni (alto)<br />
DC=99% (alta)<br />
PFH D =9,54⋅10 -8<br />
Categoria 4<br />
PL=e<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 135
Stima numerica del PL<br />
UNI EN ISO 13849-1:2008<br />
1:2008 - Allegato K<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 136
Considerazioni sui guasti<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
In accordo con la categoria selezionata, la parte relativa alla sicurezza<br />
deve essere progettata per raggiungere il livello di prestazione richiesto<br />
(PL r ). Deve essere valutata la resistenza ai guasti.<br />
La norma UNI EN ISO 13849-2:2008 elenca i più importanti guasti delle<br />
varie tecnologie. La lista dei guasti non è esaustiva e, se necessario,<br />
devono essere considerati anche altri tipi di guasto. In questi casi<br />
dovrebbe essere chiaramente elaborato un metodo di valutazione.<br />
Per nuovi componenti non menzionati nella norma UNI EN ISO 13849-<br />
2:2008, dovrebbe essere usata una failure mode and effects analysis<br />
(FMEA) per stabilire i guasti da considerare per tali componenti.<br />
In generale, bisogna tenere conto dei seguenti criteri:<br />
se, in conseguenza ad un guasto, alcuni componenti si guastano, il<br />
primo guasto assieme agli altri devono essere considerati come un<br />
solo guasto;<br />
due o più guasti separati che intervengono a causa di una causa<br />
comune vanno considerati come un unico guasto (noto come CCF);<br />
non viene considerata la possibilità di avere simultaneamente più<br />
guasti separati generati in modo indipendente.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 137
Esclusione di guasti<br />
UNI EN ISO 13849-1:2008<br />
1:2008<br />
Non è sempre possibile valutare gli SRP/CS senza<br />
escludere determinati guasti. Per l’esclusione dei guasti<br />
fare riferimento alla norma UNI EN ISO 13849-2:2008.<br />
L’esclusione di guasti è un compromesso tra i requisiti di<br />
sicurezza e la teorica possibilità di accadimento di un<br />
guasto.<br />
L’esclusione di un guasto può essere basata su:<br />
improbabilità tecnica di avere un certo tipo di guasto,<br />
esperienza tecnica comunemente accettata, indipendente da<br />
un particolare tipo di applicazione,<br />
requisiti tecnici<br />
requisiti tecnici relativi all’applicazione e a specifici rischi.<br />
Se alcuni guasti vengono esclusi, deve essere fornita una<br />
giustificazione nella documentazione tecnica.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 138
Modalità di guasto dei componenti elettrici/elettronici<br />
CEI EN 62061:2005 - Allegato D<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 139
Il software per funzioni di sicurezza<br />
La creazione di un software è in generale “difficile”: l’affidabilità dei<br />
software non va di pari passo con l’aumento di affidabilità dei<br />
componenti hardware<br />
Quante volte si è obbligati a riavviare il PC per ripristinarne le<br />
funzionalità Quante volte la mancanza di funzionalità deriva dalla<br />
incompatibilità di versioni Quanti aggiornamenti vengono emessi ogni<br />
giorno per i sistemi operativi<br />
In media in un software ci sono 25 errori ogni 1000 righe di codice: al<br />
confronto i guasti dell’hardware (a meno di danneggiamenti per cadute<br />
o infiltrazioni d’acqua) sono relativamente rare<br />
La maggior parte degli errori sono “dormienti” ovvero non si<br />
manifestano fino a che non si vengono a creare determinate condizioni<br />
Non esiste un software privo di errori: è però necessario che in base<br />
all’utilizzo che ne viene fatto (quindi al PL r ) il software rispetti<br />
determinati requisiti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 140
Prescrizioni per la sicurezza del software<br />
Tutte le attività del ciclo<br />
di vita del software (sia<br />
applicativo che di<br />
sistema) avente<br />
funzioni di sicurezza<br />
devono innanzitutto<br />
considerare<br />
l’eliminazione dei<br />
guasti dovuti allo<br />
stesso ciclo di vita del<br />
software (revisioni,<br />
correzioni)<br />
L’obiettivo principale<br />
dei requisiti è quello di<br />
avere un software<br />
leggibile,<br />
comprensibile,<br />
verificabile e<br />
manutenibile<br />
«Modello a V» V<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 141
Prescrizioni per la sicurezza del software<br />
Le specifiche delle funzioni di sicurezza che il software deve eseguire<br />
devono essere chiare<br />
Tali specifiche devono poter essere comprensibili ed eventualmente<br />
verificabili anche da personale non direttamente coinvolto nella<br />
progettazione della macchina<br />
Il software prodotto deve<br />
essere leggibile e facilmente<br />
verificabile, altrimenti le<br />
successive operazioni di<br />
validazione del software<br />
diventano lunghe e difficili<br />
Prima di cominciare a<br />
produrre il codice del<br />
software è necessario definire<br />
la struttura del software,<br />
aiutandosi anche con<br />
diagrammi, in modo da<br />
rendere comprensibile il<br />
processo logico anche ad<br />
eventuali terze parti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 142
Prescrizioni per la sicurezza del software<br />
Utilizzando librerie e moduli con funzioni già validate e documentate è possibile<br />
diminuire il lavoro documentale necessario<br />
Funzioni che sono già state validate da terze parti non necessitano di ulteriori<br />
verifiche, ma la somma di componenti già validati non porta automaticamente ad<br />
un software corretto; un programma complesso comprensivo di più moduli<br />
validati necessita di essere verificato<br />
Normalmente i costruttori di <strong>macchine</strong> scrivono software applicativo e si limitano<br />
alla progettazione del sistema (che quindi deve essere verificato e validato)<br />
utilizzando moduli forniti dal costruttore dell’hardware (quindi già validati)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 143
Prescrizioni per la sicurezza del software<br />
La codifica deve essere leggibile e chiara (inserimento di commenti all’interno<br />
delle righe di codice, preparazione di linee guida, legende con il significato delle<br />
variabili utilizzate, ecc.)<br />
La programmazione deve tenere conto della possibilità di avere errori di calcolo<br />
La verifica delle variabili prima di eseguire passaggi di stato aiuta ad identificare<br />
la presenza di incongruenze o anomalie<br />
Se si conoscono le periferiche in ingresso è possibile prevedere eventuali<br />
malfunzionamenti ed identificare i guasti delle periferiche<br />
Analisi del codice<br />
Per PL bassi (a, b, c) e programmi semplici può bastare una verifica statica del<br />
codice, ed eventualmente un test sulla macchina<br />
Per PL elevati (d, e) i programmi devono essere verificati mediante simulazione<br />
Controlli da effettuare<br />
Il codice è coerente con i diagrammi di progettazione iniziali<br />
Ci sono funzioni non di sicurezza che “scavalcano” delle funzioni di sicurezza<br />
Quali moduli o quali parti del software producono delle variabili legate a funzioni<br />
di sicurezza Quali valori queste possono assumere È possibile verificare la loro<br />
coerenza con il funzionamento della macchina<br />
Ci sono delle parti del software che, in determinate condizioni, non vengono<br />
eseguite<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 144
Esempio di software per funzioni di sicurezza<br />
Operazioni necessarie<br />
acquisizione delle informazioni da parte di diversi sensori<br />
verifica delle informazioni ricevute e controllo degli elementi tenendo<br />
conto delle prescrizioni di sicurezza<br />
controllo degli attuatori<br />
PL r<br />
=d<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 145
Applicazione del modello a V per il ciclo di vita del software<br />
Attività di sviluppo Attività di verifica Documentazione associata<br />
Macchina: identificazione delle<br />
funzione che coinvolgono le<br />
SRP/CS<br />
Architettura: scelta del sistema di<br />
controllo, dei sensori e degli<br />
attuatori<br />
Specifiche software: trascrizione<br />
delle funzioni di sicurezza in<br />
funzioni del software<br />
Architettura del software:<br />
scomposizione delle funzioni in<br />
blocchi funzionali<br />
Codifica: stesura delle righe di<br />
codice necessarie<br />
Identificazione delle funzioni di<br />
sicurezza<br />
Verifica delle caratteristiche di<br />
sicurezza degli elementi scelti<br />
Rilettura e controllo delle<br />
descrizioni<br />
Identificazione dei blocchi più<br />
critici che necessitano di una<br />
revisione e validazione più attenta<br />
Rilettura e controllo del codice,<br />
verifica delle funzioni<br />
Specifiche relative alle funzioni di<br />
sicurezza per il sistema di<br />
controllo<br />
Definizione dell’architettura di<br />
controllo<br />
Descrizione del software<br />
Modellazione dei blocchi<br />
funzionali<br />
Inserimento di commenti nel<br />
codice<br />
Validazione: esecuzione di test e<br />
verifica degli aspetti funzionali e<br />
del comportamento a seguito di<br />
guasti<br />
Verifica del grado di copertura dei<br />
test<br />
Verifica dei risultati dei test<br />
Stesura di documenti che<br />
spiegano i test eseguiti e<br />
commenti in merito ai risultati<br />
ottenuti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 146
Verifica delle specifiche del software<br />
La verifica delle specifiche consiste nella rilettura delle<br />
prescrizioni scritte all’inizio della progettazione e la verifica<br />
che queste siano rispettate<br />
Elementi da verificare:<br />
Interpretazioni errate delle specifiche<br />
Mancanze nelle specifiche dovuta alla mancata<br />
conoscenza del comportamento del SRP/CS<br />
Coerenza delle prove e dei test eseguiti<br />
Modifica del comportamento in funzione dei valori<br />
assumibili dai parametri<br />
Reazione del sistema ai guasti possibili<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 147
Regole di programmazione per la<br />
struttura del programma<br />
Uso di funzioni e blocchi disponibili dal linguaggio in uso<br />
Partizionare il programma in modo da identificare le diverse sezioni che<br />
lo compongono<br />
Commentare ogni sezione del programma per facilitare l’aggiornamento<br />
in caso di modifica<br />
Descrizione delle funzioni richiamate e di quando vengono richiamate<br />
Mantenere la coerenza dei tipi di dati utilizzati con identificazioni<br />
univoche<br />
La sequenza di esecuzione del programma deve essere definita e non<br />
deve poter saltare alcune parti se non espressamente indicato<br />
Evitare di avere parti di codice che non vengono mai eseguite (ad<br />
esempio prove o retaggi di versioni precedenti)<br />
Ogni variabile globale (sia di input che di output) deve avere un nome<br />
esplicativo del suo significato e deve essere descritto da un commento<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 148
Regole di programmazione al livello dei<br />
blocchi funzionali<br />
È preferibile utilizzare blocchi precedentemente validati<br />
La dimensione di ogni blocco dovrebbe essere limitata<br />
Parametri: Massimo 8 valori digitali e due valori interi in ingresso ed<br />
un’uscita<br />
Codice: massimo dieci variabili locali, massimo dieci equazioni booleane<br />
I blocchi funzionali non devono modificare le variabili globali (trasmissione<br />
di dati tra blocchi in modo definito e controllato)<br />
Un blocco funzionale dovrebbe poter verificare l’eventuale inconsistenza<br />
dei dati in ingresso<br />
Il guasto di un blocco deve essere identificato in modo da poter<br />
discriminare tra diversi guasti<br />
Il codice di guasto e lo stato del blocco a seguito del guasto dovrebbero<br />
essere segnalati e accompagnati da commenti<br />
Il ripristino della funzione di blocco allo stato normale dovrebbe essere<br />
accompagnato da commenti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 149
Princìpi di validazione<br />
UNI EN ISO 13849-2:2008<br />
Lo scopo del processo di validazione è di confermare la specifica e la<br />
conformità della progettazione delle parti del sistema di comando legate<br />
alla sicurezza nell'ambito delle specifiche dei requisiti di sicurezza<br />
globali del macchinario<br />
La validazione deve dimostrare che ciascuna delle parti legate alla<br />
sicurezza soddisfa i requisiti della norma UNI EN 954-1:1998 (ISO<br />
13849-1), in particolare:<br />
le caratteristiche di sicurezza specificate per quella determinata parte,<br />
come stabilito nella progettazione<br />
i requisiti della categoria specificata<br />
Per sistemi di grandi dimensioni, a causa delle dimensioni, della<br />
complessità o della forma integrata (con il macchinario) del sistema di<br />
comando, possono essere stabilite disposizioni speciali per:<br />
validazione delle parti del sistema di comando legate alla sicurezza<br />
separatamente prima dell'integrazione, inclusa la simulazione degli<br />
appropriati segnali in ingresso e in uscita<br />
validazione degli effetti dell'integrazione delle parti legate alla sicurezza<br />
nel resto del sistema di comando nell'ambito del contesto del relativo<br />
utilizzo nella macchina<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 150
Elenchi di guasti<br />
UNI EN ISO 13849-2:2008<br />
Elenchi dei guasti generici<br />
Il processo di validazione include la considerazione del comportamento<br />
delle parti del sistema di comando legate alla sicurezza per tutti i guasti<br />
da considerare<br />
Una base per la considerazione dei guasti è fornita negli elenchi dei<br />
guasti nelle appendici informative che contengono:<br />
i componenti/elementi da includere, per esempio conduttori/cavi<br />
i guasti da tenere in considerazione, per esempio cortocircuiti tra conduttori<br />
le esclusioni di guasto permesse<br />
una sezione dedicata alle osservazioni che fornisce le ragioni per<br />
l'esclusione dei guasti<br />
Elenchi dei guasti specifici<br />
Un elenco specifico dei guasti collegati al prodotto deve essere generata<br />
come documento di riferimento per il processo di validazione<br />
Laddove l'elenco specifico dei guasti collegati al prodotto sia basato<br />
sull'elenco generico, esso deve indicare:<br />
i guasti tratti dall'(dagli) elenco(elenchi) generico(i) da includere<br />
qualsiasi altro guasto pertinente da includere ma non indicato nell'elenco<br />
generico<br />
i guasti tratti dall'elenco generico che possono essere esclusi e possono<br />
soddisfare almeno i criteri forniti nell'elenco generico<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 151
Panoramica del processo di validazione<br />
UNI EN ISO 13849-2:2008<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 152
Validazione mediante analisi<br />
UNI EN ISO 13849-2:2008<br />
La validazione delle parti dei sistemi di comando legate alla sicurezza deve<br />
essere condotta mediante analisi<br />
Gli aspetti sottoposti ad analisi sono:<br />
i pericoli identificati durante l'analisi della macchina<br />
l'affidabilità<br />
la struttura del sistema<br />
gli aspetti non quantificabili, qualitativi, che influenzano il comportamento del<br />
sistema<br />
motivazioni deterministiche<br />
Tecniche di analisi<br />
La tecnica di analisi da scegliere dipende dall'obiettivo da raggiungere<br />
Esistono due tipi di tecniche di base:<br />
le tecniche top-down (deduttive) sono idonee per determinare gli eventi iniziatori che<br />
possono portare agli eventi principali identificati, e per calcolare la probabilità degli<br />
eventi principali dalla probabilità degli eventi iniziatori; possono essere utilizzate<br />
anche per indagare sulle conseguenze di guasti multipli identificati; esempi di<br />
tecniche top-down sono l'analisi con albero dei guasti (FTA) e l'analisi con albero<br />
degli eventi (ETA)<br />
le tecniche bottom-up (induttive) sono idonee per indagare sulla conseguenza dei<br />
guasti singoli identificati; esempi di tecniche bottom-up sono l'analisi delle modalità<br />
e degli effetti dei guasti (FMEA) e l'analisi delle modalità di guasto, degli effetti e di<br />
criticità (FMECA)<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 153
Validazione mediante prove<br />
UNI EN ISO 13849-2:2008<br />
Quando la validazione mediante analisi non è sufficiente per dimostrare<br />
la soddisfazione di funzioni di sicurezza e categorie specificate, devono<br />
essere condotte delle prove per completare la validazione; la prova è<br />
sempre complementare all'analisi ed è spesso necessaria<br />
Le prove di validazione devono essere programmate ed effettuate in<br />
modo logico<br />
In particolare:<br />
prima dell'inizio della prova deve essere prodotto un programma di prova<br />
comprendente:<br />
le specifiche delle prove<br />
i risultati attesi delle prove<br />
la cronologia delle prove<br />
deve essere prodotta una registrazione delle prove comprendente quanto<br />
segue:<br />
il nome della persona che ha eseguito la prova<br />
le condizioni ambientali<br />
i procedimenti di prova e l'attrezzatura utilizzata<br />
i risultati della prova<br />
La registrazione della prova deve essere confrontata con il programma<br />
di prova per garantire che gli obiettivi funzionali e di prestazione<br />
specificati siano stati raggiunti<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 154
Validazione mediante prove<br />
UNI EN ISO 13849-2:2008<br />
Il campione di prova deve essere messo in funzione nel modo più possibile<br />
aderente alla relativa configurazione di funzionamento finale, cioè con tutti i<br />
dispositivi periferici ed i coperchi collegati<br />
La prova può essere condotta manualmente o automaticamente (per esempio da<br />
un computer)<br />
Laddove applicata, la validazione delle funzioni di sicurezza mediante prova deve<br />
essere condotta applicando i valori di ingresso, in varie combinazioni, alla parte<br />
legata alla sicurezza del sistema di comando. I corrispondenti valori in uscita<br />
devono essere confrontati ai risultati appropriati specificati<br />
Si raccomanda che la combinazione di questi valori di ingresso sia applicata<br />
sistematicamente al sistema di comando e alla macchina; un esempio di questa<br />
logica è: accensione, avviamento, funzionamento, cambiamenti di direzione,<br />
riavviamento.<br />
Dove necessario, deve essere applicata una più ampia gamma di valori di<br />
ingresso per prendere in considerazione situazioni anomale o insolite per vedere<br />
come rispondono le parti del sistema di comando legate alla sicurezza; tali<br />
combinazioni di dati di ingresso devono prendere in considerazione operazione(i)<br />
scorretta(e) prevedibile(i)<br />
Gli obiettivi della prova sono determinati dalle condizioni ambientali per quella<br />
prova Le condizioni possono essere:<br />
le condizioni ambientali dell'uso previsto, o<br />
condizioni a un particolare valore, o<br />
un dato campo di condizioni se è prevista distorsione<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 155
Validazione delle funzioni di sicurezza<br />
UNI EN ISO 13849-2:2008<br />
Nel processo di validazione è importante controllare gli errori e in<br />
particolare le omissioni nella specifica formulata, elaborata durante<br />
la progettazione<br />
Lo scopo della validazione delle funzioni di sicurezza è quello di<br />
verificare che i segnali di uscita legati alla sicurezza siano corretti e<br />
logicamente dipendenti dai segnali di ingresso secondo la specifica<br />
La validazione dovrebbe coprire tutte le condizioni normali e<br />
anomale prevedibili in simulazione statica e dinamica<br />
Le funzioni di sicurezza specificate devono essere validate in tutte<br />
le modalità di funzionamento della macchina<br />
Ciò significa che la validazione deve essere condotta per dimostrare<br />
la corretta funzionalità:<br />
in diverse configurazioni sufficienti per garantire che tutti i risultati<br />
legati alla sicurezza sono realizzati nei relativi campi completi;<br />
possono essere necessarie delle prove (per esempio prove di<br />
sovraccarico) per validare le funzioni di sicurezza specificate<br />
in risposta ad un segnale anomalo prevedibile da qualsiasi fonte<br />
di ingresso inclusa l'interruzione ed il ripristino dell'alimentazione<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 156
Stima del rischio<br />
CEI EN 62061:2005 – Allegato A<br />
La stima del rischio dovrebbe essere condotta per ogni pericolo,<br />
determinando i parametri di rischio che, come indicato in figura,<br />
dovrebbero essere derivati da quanto segue:<br />
gravità del danno Se<br />
probabilità di occorrenza di tale danno, che è una funzione della:<br />
frequenza e durata dell’esposizione di persone al pericolo Fr<br />
probabilità di occorrenza di un evento pericoloso Pr<br />
possibilità di evitare o limitare il danno Av<br />
Le stime inserite nella tabella dovrebbero generalmente basarsi sulle<br />
considerazioni del caso peggiore per la SRCF<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 157
Gravità (Se)<br />
CEI EN 62061:2005 – Allegato A<br />
La gravità delle lesioni o dei danni alla salute può essere stimata considerando<br />
lesioni reversibili, lesioni irreversibili e decessi. Scegliere un valore appropriato di<br />
gravità dalla tabella sulla base delle conseguenze di una lesione, dove:<br />
4 indica una lesione fatale o significativa irreversibile, tale da rendere molto<br />
difficile continuare lo stesso lavoro dopo la guarigione, ammesso che sia<br />
possibile;<br />
3 indica una lesione importante o irreversibile tale da rendere possibile<br />
continuare lo stesso lavoro dopo la guarigione. Può inoltre includere una<br />
lesione importante grave ma reversibile, quale la rottura di un arto;<br />
2 indica una lesione reversibile, comprese gravi lacerazioni, ferite da taglio e<br />
gravi escoriazioni che richiedono l’intervento di un medico;<br />
1 indica una lesione minore, compresi graffi e lacerazioni minori che<br />
richiedono le cure di un pronto soccorso.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 158
Frequenza e durata dell’esposizione esposizione (Fr)<br />
CEI EN 62061:2005 – Allegato A<br />
Considerare gli aspetti seguenti per determinare il livello dell’esposizione:<br />
necessità di accesso alla zona pericolosa sulla base di tutte le modalità d’uso, per<br />
esempio, funzionamento normale, manutenzione, e<br />
natura dell’accesso, per esempio, alimentazione manuale di materiali, impostazioni.<br />
Dovrebbe quindi essere possibile stimare l’intervallo medio tra le esposizioni e, di<br />
conseguenza, la frequenza media di accesso.<br />
Dovrebbe inoltre essere possibile prevedere la durata, per esempio, se maggiore di 10<br />
min. Quando la durata è inferiore a 10 minuti, il valore può essere ridotto al livello<br />
successivo. Questo non si applica a frequenze di esposizione ≤ 1 ora, che non<br />
dovrebbero mai essere ridotte.<br />
Tale fattore non prende in considerazione il guasto della SRCF.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 159
Probabilità del verificarsi di un evento<br />
pericoloso (Pr)<br />
CEI EN 62061:2005 – Allegato A<br />
Questo parametro può essere stimato considerando:<br />
a) Prevedibilità del comportamento delle parti costitutive della macchina relative al<br />
pericolo in diverse modalità d’uso (per esempio funzionamento normale, manutenzione,<br />
ricerca guasti). Questo richiede un’attenta considerazione del sistema di controllo,<br />
soprattutto per quanto riguarda il rischio di avvio inatteso. Non prendere in<br />
considerazione l’effetto protettivo di qualsiasi SRECS. Questo è necessario per stimare<br />
l’entità del rischio a cui si viene esposti in caso di guasto allo SRECS.<br />
b) Le caratteristiche specificate o prevedibili del comportamento umano relative<br />
all’interazione con le parti componenti della macchina relative al pericolo. Questo può<br />
essere caratterizzato da:<br />
sollecitazioni (per esempio, dovute a vincoli temporali, compiti di lavoro, percezione<br />
della limitazione del danno), e/o<br />
scarsa conoscenza delle informazioni relative al pericolo. Questo è influenzato da<br />
fattori quali capacità, formazione, esperienza e complessità della macchina/processo.<br />
Dovrebbe essere scelta una probabilità “molto alta” del verificarsi di un evento pericoloso per<br />
rispecchiare i vincoli normali alla produzione e le considerazioni del caso peggiore.<br />
Sono richiesti motivi positivi (per esempio, applicazioni ben definite e conoscenza di un<br />
elevato livello di competenza degli utilizzatori) per utilizzare qualsiasi valore inferiore.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 160
Probabilità di evitare o limitare il danno<br />
(Av)<br />
CEI EN 62061:2005 – Allegato A<br />
Questo parametro può essere stimato tenendo conto degli aspetti dei progetti<br />
della macchina e dell’applicazione prevista che possono contribuire a limitare o<br />
evitare il danno derivante da un pericolo. Tali aspetti comprendono, per esempio:<br />
insorgenza improvvisa, ad alta o bassa velocità, dell’evento pericoloso;<br />
possibilità spaziale di sottrarsi al pericolo;<br />
natura del componente o del sistema, per esempio un coltello è generalmente<br />
affilato, un tubo in una latteria è generalmente caldo, l’elettricità è generalmente<br />
pericolosa per sua natura, ma invisibile; e<br />
possibilità di riconoscere un pericolo, per esempio un rischio elettrico: una sbarra di<br />
rame non cambia aspetto se è in tensione o no; per accorgersene è necessario<br />
uno strumento per stabilire se un’apparecchiatura elettrica è energizzata o no; le<br />
condizioni ambientali, per esempio, elevati livelli di rumore, possono impedire a<br />
una persona di sentire l’avviamento di una macchina.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 161
Classe di probabilità e assegnazione del<br />
SILCL<br />
CEI EN 62061:2005 – Allegato A<br />
Per ogni pericolo e, se applicabile, per ogni grado di gravità sommare i punteggi delle<br />
colonne Fr, Pr e Av e inserire la somma nella colonna Cl della tabella<br />
Utilizzando la Tabella successiva, il punto di intersezione tra la riga della gravità (Se) e la<br />
relativa colonna (Cl) indica se è necessaria un’azione. La zona nera indica il SIL assegnato<br />
come obiettivo per la SRCF. Le zone di colore più chiaro dovrebbero essere utilizzate come<br />
raccomandazione per l’uso di altre misure (OM).<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 162
Come determinare il SILCL<br />
Sommare i punteggi delle colonne Fr, Pr e Av e inserire la somma nella<br />
colonna Cl<br />
Il punto di intersezione tra la riga della gravità (Se) e la relativa colonna<br />
(Cl) indica se è necessaria un’azione<br />
La zona nera indica il SIL assegnato come obiettivo per la SRCF<br />
Le zone di colore grigio indicano la raccomandazione per l’uso di<br />
altre misure (OM)<br />
Se=3 Cl=4+4+5=13 SIL = 2<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 163
Modulo di valutazione del rischio<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 164
Verifica del SIL raggiunto da uno SRECS<br />
CEI EN 62061:2005<br />
Il SIL che può essere raggiunto dallo SRECS deve essere considerato<br />
separatamente per ogni SRCF che lo SRECS deve eseguire<br />
Il SIL che può essere raggiunto dallo SRECS deve essere determinato<br />
dalla probabilità di un guasto pericoloso casuale dell’hardware, dai<br />
vincoli all’architettura e dall’integrità sistematica della sicurezza dei<br />
sottosistemi che comprendono lo SRECS. Il SIL raggiunto è inferiore o<br />
pari al valore più basso dei SILCL di ognuno dei sottosistemi per<br />
l’integrità sistematica della sicurezza e i vincoli all’architettura<br />
La probabilità di un guasto pericoloso di ogni SRCF dovuta a guasti<br />
casuali pericolosi dell’hardware deve essere stimata tenendo conto:<br />
dell’architettura degli SRECS in relazione a ogni SRCF considerata<br />
del tasso stimato di guasti di ogni sottosistema nell’esecuzione del<br />
blocco o dei blocchi funzionali assegnati in qualsiasi modalità<br />
suscettibile di causare un guasto pericoloso dello SRECS<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 165
Verifica del SIL raggiunto da uno SRECS<br />
CEI EN 62061:2005<br />
La stima della probabilità di un guasto pericoloso deve essere basata<br />
sulla probabilità di un guasto pericoloso casuale dell’hardware di ogni<br />
sottosistema relativo. La probabilità di guasti pericolosi casuali<br />
dell’hardware dello SRECS è la somma delle probabilità di guasti<br />
casuali pericolosi dell’hardware di tutti i sottosistemi legati<br />
all’esecuzione della SRCF, e deve comprendere, ove è il caso, la<br />
probabilità di errori pericolosi di trasmissione per i processi di<br />
comunicazione di dati digitali (P TE ):<br />
PFH D = PFH D1 + ...+ PFH Dn + P TE<br />
Il SIL ottenuto dagli SRECS secondo i vincoli all’architettura è inferiore o<br />
pari al SILCL più basso di qualsiasi sottosistema interessato<br />
all’esecuzione della SRCF.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 166
Specifica delle prescrizioni per una SRCF<br />
CEI EN 62061:2005 - Allegato B<br />
Specifica delle prescrizioni per una SRCF<br />
Se la porta di protezione è aperta, la velocità di rotazione<br />
dell’albero non deve essere (funzione e integrità) superiore a<br />
quella specificata<br />
Prescrizione di integrità della sicurezza SIL 2<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 167
Scomposizione in blocchi funzionali<br />
CEI EN 62061:2005 - Allegato B<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 168
Concetto iniziale dell’architettura di uno<br />
SRECS<br />
CEI EN 62061:2005 - Allegato B<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 169
Architettura di uno SRECS con funzioni diagnostiche<br />
incorporate all’interno di ogni sottosistema<br />
CEI EN 62061:2005 - Allegato B<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 170
Stima del SIL raggiunto dallo SRECS<br />
CEI EN 62061:2005 - Allegato B<br />
Il SIL che può essere richiesto per lo SRECS deve essere inferiore o uguale ai SILCL di<br />
qualsiasi sottosistema. La probabilità di un guasto pericoloso casuale all’hardware dello<br />
SRECS (PFH DSRECS ) è la somma delle probabilità di guasti pericolosi all’ora di tutti i<br />
sottosistemi (da PFH D1 a PFH Dn ) interessati alla prestazione della funzione di controllo<br />
relativa alla sicurezza e deve comprendere, ove è il caso, la probabilità di errori pericolosi<br />
di trasmissione (P TE ) per i processi di comunicazione di dati digitali nel modo seguente:<br />
Per questo esempio, il valore di guasto da raggiungere per la funzione di controllo<br />
relativa alla sicurezza è SIL 2 e questo equivale a una probabilità di guasti pericolosi<br />
all’ora (PFH D ) compresa tra 10 -7 e 10 -6 . Pertanto, considerando che le probabilità di<br />
un guasto pericoloso all’ora di ogni sottosistema siano quelle indicate nel seguito, la<br />
somma delle probabilità di guasti pericolosi all’ora di tutti i sottosistemi può essere<br />
stimata come indicato nella figura successiva.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 171
Stima del SIL raggiunto dallo SRECS<br />
CEI EN 62061:2005 - Allegato B<br />
Pertanto, in questo esempio, il progetto di SRECS può dimostrare di<br />
soddisfare tutte le prescrizioni per la realizzazione della funzione di<br />
controllo relativa alla sicurezza a SIL 2.<br />
www.quadrasrl.net<br />
Applicazione pratica 138491 & 62061/0 - 172