Sicurezza macchine

La valutazione dei rischi e la progettazione dei circuiti di 

comando delle macchine aventi funzioni di sicurezza 

Applicazione pratica delle norme UNI EN ISO 13849-1 1 & CEI EN 62061 

28 Settembre 2009 

QUADRA S.R.L. — CORNATE D’ADDA (MI) 

TEL. 0396060383 – 0396060351 

WWW.QUADRASRL.NET 

Applicazione pratica 138491 & 62061/0 - 1

La direttiva 2006/42/CE 

A partire dal 29 dicembre 2009 verrà attuata la nuova direttiva macchine 

2006/42/CE, che andrà a sostituire l’attuale direttiva 98/37/CE 

Tra le principali novità introdotte dalla nuova direttiva vi è: 

l’esplicito riferimento alla necessità di eseguire una valutazione dei 

rischi sulla macchina prima di immetterla sul mercato o di metterla in 

servizio 

l’obbligo di integrare tale valutazione all’interno del fascicolo tecnico 

per le macchine previsto dall’allegato VII parte A o della 

documentazione tecnica pertinente per le quasi-macchine prevista 

dall’allegato VII parte B: 

…dalla documentazione relativa alla valutazione dei rischi che deve 

dimostrare la procedura seguita, inclusi: 

un elenco dei requisiti essenziali di sicurezza e di tutela della salute applicabili 

alla macchina, 

le misure di protezione attuate per eliminare i pericoli identificati o per ridurre i 

rischi e, se del caso, l'indicazione dei rischi residui connessi con la macchina 

www.quadrasrl.net 


Direttiva 2006/42/CE 

Considerando 

(23) Il fabbricante o il suo mandatario dovrebbe inoltre garantire 

che sia effettuata una valutazione dei rischi per la macchina 

che intende immettere sul mercato. A tal fine egli dovrebbe 

stabilire quali siano i requisiti essenziali di sicurezza e di tutela 

della salute applicabili alla sua macchina e per i quali dovrà 

adottare provvedimenti. 

(24) È indispensabile che il fabbricante o il suo mandatario 

stabilito nella Comunità, prima di redigere la dichiarazione «CE» 

di conformità, costituisca un fascicolo tecnico della 

costruzione. Tuttavia non è indispensabile che tutta la 

documentazione sia materialmente disponibile in permanenza: 

basta che sia disponibile su richiesta. Essa può non 

comprendere i disegni dettagliati dei sottoinsiemi utilizzati per la 

fabbricazione delle macchine, salvo se la loro conoscenza è 

indispensabile alla verifica della conformità ai requisiti essenziali 

di sicurezza e di tutela della salute. 



Scopo del fascicolo tecnico 

(e della documentazione tecnica pertinente) 

Il fascicolo tecnico, o la documentazione tecnica 

pertinente, deve essere visto come un «mezzo» 

attraverso il quale è possibile realizzare una 

macchina sicura e conforme ai requisiti della direttiva 

macchine, alla stregua di uno schema elettrico per la 

realizzazione dell'equipaggiamento elettrico della 

macchina o di un disegno meccanico per la 

fabbricazione di un determinato pezzo 

Il «fine fine» della direttiva macchine è l'avere nel territorio 

dell'unione europea solamente macchine sicure e non 

certo quello di costringere i fabbricanti a realizzare 

collezioni di documenti inutili 



Criteri per la redazione della 

documentazione 

Bisogna tenere conto del fatto che il fascicolo tecnico e la 

documentazione tecnica pertinente dovranno potere essere letti e 

utilizzati da persone diverse da quelle che li hanno redatti e che tale 

utilizzo può avvenire anche molto tempo dopo la redazione (ad esempio 

da parte di autorità nazionali nell'ambito delle attività di sorveglianza del 

mercato oppure di organi giudiziari in caso di incidente) 

Non utilizzare espressioni gergali e spiegare il significato di tutti i 

termini e le locuzioni usate 

Commentare i documenti (ad esempio spiegazione del funzionamento 

dei circuiti elettrici aventi funzioni di sicurezza) 

Spiegare il ragionamento fatto per decidere le misure di sicurezza 

adottate (ad esempio indicare il non rispetto di una norma illustrando 

le misure alternative prese) 

Il fascicolo tecnico viene lasciato «in eredità» 

ad altri progettisti o ad altre 

persone non facenti parte della stessa organizzazione 



Norme 

Una norma tecnica è un documento formale che stabilisce criteri tecnici 

uniformi o di ingegneria, metodi, processi e pratiche. 

La direttiva 98/34/CE definisce: 

‘norma’: una specifica tecnica approvata da un organismo 

riconosciuto ad attività normativa per applicazione ripetuta o continua, 

la cui osservanza non è obbligatoria, e che è uno dei seguenti: 

norma internazionale: norma adottata da una organizzazione di 

standardizzazione internazionele (per esempio ISO) e quindi resa 

disponibile al pubblico 

norma europea: norma adottata da un ente di standardizzazione europeo 

(per esempio CEN) e quindi resa disponibile al pubblico 

norma nazionale: norma adottata da un ente di standardizzazione 

nazionale (per esempio UNI) e quindi resa disponibile al pubblico 



Enti di normalizzazione nel mondo 

Elettrotecnica 

Elettronica 

Altre aree 

Internazionale IEC ISO 

Europeo CENELEC CEN 

Italia 

Francia 

Germania 

Inghilterra 

CEI 

www.ceiweb.it 

UTE 

www.ute-fr.com 

DKE 

www.dke.de 

BEC-BSI 

www.bsigroup.com 

UNI 

www.uni.com 

AFNOR 

www.afnor.org 

DIN 

www.din.de 

BSI 

www.bsigroup.com 



L’ISO è composta da 161 membri: 

Membri dell’ISO 

Afghanistan, Albania, Algeria, Antigua and Barbuda, Argentina, Armenia Australia, Austria, 

Azerbaijan, Bahrain, Bangladesh, Barbados, Belarus, Belgium, Bhutan, Bolivia, Bosnia and 

Herzegovina, Botswana, Brazil, Brunei, Darussalam, Bulgaria, Burkina Faso, Burundi, 

Cambodia, Cameroon, Canada, Chile, China, Colombia, Congo, The Democratic Republic of 

the Congo, Costa Rica, Croatia, Cuba, Cyprus, Czech Republic, Côte-d'Ivoire, Denmark, 

Dominica, Dominican Republic, Egypt, El Salvador, Eritrea, Estonia, Ethiopia, Fiji, Finland, 

France, Gabon, Gambia, Georgia, Germany, Ghana, Greece, Guatemala, Guinea, Guyana, 

Honduras, Hong Kong, China, Hungary, Iceland, India, Indonesia, Iran Islamic Republic of, 

Iraq, Ireland, Israel, Italy, Jamaica, Japan, Jordan, Kazakhstan, Kenya, Korea, Democratic 

People's Republic Korea, Republic of Kuwait, Kyrgyzstan, Lao People's Democratic Rep., 

Latvia, Lebanon, Lesotho, Liberia, Libyan, Arab, Jamahiriya, Lithuania, Luxembourg, Macau, 

Madagascar, Malawi, Malaysia, Malta, Mauritania, Mauritius, Moldova, Republic of Mongolia, 

Montenegro, Morocco, Mozambique, Myanmar, Namibia, Nepal, Netherlands, New Zealand, 

Norway, Oman, Pakistan, Palestine, Panama, Papua, New Guinea, Paraguay, Peru, 

Philippines, Poland, Portugal, Qatar, Romania, Russian Federation, Rwanda, Saint Lucia, 

Saint Vincent and the Grenadines, Saudi Arabia, Senegal, Serbia, Seychelles, Sierra Leone, 

Singapore, Slovakia, Slovenia, South Africa, Spain, Sri Lanka, Sudan, Suriname, Swaziland, 

Sweden, Switzerland, Syrian Arab Republic, Tajikistan, Tanzania, United Republic of, 

Thailand, Macedonia, Trinidad and Tobago, Tunisia, Turkey, Turkmenistan, USA, Uganda, 

Ukraine, United Arab Emirates, United Kingdom, Uruguay, Uzbekistan, Venezuela, Viet 

Nam, Yemen, Zambia, Zimbabwe 



L’ISO è composta da 76 membri: 

Membri dell’IEC 

Albania, Algeria, Argentina, Australia, Austria, Bahrain, Belarus, 

Belgium, Bosnia & erzegovina, Brazil, Bulgaria, Canada, China, 

Colombia, Croatia, Cuba, Cyprus, Czech epublic, Democratic 

People's Republic of Korea, Denmark, Egypt, Estonia, Finland, 

France, Germany, Greece, Hungary, Iceland, India, Indonesia, Iran, 

Iraq, Ireland, Israel, Italy, Japan, Kazakhstan, Kenya, Korea, Republic 

of, Latvia, Libyan Arab Jamahiriya, Lithuania, Luxembourg, Malaysia, 

Malta, Mexico, Montenegro, Netherlands, New Zealand, Nigeria, 

Norway, Pakistan, Philippines, Rep. of the, Poland, Portugal, Qatar, 

Romania, Russian federation, Saudi Arabia, Serbia, Singapore, 

Slovakia, Slovenia, South Africa, Spain, Sri Lanka, Sweden, 

Switzerland, Thailand, The Former Yugoslav Rep. of Macedonia, 

Tunisia, Turkey, Ukraine, United Kingdom, United States of America, 

Vietnam 



Le norme si dividono in: 

Norme 

norme di tipo A (norme generali di sicurezza): contengono i concetti fondamentali, i 

principi di progettazione e gli aspetti generali applicabili a tutte le macchine (per 

esempio UNI EN ISO 12100-2:2005, UNI EN ISO 14121-1:2007) 

norme di tipo B (norme di sicurezza comuni a gruppi): trattano un aspetto della 

sicurezza o un tipo di dispositivo di sicurezza, applicabili a numerosi tipi di macchine, 

che a sua volta si distinguono in: 

norme di tipo B1, che riguardano aspetti particolari della sicurezza, quali distanze di sicurezza, 

temperature delle superfici raggiungibili, rumore (per esempio UNI EN ISO 13857:2008, UNI EN 

ISO 13732-1:2007) 

norme di tipo B2, che riguardano dispositivi di sicurezza, quali comandi a due mani, dispositivi di 

interblocco, dispositivi sensibili alla pressione, ripari (per esempio UNI EN ISO 13850:2007, UNI 

EN 574:1998) 

norme di tipo C (norme di sicurezza per macchine): contengono i requisiti di 

sicurezza di dettaglio per una macchina o per un gruppo di macchine particolari (per 

esempio UNI EN 692:2006, UNI EN 201:2001) 

Se esiste quindi una norma di tipo C applicabile alla specifica macchina il costruttore ha 

indicazioni particolareggiate sulle possibili soluzioni da adottare per garantire la sicurezza 

della macchina stessa. 



Le norme 

Il principio generale enunciato chiaramente nel diritto comunitario, ed in 

particolare nella risoluzione del 7 maggio 1985, e nelle direttive di nuovo 

approccio è che le norme tecniche sono sempre facoltative: la mancata 

conformità non è mai un’inadempienza in sé, s in quanto il concetto di 

inadempienza comporta sempre l’esistenza di un obbligo. 

Il mancato rispetto della norma non consente di trarre la conclusione 

che il prodotto non sia conforme alla regolamentazione: il fabbricante è 

infatti libero di prendere provvedimenti diversi da quelli stabiliti dalla 

norma. 

Va infatti sottolineato che le norme non sono infallibili: tutte comportano 

i rischi caratteristici a tutti i documenti oggetto di lunghe trattative o di 

compromessi. 

Per rifiutare una macchina munita di marcatura CE, è necessario 

dimostrare il mancato rispetto di almeno un requisito essenziale. La 

semplice mancata conformità a una norma e, a maggior ragione, a una 

norma nazionale non è sufficiente a giustificare l’applicazione di un 

divieto. 



Le norme 

Le norme assumono carattere vincolante solo in tre casi: 

quando la norma è imposta da una normativa: non è il 

caso, ad esempio, delle direttive di nuovo approccio, 

tranne poche eccezioni, dove le disposizioni contenute 

nella norma diventano disposizioni di legge a tutti gli 

effetti; 

quando la norma è inserita in un contratto privato o 

pubblico: in tal caso la conformità diventa un obbligo 

contrattuale che, come qualsiasi impegno di questo tipo, 

è liberamente negoziabile; 

quando la norma codifica lo stato dell’arte 

arte. 



Stato dell’arte 

Stato dell’arte (UNI CEI EN 45020:2007): stadio dello sviluppo, raggiunto in un 

determinato momento, dalle capacità tecniche relative a prodotti, processi e 

servizi basato su pertinenti scoperte scientifiche, tecnologiche e sperimentali 

Solo gli usi dimostrati rientrano nelle regole dell’arte, il che presuppone il 

concetto di ripetitività nel tempo, costanza, notorietà e generalità 

Un uso rientra nello stato dell’arte quando: 

è «conosciuto» dai professionisti ed è possibile attestarne l’esistenza con certezza 

è un uso costante che presenta una certa stabilità nel tempo 

è un uso generale, che non può essere limitato ad un’unica persona 

fa parte di tecniche «attuali», applicate quotidianamente nella prassi industriale, da non 

confondere con le tecniche potenziali o sperimentali né con quelle ormai superate 

Lo stato dell’arte contempla tutti gli ostacoli, compresi i vincoli economici insiti 

nella fabbricazione e nell’impiego di una macchina 

I mezzi impiegati in un momento determinato per rispettare gli obblighi di 

sicurezza secondo lo stato dell’arte possono non essere più accettabili se 

l’evoluzione tecnologica consente di realizzare macchine più sicure o di 

progettare una macchina diversa e al contempo più sicura per raggiungere lo 

stesso obiettivo 




Presunzione di conformità & norme armonizzate 

Art. 7 § 2 

Le macchine costruite in conformità di una norma 

armonizzata, il cui riferimento è stato pubblicato nella 

Gazzetta ufficiale dell'Unione europea, sono presunte 

conformi ai requisiti essenziali di sicurezza e di tutela 

della salute coperti da tale norma armonizzata. 

Art. 7 § 3 

La Commissione pubblica nella Gazzetta ufficiale 

dell'Unione europea i riferimenti delle norme 

armonizzate. 



Pubblicazione dei riferimenti alle norme 

armonizzate 

Sito ufficiale Comunità 

Europea sulle direttive 

di prodotto che 

richiedono la marcatura 

CE 

www.newapproach.org 



Definizioni 

(UNI EN ISO 14121-1:2007 1:2007 & UNI EN ISO 12100-1:2005) 

1:2005) 

Danno: lesione fisica o danno alla salute 

Pericolo: fonte di possibili lesioni fisiche o danni alla salute; il pericolo 

considerato in questa definizione: 

è presente in modo permanente durante l'uso previsto della macchina 

(movimento degli elementi mobili pericolosi, arco elettrico durante la 

fase di saldatura, ecc.), o 

può manifestarsi in modo inatteso (avviamento imprevisto/inatteso, 

ecc.) 

Rischio: combinazione di probabilità e di gravità di possibili lesioni o 

danni alla salute in una situazione pericolosa 

Rischio residuo: rischio che sussiste dopo aver adottato delle misure di 

protezione; è possibile distinguere: 

rischi residui dopo le misure di protezione realizzate in fase di 

progettazione 

rischi residui dopo l’attuazione di tutte le possibili misure di protezione 



Definizioni 

(UNI EN ISO 14121-1:2007 1:2007 & UNI EN ISO 12100-1:2005) 

1:2005) 

Uso previsto di una macchina: uso al quale la macchina è destinata in 

conformità con le indicazioni fornite dal fabbricante, o che è ritenuto usuale in 

relazione alla sua progettazione, costruzione e funzione; l'uso previsto implica 

anche il rispetto delle istruzioni tecniche contenute nelle istruzioni per l’uso e la 

presa in considerazione dell'uso scorretto che è ragionevole prevedere 

Uso ragionevolmente prevedibile: uso della macchina in modo non inteso dal 

progettista, ma che può essere facilmente prevedibile 

Misura di sicurezza: mezzo per ottenere una riduzione del rischio attuata: 

dal progettista della macchina (progettazione intrinsecamente sicura, ripari e 

dispositivi di protezione, informazioni per l’uso) 

dall’utilizzatore (organizzazione [procedure di lavoro, supervisione], misure di 

protezione addizionali, dispositivi di protezione individuali, addestramento) 

Informazioni per l'uso: 

Informazioni per l'uso: misure di protezione composte da comunicazioni e avvisi 

(per esempio testi, parole, segni, segnali, simboli, diagrammi) usati 

separatamente o in combinazione per trasmettere informazioni all'utilizzatore 



Che cosa si può «ragionevolmente» prevedere 

Dal punto di vista giuridico, per persona «ragionevole» s’intende una 

persona dotata di buon senso e di una capacità di comprensione 

normale (media) 

L’esperienza del servizio di assistenza clienti può essere preziosa per 

stabilire il profilo dell’utilizzatore medio 

Il fabbricante è tenuto unicamente a prevedere situazioni «ragionevoli», 

ovvero conformi alla razionalità, alla logica, agli usi e al buon senso e, in 

quest’ottica, deve rispettare un giusto equilibrio. 

Il concetto di «ragionevolmente» prevedibile deve impedire l’irrazionalità 

in materia tecnica e qualsiasi ipotesi estrema, del tipo “infilare il gatto 

nel forno a microonde” 

Le situazioni «ragionevolmente prevedibili» sono fortunatamente meno 

numerose di quelle «possibili» che, a loro volta, sono più limitate di 

quelle «immaginarie» 




Principi generali 

I requisiti essenziali di sicurezza e di tutela della 

salute elencati nel presente allegato sono 

inderogabili. Tuttavia, tenuto conto dello stato della 

tecnica, gli obiettivi da essi prefissi possono non 

essere raggiunti. In tal caso la macchina deve, per 

quanto possibile, essere progettata e costruita per 

tendere verso questi obiettivi. 




Principi generali 

Il fabbricante di una macchina, o il suo mandatario, deve garantire che sia 

effettuata una valutazione dei rischi per stabilire i requisiti di sicurezza e di tutela 

della salute che concernono la macchina. La macchina deve inoltre essere 

progettata e costruita tenendo conto dei risultati della valutazione dei rischi. 

Con il processo iterativo della valutazione dei rischi e della riduzione dei rischi di 

cui sopra, il fabbricante o il suo mandatario: 

stabilisce i limiti della macchina, il che comprende l'uso previsto e l'uso 

scorretto ragionevolmente prevedibile, 

individua i pericoli cui può dare origine la macchina e le situazioni pericolose 

che ne derivano, 

stima i rischi, tenendo conto della gravità dell'eventuale lesione o danno alla 

salute e della probabilità che si verifichi, 

valuta i rischi al fine di stabilire se sia richiesta una riduzione del rischio 

conformemente all'obiettivo della presente direttiva, 

elimina i pericoli o riduce i rischi 

elimina i pericoli o riduce i rischi che ne derivano, applicando le misure di 

protezione nell'ordine indicato nel §1.1.2, lettera b) 




Principi di integrazione della sicurezza (§1.1.2 b) 

Per la scelta delle soluzioni più opportune il fabbricante o il 

suo mandatario deve applicare i seguenti principi, 

nell'ordine indicato: 

eliminare o ridurre i rischi nella misura del possibile 

(integrazione della sicurezza nella progettazione e nella 

costruzione della macchina), 

adottare le misure di protezione necessarie nei confronti dei 

rischi che non possono essere eliminati 

informare gli utilizzatori dei rischi residui dovuti all'incompleta 

efficacia delle misure di protezione adottate, indicare se è 

richiesta una formazione particolare e segnalare se è 

necessario prevedere un dispositivo di protezione individuale. 



Requisiti essenziali di sicurezza 

e di tutela della salute 

Allegato I direttiva 2006/42/CE 

1. Requisiti essenziali di sicurezza e di tutela della salute 

2. Requisiti essenziali supplementari di sicurezza e di tutela della salute per 

talune categorie di macchine 

2.1. Macchine alimentari e macchine per prodotti cosmetici e farmaceutici 

2.2. Macchine portatili tenute e/o condotte a mano 

2.3. Macchine per la lavorazione del legno e di materie con caratteristiche fisiche 

simili 


ovviare ai pericoli dovuti alla mobilità delle macchine 

4. Requisiti essenziali di sicurezza e di tutela della salute per prevenire i 

pericoli dovuti ad operazioni di sollevamento 


le macchine destinate ad essere utilizzate nei lavori sotterranei 


le macchine che presentano particolari pericoli dovuti al sollevamento di 

persone 



Norma per la valutazione dei rischi 



Processo iterativo per ottenere la sicurezza 

Avvio 

(UNI EN ISO 14121-1:2007) 

1:2007) 

Determinazione dei 

limiti della macchina 

Identificazione del 

pericolo 

Analisi del 

rischio 

Stima del rischio 

Processo di 

valutazione del 

rischio 

Valutazione del rischio 

Il rischio è stato 

adeguatamente 

ridotto 

No 

Riduzione del rischio 

(UNI EN ISO 12100- 

1:2005, punto 5) 

Sì 

Fine 



Determinazione dei limiti della macchina 

(UNI EN ISO 14121-1:2007) 

1:2007) 

Limiti d’uso 

Diverse modalità di funzionamento e diverse procedure di intervento 

L’uso della macchina (ambito industriale o domestico) da parte di 

persone diverse (sesso, età,ecc.) 

Livello di formazione degli operatori che possono intervenire (operatori di 

produzione, manutentori, ecc.) 

Esposizione di altre persone ai rischi associati alla macchina, dove 

ragionevolmente prevedibile 

Operatori nelle vicinanze per altre mansioni 

Altro personale nelle vicinanze (poco attento ai possibili rischi) 

Limiti di spazio 

Posizione dei lavoratori 

Interazione e interfacce con la macchina 

Limiti di tempo 

Tempo di vita della macchina o di alcuni dei suoi componenti 



Identificazione dei pericoli 

(UNI EN ISO 14121-1:2007) 

1:2007) 



Identificazione dei pericoli 

(UNI EN ISO 14121-1:2007) 

1:2007) 




(UNI EN ISO 14121-1:2007) 

1:2007) 



Possibilità di neutralizzare o eludere le misure di sicurezza 

(UNI EN ISO 14121-1:2007) 

1:2007) 

La stima dei rischi deve tener conto degli incentivi a neutralizzare o 

eludere le misure di sicurezza, per esempio: 

la misura di sicurezza rallenta la produzione, o interferisce con 

qualsiasi altra attività o preferenza dell'utilizzatore 

la misura di sicurezza è difficile da utilizzare 

sono coinvolte persone diverse dall’operatore 

La stima dei rischi deve considerare se è possibile mantenere le misure 

di sicurezza nella condizione necessaria per fornire il livello di 

protezione richiesto 

Se non è possibile mantenere facilmente una misura di sicurezza in 

un corretto stato di funzionamento, questo può incoraggiare la 

neutralizzazione o l’elusione della misura di sicurezza per consentire 

di continuare a utilizzare la macchina 



Vincoli nella scelta delle misure di sicurezza da adottare 

(UNI EN ISO 14121-1:2007) 

1:2007) 

Vincoli tecnici: 

non sempre le misure di sicurezza che garantirebbero il massimo 

grado di protezione relativamente a un determinato rischio sono 

realizzabili sulla macchina in modo ragionevolmente facile 

Vincoli economici: 

non si può pretendere l'adozione di una misura di sicurezza il cui 

costo è spropositato in relazione al valore della macchina oppure che 

infici la produttività della macchina in modo da renderne l'utilizzo 

economicamente non vantaggioso 

Vincoli legati all'usabilit 

Vincoli legati all'usabilità della macchina: 

della macchina: 

le misure di sicurezza adottate devono tenere in considerazione le 

necessità dell'operatore di interagire con la macchina e consentire 

l'uso della macchina stessa in modo ragionevolmente semplice e 

veloce 



Vincoli legati all'usabilità della macchina 

Se, per esempio, è necessario intervenire all'interno di una zona 

pericolosa racchiusa da protezioni perimetrali dotate di porte 

interbloccate a ogni cambio di lavorazione per effettuare le regolazioni 

e la messa a punto della macchina: 

è possibile consentire il movimento degli organi della macchina solamente con gli 

operatori all'esterno delle protezioni perimetrali, garantendo un livello di rischio molto 

basso, ma costringendo gli operatori a effettuare una regolazione approssimativa 

della macchina, uscire dalle protezioni perimetrali e richiudere le porte interbloccate, 

far partire la macchina per effettuare una prova di produzione, arrestare la 

macchina, entrare all'interno delle protezioni perimetrali, controllare l'esito della 

lavorazione e se non soddisfacente ricominciare da capo 

in alternativa è possibile dotare la macchina di una modalità di funzionamento 

utilizzabile per le operazioni di regolazione e messa a punto nella quale gli organi di 

lavorazione sono azionabili solamente mediante comandi ad azione mantenuta 

(ovvero in modo tale che gli elementi in movimento comandati si arrestino al rilascio 

degli attuatori di comando), in condizioni di sicurezza maggiorate (per esempio a 

velocità lenta) da una postazione di comando portatile che può essere azionata 

dall'operatore stesso che si trova all'interno delle protezioni perimetrali ed effettua le 

operazioni di regolazione della macchina; in questo modo sono sì presenti rischi 

residui dovuti al comando della macchina stando all'interno delle protezioni 

perimetrali, ma le operazioni di regolazione sono effettuabili “in tempo reale” facendo 

funzionare la macchina e verificando direttamente e immediatamente l'esito della 

regolazione e assicurando comunque un sufficiente livello di protezione 

dell'operatore che esegue tale operazione 




Considerando 

(14) I requisiti essenziali di sicurezza e di tutela 

della salute dovrebbero essere rispettati al fine di 

garantire che la macchina sia sicura; questi 

requisiti dovrebbero essere applicati con 

discernimento, tenendo conto dello stato dell'arte al 

momento della costruzione e dei requisiti tecnici ed 

economici 



Raggiungimento di una adeguata riduzione dei rischi 

(UNI EN ISO 14121-1:2007) 

1:2007) 

Si è raggiunta una adeguata riduzione del rischio quando: 

tutte le condizioni operative e tutte le procedure di intervento 

sulla macchina sono state considerate 

i pericoli sono stati eliminati e i rischi ridotti al più basso livello 

fattibile 

ogni nuovo pericolo introdotto dall'adozione di misure di 

protezione è stato adeguatamente tenuto in considerazione 

gli utilizzatori siano sufficientemente informati a proposito dei 

rischi residui 

le varie misure di protezione sono compatibili tra di loro 

sono state sufficientemente considerate le conseguenze che 

possono derivare dall'uso di una macchina progettata per uso 

professionale/industriale in un contesto non professionale/non 

industriale 

le misure di protezione non influenzano negativamente le 

condizioni di lavoro dell'operatore o l'usabilità della macchina 



Guida per la valutazione dei rischi 



Metodi per la valutazione dei rischi 

La valutazione dei rischi legati alla macchina dovrebbe essere 

effettuata da un gruppo di persone 

Tale gruppo di persone deve: 

conoscere la macchina nei sui diversi aspetti (meccanici, 

elettrici, ecc.) e l’ambiente in cui viene utilizzata; 

avere la possibilità di recuperare dati ed informazioni tecniche; 

conoscere il ciclo di funzionamento della macchina, comprese 

le regolazioni e le manutenzioni previste; 

essere a conoscenza di eventuali incidenti (o quasi-incidenti) 

pregressi; 

saper usare la macchina (quindi conoscere eventuali 

comportamenti scorretti prevedibili degli operatori). 



Registrazione delle informazioni 

Il processo di identificazione dei pericoli deve essere 

documentato utilizzando un sistema organico che comprenda 

perlomeno la registrazione delle seguenti informazioni: 

il pericolo e la sua collocazione (la zona pericolosa); 

la situazione pericolosa, indicando le persone che sono 

esposte al pericolo (operatori, manutentori, altre persone) e 

l'operazione che li espone al pericolo; 

come la situazione pericolosa provoca un danno come 

conseguenza di un evento pericoloso oppure di esposizione 

prolungata; 

eventualmente, la natura e la gravità del danno (conseguenze); 

eventualmente, le misure di protezione esistenti e la loro 

efficacia. 



Metodi per la valutazione dei rischi 

Le informazioni da reperire per eseguire l’analisi dei rischi possono essere 

molto differenti a seconda della tipologia di macchine, in base alla complessità e 

all’estensione della macchina e possono richiedere: 

Ricerche documentali 

Raccolta di dichiarazioni di conformità (per es. recipienti in pressione) e di istruzioni 

per l’uso di fornitori, di schede di sicurezza delle sostanze utilizzate, ecc. 

Analisi dei disegni di progetto, degli schemi elettrici, pneumatici ed idraulici 

Analisi del flusso dei materiali ed eventuali posizioni pericolose per gli operatori 

Analisi di macchine simili già in servizio 

Raccolta di foto e video già presenti in archivio 

Storico infortuni, errori di utilizzo, quasi-incidenti 

Sopralluoghi 

Visite presso il luogo in cui verrà utilizzata la macchina durante le operazioni di 

montaggio e messa a punto 



Metodi per l’identificazione l 

dei pericoli 

Esistono fondamentalmente due possibili approcci al processo di 

identificazione dei pericoli: 

i metodi deduttivi (top-down) partono dalle possibili conseguenze (per 

esempio schiacciamento, taglio, ecc.) e stabiliscono se e cosa può 

causare un danno (andando a ritroso dall'evento pericoloso, alla 

situazione pericolosa e quindi al pericolo stesso); ogni possibile 

conseguenza viene applicata a ogni fase del ciclo di vita della 

macchina e a ogni sua parte o funzione e/o ogni operazione svolta su 

di essa; 

i metodi induttivi (bottom-up) partono dall'elenco dei possibili pericoli 

e identificano le possibili circostanze in cui tali pericoli possono 

causare un danno, cioè le possibili situazioni pericolose e i possibili 

eventi pericolosi; questo approccio può essere più comprensivo e 

scrupoloso rispetto ai metodi deduttivi, ma può anche richiedere un 

maggiore sforzo e tempo per essere portato a termine. 



Metodi per l’identificazione l 

dei pericoli 

top-down 

Danno 

Situazione 

pericolosa 

Evento pericoloso 

Zona pericolosa 

Presenza di 

persone 

Pericolo 

bottom-up 



Metodi per la stima dei rischi 

I metodi per la stima dei rischi possono essere semplici 

metodi qualitativi oppure dettagliati metodi quantitativi 

La scelta del metodo da utilizzare è più un orientamento 

«culturale» che un'esigenza pratica; infatti i vari metodi 

sono spesso intercambiabili e combinabili tra di loro 

La maggior parte dei metodi per la stima dei rischi 

disponibili si basano su uno dei seguenti metodi: 

matrici di rischio 

grafici di rischio 

punteggi numerici 

quantificazione 

metodi ibridi 



Matrici di rischio 

Le matrici di rischio sono tabelle multidimensionali che consentono di combinare classi 

di gravità del danno con classi di probabilità di accadimento del danno 

Nelle caselle di intersezione di ogni classe di gravità con ogni classe di probabilità 

sono contenute le stime del rischio per la situazione pericolosa presa in 

considerazione, normalmente espressa con un indice (per esempio da 1 a 6 oppure 

da A a D) o in modo qualitativo (per esempio “alto”, “medio” e “basso”) 

Un esempio di matrice di rischio è mostrato di seguito, dove le classi di gravità e 

probabilità di accadimento del danno possono essere determinate secondo i seguenti 

criteri: 

gravità del danno 

catastrofica: morte o lesione irreversibile (perdita della funzione di parte del corpo, 

amputazione) 

seria: lesione reversibile grave (recupero della funzione delle parti del corpo offese 

solo dopo lungo tempo, recupero non completo della loro funzione) 

moderata: lesione reversibile lieve (che richiede un intervento medico ma che 

consente il recupero della funzione delle parti del corpo offese dopo un tempo breve) 

minore: nessuna lesione oppure lesione reversibile molto lieve (che non richiede un 

intervento medico e consente la ripresa pressoché immediata del lavoro) 

probabilità di accadimento del danno 

molto probabile: quasi certo che accada 

probabile: può accadere 

poco probabile: è improbabile che accada 

remota: quasi impossibile che accada 



Matrici di rischio 

Probabilità di 

accadimento 

dell'evento 

pericoloso 

Gravità del danno 

Catastrofica Seria Moderata Minore 

Molto probabile Alto Alto Alto Medio 

Probabile Alto Alto Medio Basso 

Poco probabile Medio Medio Basso Trascurabile 

Remota Basso Basso Trascurabile Trascurabile 


Alto 

Medio 

Criterio di accettabilità 

Rischio intollerabile 

Rischio non desiderabile e tollerabile solamente se la riduzione del rischio non è praticamente 

realizzabile oppure se i suoi costi sono sproporzionati rispetto al miglioramento ottenuto 

Basso 

Rischio tollerabile se i costi della riduzione del rischio sono superiori al miglioramento ottenuto 

Trascurabile 

Rischio accettabile 



Grafici di rischio 

I grafici di rischio sono alberi in cui ogni nodo rappresenta un parametro da cui partono 

rami che vengono seguiti a seconda del valore che assume il parametro; al termine 

dei rami sono indicate le classi di rischio normalmente espresse con un indice 

Un esempio di grafico di rischio è contenuto nella norma UNI EN ISO 13849-1:2008 

dove tale metodo viene utilizzato per la determinazione del livello di prestazione 

richiesto (PL r ), i criteri di attribuzione dei parametri possono essere i seguenti: 

gravità del danno 

S1: lesione reversibile di entità lieve (lacerazione, bruciatura, taglio superficiale) 

S2: lesione reversibile di entità grave (taglio profondo, frattura, …), lesione 

irreversibile (amputazione, …) oppure morte 

frequenza e tempo di esposizione al pericolo 

F1: frequenza bassa (meno di una volta alla settimana) e/o tempo di 

esposizione corto (meno di 30 minuti) 

F2: frequenza alta (una volta alla settimana o più) e/o tempo di esposizione 

lungo (più di 30 minuti) 

possibilità di evitare il pericolo 

P1: possibile in determinate condizioni (operazioni eseguite da personale 

esperto, velocità di manifestazione del pericolo bassa, pericolo evidente) 

P2: scarsamente possibile (operazioni eseguite da personale non specializzato, 

velocità di manifestazione del pericolo alta, pericolo non evidente) 



Grafici di rischio 

UNI EN ISO 13849-1:2008 

1:2008 

P1 

P2 

S1 

S2 

F1 a b 

F2 b c 

F1 c d 

F2 d e 

Matrice di rischio equivalente 

al grafico di rischio 



Punteggi numerici 

I metodi che si basano su punteggi numerici raggruppano i parametri da valutare 

in classi, in modo analogo a quanto accade per le matrici o i grafici di rischio; in 

questo caso però ai parametri vengono assegnati punteggi numerici (per 

esempio da 1 a 20) e non termini descrittivi; i punteggi dei vari parametri 

vengono quindi combinati tra di loro per ottenere la classificazione complessiva 

del rischio 

Un esempio di metodo che utilizza punteggi numerici può essere il seguente: 

punteggio di gravità (PG) 

catastrofica: morte o lesione irreversibile (perdita della funzione di parte del corpo) 

[PG ≥ 100] 

seria: lesione reversibile grave (recupero della funzione delle parti del corpo offese 

solo dopo lungo tempo oppure recupero non completo) [99 ≥ PG ≥ 90] 

moderata: lesione reversibile lieve (che richiede un intervento medico ma che 

consente il recupero della funzione delle parti del corpo offese dopo un tempo breve) 

[89 ≥ PG ≥ 30] 

minore: nessuna lesione oppure lesione reversibile molto lieve (che non richiede un 

intervento medico e consente la ripresa pressoché immediata del lavoro) 

[29 ≥ PG ≥ 0] 

punteggio di probabilità (PP) 

molto probabile: quasi certo che accada [PP ≥ 100] 

probabile: può accadere [99 ≥ PG ≥ 70] 

poco probabile: è improbabile che accada [69 ≥ PG ≥ 30] 

remota: quasi impossibile che accada [29 ≥ PG ≥ 0] 



Punteggi numerici 

Il punteggio di rischio (PR) può essere ottenuto come somma dei due 

punteggi: 

PR = PG + PP 

Categoria 

Valore del punteggio di 

rischio 

Alto PR ≥ 160 

Medio 159 ≥ PR ≥ 120 

Basso 119 ≥ PR ≥ 90 

Trascurabile 89 ≥ PR ≥ 0 

Un vantaggio dei metodi basati sui punteggi numerici è la possibilità di 

pesare differentemente i vari parametri presi in considerazione, per 

esempio moltiplicando ogni parametro per un diverso fattore 



Quantificazione 

La stima dei rischi quantitativa consiste nel calcolo 

matematico — il più accurato possibile tenendo conto dei dati 

disponibili — della probabilità dell'accadimento di un determinato 

evento in un periodo di tempo definito; la stima dei rischi 

quantitativa permette al rischio calcolato di essere confrontato 

con indici statistici quali il numero di incidenti per anno di un 

determinato tipo su una specifica macchina 

La principale difficoltà nell'effettuare una stima dei rischi 

quantitativa consiste nella scarsità dei dati di partenza su cui 

basare la stima, soprattutto in termini di dati divisi per gravità e 

probabilità di accadimento del danno; inoltre lo sforzo e il tempo 

richiesti per eseguire la stima sono estremamente elevati 

Un'altra criticità nell'applicazione di questo tipo di metodi 

consiste nella valutazione dell'incertezza associata ai dati di 

partenza e nella determinazione di come questa incertezza si 

propaga attraverso l'algoritmo di calcolo e quindi nei risultati 

ottenuti 



Metodi ibridi 

I metodi ibridi combinano due o più dei metodi esposti 

sopra, prendendo da ognuno di essi alcuni elementi 

che più si adattano al processo di stima dei rischi che 

si vuole seguire 

Per esempio si possono utilizzare matrici di rischio in 

cui ad alcuni parametri viene assegnato un punteggio 

numerico 

Un esempio di metodo ibrido è contenuto nella norma 

CEI EN 62061:2005 dove tale metodo viene utilizzato 

per la determinazione del livello di integrità della 

sicurezza richiesto (SILCL) 



Metodi ibridi 

CEI EN 62061:2005 



Metodi ibridi 

CEI EN 62061:2005 




Sicurezza ed affidabilità dei sistemi di comando (§1.2.1)( 

I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di 

situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che: 

resistano alle previste sollecitazioni di servizio e agli influssi esterni, 

un'avaria nell'hardware o nel software del sistema di comando non crei situazioni 

pericolose, 

errori della logica del sistema di comando non creino situazioni pericolose, 

errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose. 

Particolare attenzione richiede quanto segue: 

la macchina non deve avviarsi in modo inatteso, 

i parametri della macchina non devono cambiare in modo incontrollato, quando tale 

cambiamento può portare a situazioni pericolose, 

non deve essere impedito l'arresto della macchina, se l'ordine di arresto è già stato dato, 

nessun elemento mobile della macchina o pezzo trattenuto dalla macchina deve cadere o 

essere espulso, 

l'arresto manuale o automatico degli elementi mobili di qualsiasi tipo non deve essere 

impedito, 

i dispositivi di protezione devono rimanere pienamente efficaci o dare un comando di 

arresto, 

le parti del sistema di controllo legate alla sicurezza si devono applicare in modo coerente 

all'interezza di un insieme di macchine e/o di quasi macchine. 

In caso di comando senza cavo deve essere attivato un arresto automatico quando non si 

ricevono i segnali di comando corretti, anche quando si interrompe la comunicazione. 



Sistemi di comando aventi funzioni di sicurezza 

Le parti dei sistemi di comando aventi funzioni di sicurezza devono garantire una sufficiente 

resistenza ai guasti da assicurare lo svolgimento della funzione di sicurezza anche in presenza 

di anomalie; a tale proposito possono essere utilizzate tecniche quali: 

uso di componenti «affidabili» o «ben collaudati», ovvero la cui probabilità di guasto è bassa; 

uso di componenti a «modo di guasto orientato», cioè che in caso di guasto normalmente si 

vengono a trovare in uno stato che assicura comunque che la funzione di sicurezza venga 

svolta (per esempio sensori che arrestano la macchina quando aprono il circuito elettrico e 

che normalmente si guastano interrompendo il circuito); 

applicazione della «ridondanza» dei componenti o dei sotto sistemi e del loro 

«monitoraggio», ovvero la strutturazione del sistema di comando in modo che in caso di 

anomalia in una parte del sistema un'altra parte svolga la stessa funzione e che il corretto 

funzionamento di parti del sistema di comando venga tenuto sotto controllo in modo che al 

presentarsi di un'anomalia venga attivata una funzione che assicuri comunque il 

funzionamento sicuro della macchina; 

utilizzo della «diversità» 

à», cioè di tecniche differenti in più parti del sistema di comando in 

modo da minimizzare la probabilità che più componenti o parti del sistema si guastino per 

una stessa causa; per esempio nell'ambito di un circuito elettrico si possono usare 

combinazioni di contatti normalmente aperti e normalmente chiusi, oppure in un sistema 

logico programmabile due CPU di costruttori diversi, oppure ancora un sistema di comando 

può essere la combinazione di parti elettriche e parti pneumatiche. 



Funzioni di sicurezza 

UNI EN ISO 13849-1:2008, 

1:2008, §5.2 

Arresto di sicurezza (interblocchi di ripari, arresto di 

emergenza, ecc.) 

Ripristino manuale 

Avvio / riavvio 

Controllo locale 

Inibizione dei dispositivi di sicurezza (muting) 

Tempo di risposta 

Parametri correlati alla sicurezza (velocità, pressione, 

temperatura, flusso d’aria, finecorsa, ecc.) 

Fluttuazione, mancanza e ripristino delle alimentazioni 




Allegato V 

Elenco indicativo dei componenti di sicurezza di cui all’art. 

2 lettera C [estratto] 

Dispositivi di protezione per rilevare la presenza di persone 

Blocchi logici per assicurare funzioni di sicurezza 

Valvole dotate di mezzi ausiliari per il rilevamento di guasti 

destinate ad essere utilizzate per il comando dei movimenti 

pericolosi delle macchine 

Sistemi di estrazione per le emissioni delle macchine 

Ripari e dispositivi di protezione destinati a proteggere le 

persone esposte contro le parti mobili coinvolte nel processo 

di lavorazione delle macchine 

Dispositivi di arresto di emergenza 



Perché due nuove norme 

La norma EN 954-1 è stata sostituita in quanto 

mancante di una valutazione probabilistica della 

prestazioni dei sistemi di comando e controllo per 

la sicurezza delle macchine. 

Le norme EN 62061 ed EN ISO 13849-1 

rispondono a questa esigenza con l'introduzione di 

misure concrete e di parametri di riferimento per 

valutare le prestazioni dei dispositivi in termini di 

affidabilità, copertura diagnostica, immunità in 

relazione a una particolare architettura del sistema 

di controllo. 



Campo di applicazione della UNI EN ISO 13849-1:2008 

1:2008 

La prima parte della norma UNI EN ISO 13849 fornisce i requisiti di 

sicurezza ed i principi per la progettazione e l'integrazione delle parti 

relative alla sicurezza dei sistemi di controllo (SRP/CS), compresa la 

progettazione del software. 

Per queste parti del SRP/CS specifica le caratteristiche, che includono il 

livello di prestazione (PL), necessarie per l'espletamento di funzioni di 

sicurezza. 

Essa si applica a SRP/CS, indipendentemente dal tipo di tecnologia o 

energia utilizzata (elettrica, idraulica, pneumatica, meccanica, ecc.), per 

tutti i tipi di macchine. 

La norma UNI EN ISO 13849-1:2008 prevede, inoltre, specifici requisiti 

per SRP/CS che utilizzano sistemi elettronici programmabili 

sistemi elettronici programmabili. 

Essa non fornisce i requisiti specifici per la progettazione di prodotti che 

sono parti del SRP/CS; tuttavia i principi dati, come categorie o livelli di 

prestazione, possono essere usati. 



Campo di applicazione della CEI EN 62061:2005 

La norma CEI EN 62061:2005 specifica i requisiti e le raccomandazioni per la 

progettazione, integrazione e convalida dei requisiti relativi alla sicurezza di 

sistemi elettrici, elettronici ed elettronici programmabili (SRECS) per le 

macchine. 

Tale norma: 

si riferisce esclusivamente alle prescrizioni per la sicurezza funzionale, 

destinate a ridurre il rischio di lesioni o di danni alla salute di persone nelle 

immediate vicinanze della macchina o direttamente coinvolte nell’uso della 

macchina; 

è limitata ai rischi direttamente derivanti dai pericoli della macchina stessa o 

di un gruppo di macchine che operano insieme in modo coordinato; 

non specifica prescrizioni per le prestazioni di elementi di controllo non 

elettrici (ad esempio idraulici o pneumatici) di macchine; 

non tratta i rischi elettrici derivanti dalla stessa apparecchiatura di controllo 

(per esempio elettrocuzione; vedere CEI EN 60204-1:2006) 



Approccio deterministico vs approccio 

probabilistico 

Deterministico: si basa sul fatto che la progettazione 

del sistema sia corretta 

Probabilistico: si basa sulla probabilità statistica di 

occorrenza di un evento non voluto o di un guasto 



Applicazione raccomandata delle norme 

CEI EN 62061:2005 & UNI EN ISO 13849-1:2008 

1:2008 



Definizioni 

Sistema di controllo legato alla sicurezza SRP/CS (Safety Related d part of 

Control System): parte di un sistema di controllo che risponde a segnali di 

ingresso legati alla sicurezza e genera dei corrispondenti segnali di uscita legati 

alla sicurezza 

Sistema elettrico di controllo relativo alla sicurezza SRECS (Safety Related 

Electronic Control System): sistema elettrico di controllo di una macchina il cui 

guasto può produrre un immediato aumento del rischio 

Funzione di controllo relativa alla sicurezza SRFC (Safety Related ed Function 

Control): funzione di controllo, realizzata da uno SRECS con un livello di 

integrità specificato, destinata a mantenere la condizione di sicurezza della 

macchina, o a evitare un immediato aumento del o dei rischi 

Categoria: classificazione delle parti dei sistemi di controllo legate alla sicurezza 

in riferimento alla loro resistenza ai guasti ed il loro conseguente 

comportamento in condizioni di guasto e che è ottenuta dalla disposizione 

strutturale dei componenti, dall’individuazione dei guasti e/o dall’affidabilità 

Probabilità di guasti pericolosi all’ora PFH D 

(Probably of Dangerous Failure per 

Hour): 

probabilità media di un guasto pericoloso in un’ora. 



Definizioni 

Avaria (Fault): stato di un'entità caratterizzato dall'incapacità di eseguire una 

funzione richiesta, esclusa l'inabilità durante la manutenzione preventiva o 

durante altre azioni programmate o dovuta alla mancanza di mezzi esterni. 

Un'avaria è spesso il risultato di un guasto dell'entità stessa, ma può esistere anche 

senza un precedente guasto. 

Guasto (Failure): cessazione dell'attitudine di una entità ad eseguire la funzione 

richiesta. 

A seguito del guasto, questa entità è in avaria. 

Il “guasto” è un evento da uno stato ad un altro, l’“avaria” è uno stato. 

Nella pratica spesso i termini avaria e guasto sono utilizzati come sinonimi. 

Questo concetto, così definito, non si applica ad entità composte unicamente da 

software. 

Guasto di causa comune CCF (Common Cause Failure): guasto di diverse entità, 

risultato di un singolo evento, dove un guasto non è conseguenza di altri guasti. 

Tolleranza all’avaria avaria FT (Fault Tolerance): capacità di uno SRECS, di un 

sottosistema, o di un elemento di quest’ultimo di continuare a eseguire una 

funzione richiesta in presenza di avarie o guasti. 



Definizioni 

Livello di prestazione PL (Performance Level): livello discreto usato per specificare 

l’abilità di un sistema di controllo legato alla sicurezza di effettuare una funzione di 

sicurezza in determinate condizioni. 

Livello di prestazione richiesto PL r (Performance Level required): Livello di 

prestazione (PL) applicato in modo da raggiungere i requisiti richiesti per quanto 

riguarda la riduzione dei rischi. 

Tempo medio ad un guasto pericoloso MTTF d (Mean Time to Dangerous Failure): 

tempo medio al verificarsi di un guasto pericoloso. 

Copertura diagnostica DC (Diagnostic Coverage): misura dell’efficacia della 

diagnostica, che può essere determinata come il rapporto tra la probabilità di guasto 

dei guasti pericolosi diagnosticabili e la probabilità totale di occorrenza dei guasti 

pericolosi. 

Livello di integrità della sicurezza SIL (Safety Integrity Level): livello discreto usato 

per specificare l’integrità delle funzioni di sicurezza eseguite da sistemi elettrici, 

elettronici ed elettronici programmabili, dove 4 è il più alto livello di integrità mentre 1 

è il più basso. 

Funzione di sicurezza: 

Funzione di sicurezza: funzione di una macchina il cui guasto può provocare un 

immediato aumento del o dei rischi. 



PL vs SIL 

SIL 

IEC 61508 

no 

equivalent 

1 2 3 (4) 



PL vs SIL 

Il livello PL a non ha nessuna corrispondenza con il SIL ed è utilizzato 

per ridurre rischi aventi conseguenze lievi e normalmente reversibili. Il 

livello di SIL 4 è dedicato a eventi potenzialmente catastrofici 

nell’industria di processo, questo livello non è mai richiesto per le 

macchine. Per questo il livello di PL e corrisponde al SIL 3 ed è 

considerato il livello maggiore. 



Misure protettive per la riduzione del rischio 

UNI EN ISO 13849-1:2008 

1:2008 

Le misure protettive per la riduzione del rischio che 

dovrebbero essere applicate sono: 

riduzione della probabilità di guasti a livello dei componenti; 

lo scopo è quello di ridurre la probabilità di guasti che 

possano compromettere le funzioni di sicurezza; ciò può 

essere fatto aumentando l’affidabilità dei componenti, per 

esempio con la selezione di componenti testati o progettati 

secondo metodologie comprovate in modo da ridurre o 

escludere guasti critici 

miglioramento della struttura del SRP/CS; lo scopo è quello 

di evitare gli effetti pericolosi di un guasto; alcuni guasti 

possono essere rilevati e per questo scopo può essere utile 

l’utilizzo di una struttura ridondante e/o monitorata 

Entrambe queste soluzioni possono essere applicate 

singolarmente o in modo combinato 



Grafico per la determinazione del PL r per la funzione di sicurezza 

UNI EN ISO 13849-1:2008 

1:2008 – Allegato A 



Guida alla scelta dei parametri S, F e P per la stima del rischio 

UNI EN ISO 13849-1:2008 


Gravità della lesione S1 e S2 

Nello stimare il rischio dovuto al guasto di una funzione di sicurezza, 

vengono considerati sia le lesioni minori (normalmente reversibili) che 

quelle più serie (normalmente irreversibili o fatali). 

Per prendere una decisione sulla scelta di S1 e S2 è necessario tenere 

conto delle normali conseguenze delle lesioni in esame. Per esempio 

bruciature o lacerazioni verranno classificate come S1, amputazioni o 

morte come S2. 

Frequenza e tempo di esposizione al pericolo F1 e F2 

In generale non è possibile stabilire un periodo di tempo specifico per 

la determinazione di F1 e F2. 

In ogni caso F2 dovrebbe essere selezionato se la persona è 

frequentemente o continuamente esposta al pericolo. 

Il periodo di esposizione dovrebbe essere valutato in base ad una 

media relativa al tempo totale con il quale il macchinario è utilizzato. 

Per esempio, se è necessario raggiungere spesso l’utensile in 

lavorazione per delle regolazioni, sarà necessario selezionare F2. Se 

questo accesso è saltuario dovrà essere selezionato F1. 



Guida alla scelta dei parametri S, F e P per la stima del rischio 

UNI EN ISO 13849-1:2008 


Possibilità di evitare un pericolo P1 e P2 

È importante sapere se un pericolo può essere individuato ed evitato 

prima dell’incidente. Per esempio, un’importante considerazione è se il 

pericolo può essere fisicamente individuato o riconosciuto solamente 

tramite mezzi tecnici quali indicatori. 

Altri aspetti importanti per la selezione di P possono essere: 

operazioni con o senza supervisione; 

operazioni eseguite da esperti o da personale non specializzato; 

velocità alla quale si presenta il pericolo (ad esempio alta o bassa); 

possibilità di evitare il pericolo (ad esempio vie di fuga); 

esperienze pratiche di sicurezza sul processo. 

Al presentarsi di una situazione pericolosa, P1 dovrebbe essere scelto 

solo se c’è una reale possibilità di evitare il pericolo o di ridurre i suoi 

effetti; P2 dovrebbe essere scelto se invece non ci sono praticamente 

possibilità di evitare il pericolo. 



Tempo medio ad un guasto pericoloso (MTTF d ) 

UNI EN ISO 13849-1:2008 

1:2008 

Il valore del MTTF d 

per ogni canale è espresso in tre livelli (vedi tabella); 

dovrebbero essere tenuti in considerazione i valori di ogni canale preso 

singolarmente (ad esempio singolo canale oppure ogni canale di un sistema 

ridondante). 

Per il MTTF d 

, viene preso in considerazione un tempo massimo di 100 anni. 

Per la stima del MTTF d 

di un componente, si possono utilizzare, nell’ordine 

dato, i seguenti criteri: 

utilizzare i dati forniti dal costruttore; 

utilizzare uno dei metodi esposti negli allegati C e D; 

scegliere un tempo di 10 anni. 



Calcolo e valutazione del MTTF d 

UNI EN ISO 13849-1:2008 

1:2008 - Allegato C 

Se i seguenti criteri sono soddisfatti, i valori di MTTF d o di B 10d dei 

componenti possono essere stimati dalle tabelle seguenti. 

I componenti sono costruiti in accordo con i principi base di sicurezza 

e in accordo con la norma UNI EN ISO 13849-2:2008, o altre norme 

ad essi applicabili; per conferma vedere le caratteristiche tecniche dei 

componenti dichiarate dai fabbricanti; 

Il costruttore dei componenti deve specificare l’applicazione 

appropriata e le condizioni operative ottimali. 

Il progetto del SRP/CS segue i principi basilari di sicurezza in 

accordo con la norma UNI EN ISO 13849-2:2008, per 

l’implementazione e l’utilizzo del componente. 

Se queste condizioni non vengono soddisfatte, il valore di MTTF d deve 

essere fornito dal costruttore. 

Metodi di calcolo e valutazione del MTTF d per tipologie di componenti 

(meccanici, idraulici, pneumatici, elettromeccanici, elettrici, componenti 

passivi) sono riportati nell’allegato C della norma UNI EN ISO 13849- 

2:2008. 



Calcolo e valutazione del MTTF d 

UNI EN ISO 13849-1:2008 


B 10d è il numero di cicli in cui il 10% dei componenti si guasta pericolosamente 

dove n op è il numero di operazioni all’anno 

Se viene fornito solamente il valore di B 10 , si raccomanda (se non diversamente 

giustificato, ad esempio nel caso di componenti con modo di guasto orientato) di 

considerare il 50% di guasti pericolosi, ovvero B 10d = 2 × B 10 

Il tempo medio entro il quale il 10% dei componenti si guasta pericolosamente è dato da 

La relazione con il tempo medio al guasto pericoloso è la seguente 

Il tempo di utilizzo non dovrebbe essere superiore al minimo valore di T 10d dei componenti 

utilizzati per funzioni di sicurezza 

Il manuale di istruzioni della macchina dovrebbe prescrivere la sostituzione dei 

componenti utilizzati per funzioni di sicurezza alla scadenza del tempo di utilizzo 

considerato o una volta trascorso il T 10d , utilizzando il minore dei due valori 



Esempi di valutazione del MTTF d 

UNI EN ISO 13849-1:2008 




Norme che trattano MTTF d 

o B 10d dei componenti 

UNI EN ISO 13849-1:2008 




Norme che trattano MTTF d 

o B 10d dei componenti 

UNI EN ISO 13849-1:2008 




Metodo semplificato per la stima del MTTF d 

per ogni canale 

UNI EN ISO 13849-1:2008 

1:2008 - Allegato D 

Il valore di MTTF d di tutti i singoli componenti che compongono un 

canale sono usati nel calcolo 

MTTF d è quello complessivo dell’intero canale 

MTTF di , MTTF dj è il MTTF d di ogni componente che da un contributo 

nell’esecuzione della funzione di sicurezza 

La prima somma è quella con tutti i componenti separatamente; la 

seconda è quella in cui gli n j componenti simili con MTTF dj identici 

sono raggruppati assieme. 

In alternativa è possibile calcolare direttamente il valore di PFH D (ad 

esempio nel caso in cui tale dato viene fornito direttamente dal 

costruttore, come può capitare per i PLC di sicurezza) 



Metodo semplificato per la stima del MTTF d 


UNI EN ISO 13849-1:2008 

1:2008 - Allegato D 

MTTF d 

per diversi canali, simmetrizzazione del MTTF d 


Le architetture predefinite mostrate nella norma UNI EN ISO 13849-1:2008 

assumono il fatto che per diversi canali di un SRP/CS ridondante, il valore del 

MTTF d è lo stesso per ogni canale. 

Se il MTTF d dei canali differisce, ci sono due possibilità: 

deve essere tenuto conto il valore più basso come assunzione del caso peggiore; 

la seguente equazione può essere usata per stimare il valore di MTTF d 

assumibile per ogni canale: 

dove MTTF d C1 e MTTF d C2 sono i due valori dei canali ridondanti 



Copertura diagnostica (DC) 

UNI EN ISO 13849-1:2008 

1:2008 

Il valore di DC viene espresso in quattro livelli (vedi tabella). 

Per la stima di DC, nella maggior parte dei casi la failure mode and 

effects analysis (FMEA) o metodi simili possono essere utili. In questo 

caso tutti i guasti rilevanti o i modi di guasto possono essere 

considerati e il PL della combinazione di SRP/CS può essere 

confrontato con quello richiesto (PL r ). 



Criteri di stima della copertura diagnostica media 

UNI EN ISO 13849-1:2008 

1:2008 - Allegato E 



Calcolo della copertura diagnostica media (DC avg 

UNI EN ISO 13849-1:2008 

1:2008 – Allegato E 

In molti sistemi possono essere utilizzate parecchie misure per il rilevamento 

dei guasti. Queste misure possono controllare diverse parti del SRP/CS e 

avere diverse DC. Per una stima del PL utilizzando i metodi semplificati è 

possibile utilizzare un solo valore di DC medio per il SRP/CS nel suo insieme. 

La DC può essere determinata come rapporto tra il tasso dei guasti pericolosi 

rilevati e quello di tutti i guasti pericolosi. In accordo con questa definizione 

può essere stimata una copertura diagnostica media (DC avg 

): 

avg ) 

Tutti i componenti del SRP/CS a cui è stata applicata l’esclusione dei guasti 

vanno considerati e sommati. Per ogni blocco si deve considerare sia il 

MTTF d 

che la DC. 

Componenti senza rilevamento dei guasti (ovvero che non vengono 

controllati) hanno DC = 0 e contribuiscono solo al denominatore nel calcolo 

della DC avg 

. 



Procedura semplificata per la stima del PL 

UNI EN ISO 13849-1:2008 

1:2008 

Per una stima più semplice del PL possono essere fatte le seguenti assunzioni 

se l’architettura utilizzata rientra in quelle riportate al §6.2 della norma UNI EN 

ISO 13849-1:2008: 

un tempo di utilizzo di 20 anni; 

un tasso di guasto costante per tutto il periodo di utilizzo; 

per una categoria 2, un rapporto r d 

≤ 1/100 r t 

; 

per una categoria 2 un MTTF d,TE 

maggiore della metà del MTTF d,L 

. 

MTTF d,TE 

= MTTF d 

del componente che esegue il test per la rilevazione dei 

guasti 

MTTF d,L 

= MTTF d 

del componente che esegue le funzioni del SRP/CS 

La metodologia considera le categorie come delle architetture con un definito 

DC avg 

. Il PL di ogni SRP/CS dipende dall’architettura, dal MTTF d 


e dal DC avg 

. 

Nel caso di architetture con PL r 

da a a c, le misure per evitare i guasti possono 

essere sufficienti; per applicazioni con rischi maggiori, PL r 

da d a e, la struttura 

del SRP/CS deve prevedere misure per evitare, individuare e tollerare i guasti. 

Misure pratiche includono la ridondanza, la diversità e il monitoraggio. 

Per le categorie 2, 3 e 4, devono essere previste sufficienti misure per la 

riduzione dei guasti di causa comune. 



Procedura semplificata per la stima del PL 

UNI EN ISO 13849-1:2008 

1:2008 

MTTF d 

basso 

MTTF d 

medio 

MTTF d 

alto 



Stima numerica del PL 

UNI EN ISO 13849-1:2008 

1:2008 - Allegato K 




UNI EN ISO 13849-1:2008 




Architetture predefinite 

UNI EN ISO 13849-1:2008 

1:2008 

Le architetture predefinite non devono essere 

considerate solamente come schemi fisici, ma anche 

come schemi logici. Per le categorie 3 e 4 ciò significa 

che non tutte le parti devono essere necessariamente 

fisicamente ridondanti, ma che ci sono mezzi 

ridondanti per assicurare che un guasto non porti ad 

una perdita della funzione di sicurezza. 

Anche se la varietà delle strutture possibili è alta, i 

concetti di base sono spesso simili. Quindi la maggior 

parte delle strutture presenti nel campo delle 

macchine possono essere ricondotte ad una delle 

categorie. 

Progettazioni che soddisfano le caratteristiche di una 

categoria generalmente sono equivalenti 

all’architettura predefinita della categoria. 



Architetture predefinite 

UNI EN ISO 13849-1:2008 

1:2008 

Le categorie sono i parametri base usati per raggiungere uno 

specifico PL. Indicano il comportamento del SRP/CS rispetto alla sua 

resistenza ai guasti in base alle considerazioni di progettazione. 

La categoria B è la categoria base. La presenza di un guasto porta 

alla perdita della funzione di sicurezza. 

Nella categoria 1 una migliore resistenza ai guasti viene raggiunta 

tramite la selezione e l’utilizzo di componenti. 

Nelle categorie 2, 3 e 4, un miglioramento delle prestazioni per una 

determinata funzione di sicurezza viene raggiunto fondamentalmente 

migliorando la struttura del SRP/CS. 

Nella categoria 2 questo viene ottenuto mediante un controllo periodico 

che una specifica funzione di sicurezza è funzionante. 

Nelle categorie 3 e 4 questo viene ottenuto assicurando che un guasto 

singolo non porti alla perdita della funzione di sicurezza. 

Nella categoria 4, e dove è ragionevolmente possibile nella categoria 3, il 

guasto viene rilevato. 

La categoria 4 assicura la resistenza all’accumulo di guasti. 



Categoria B 

UNI EN ISO 13849-1:2008 

1:2008 

Il SRP/CS deve, come minimo, essere progettato, costruito, scelto, 

montato e combinato in conformità alle norme relative, utilizzando i 

princìpi pi di sicurezza di base per la specifica applicazione, in modo che 

possano sopportare: 

le sollecitazioni di funzionamento previste, per esempio l'affidabilità in 

relazione alla capacità e alla frequenza di rottura 

l'influenza del materiale elaborato, per esempio i detergenti in una 

lavatrice 

altre influenze esterne correlate, per esempio vibrazioni meccaniche, 

campi esterni, interruzioni dell'alimentazione di energia o disturbi 

Le strutture di categoria B sono normalmente sistemi a canale singolo 

DC avg 

MTTF d 

CCF 

PL max 

Nessuna 

Medio-basso 

Non rilevante 

b 



Categoria 1 

UNI EN ISO 13849-1:2008 

1:2008 

Si devono applicare i requisiti della categoria B e in aggiunta quanto di seguito indicato 

Gli SRP/CS di categoria 1 devono essere progettati e costruiti utilizzando componenti e 

princìpi pi di sicurezza ben collaudati 

Un componente ben collaudato per un'applicazione legata alla sicurezza è un 

componente che: 

a) è stato largamente usato nel passato con risultati positivi in applicazioni simili, oppure 

b) è stato prodotto e collaudato utilizzando princìpi che dimostrano la sua idoneità e 

affidabilità per le applicazioni legate alla sicurezza 

Componenti e princìpi di sicurezza sviluppati di recente possono essere considerati 

equivalenti ai “ben collaudati” se soddisfano i requisiti di b) 

La decisione di accettare un particolare componente come ben collaudato può dipendere 

dall'applicazione 

Componenti elettronici complessi (ad esempio PLC, microprocessori, circuiti integrati 

specifici per l’applicazione) non possono essere considerati equivalenti ai “ben collaudati” 

Le strutture di categoria 1 sono normalmente sistemi a canale singolo 

DC avg 

MTTF d 

CCF 

PL max 

Nessuna 

Alto 

Non rilevante 

c 



Categoria 1 

UNI EN ISO 13849-1:2008 

1:2008 

Quando si ha un guasto si può avere la perdita della funzione di 

sicurezza. Tuttavia, il MTTF d di ogni canale della categoria 1 è 

maggiore di quello di categoria B. Conseguentemente anche la 

perdita della funzione di sicurezza è meno probabile. 

È importante fare una distinzione tra “componenti ben collaudati” 

e “esclusione dei guasti”. La qualifica di un componente ben 

collaudato dipende dalla sua applicazione. L’esclusione di un 

guasto può portare ad avere un PL molto alto, ma le misure per 

poter escludere quel tipo di guasto devono essere mantenute 

durante tutto il ciclo di vita del componente. Per assicurare ciò, 

possono essere necessarie misure addizionali al di fuori del 

sistema di controllo, per esempio: 

misure per assicurare il fissaggio di un interruttore dopo la sua 

messa a punto, 

misure per assicurare il fissaggio della camme, 

misure per la protezione contro danneggiamenti esterni. 



Categoria 2 

UNI EN ISO 13849-1:2008 

1:2008 

Per la categoria 2, si applicano i requisiti della categoria B, l'uso dei princìpi di 

sicurezza ben collaudati e in aggiunta quanto di seguito indicato 

Il SRP/CS di categoria 2 deve essere progettato in modo che le sue funzioni 

vengano verificate ad opportuni intervalli dal sistema di comando della 

macchina 

La verifica delle funzioni di sicurezza deve essere effettuata 

all'avviamento della macchina e 

prima del verificarsi di qualsiasi situazione pericolosa, ad esempio all’avvio di ogni 

nuovo ciclo di lavoro, e/o periodicamente durante il funzionamento se la 

valutazione dei rischi e il tipo di operazioni dimostrano che è necessario 

DC avg 

MTTF d 

CCF 

PL max 

Medio-bassa 

Da alto a basso 

Rilevante 

d 



Categoria 2 

UNI EN ISO 13849-1:2008 

1:2008 

L'attuazione di questa verifica può essere automatica 

Qualsiasi verifica delle funzioni di sicurezza deve: 

consentire il funzionamento se non sono stati rilevati guasti, oppure 

generare un segnale che attivi un'opportuna azione di comando se è stato rilevato un 

guasto 

Ogniqualvolta sia possibile, tale segnale deve portare ad una situazione sicura; questa 

situazione sicura deve essere mantenuta finché il guasto non viene eliminato 

Se non è possibile attivare una situazione sicura (per esempio a causa della saldatura 

del contatto nell'interruttore finale), il segnale deve fornire un avvertimento del pericolo 

La verifica in sé non deve portare ad una situazione pericolosa 

L'apparecchiatura di controllo può essere parte integrante o essere separata dalle parti 

legate alla sicurezza che forniscono la funzione di sicurezza 

In alcuni casi la categoria 2 non è applicabile, perché la verifica della funzione di 

sicurezza non può essere applicata a tutti i componenti, per esempio pressostati o 

sensori di temperatura 

Il comportamento dei sistemi di categoria 2 consente: 

che il verificarsi di un guasto porti alla perdita della funzione di sicurezza nell'intervallo tra le due 

verifiche 

che la perdita delle funzioni di sicurezza sia rilevata dalla verifica 

I princìpi tecnici che supportano la validità di una funzione di sicurezza di categoria 2 è 

che le soluzione tecniche adottate e, per esempio, la scelta della frequenza di controllo 

possono diminuire la probabilità del verificarsi di una situazione pericolosa 



Categoria 3 

UNI EN ISO 13849-1:2008 

1:2008 



Il SRP/CS di categoria 3 deve essere progettato in modo che un singolo 

guasto in una qualsiasi parte non porti alla perdita della funzione di sicurezza; 

ogni qualvolta sia ragionevolmente possibile, il singolo guasto deve essere 

rilevato in corrispondenza o prima della successiva richiesta della funzione di 

sicurezza 

DC avg 

MTTF d 

CCF 

PL max 

Medio bassa 

Da basso ad alto a 

seconda del PL r 

Rilevante 

e 



Categoria 3 

UNI EN ISO 13849-1:2008 

1:2008 

Il requisito di rilevamento del singolo guasto non significa che 

vengano rilevati tutti i guasti; di conseguenza, l'accumulo di 

guasti non rilevati può portare ad un segnale di uscita non 

previsto e ad una situazione di pericolo sulla macchina 

Tipici esempi di misure per il rilevamento dei guasti sono 

l’utilizzo di retroazione di contatti guidati meccanicamente di 

contattori ed il monitoraggio di uscite elettriche ridondanti 

Il comportamento di SRP/CS di categoria 3 consente: 

di assicurare sempre la funzione di sicurezza quando si 

verifica un guasto singolo 

di rilevare alcuni ma non tutti i guasti 

che l'accumulo di guasti non rilevati possa portare alla perdita 

della funzione di sicurezza 

La tecnologia utilizzata influenza le possibilità di applicazione del 

rilevamento dei guasti 



Categoria 4 

UNI EN ISO 13849-1:2008 

1:2008 



Il SRP/CS di categoria 4 deve essere progettato in modo che: 

un singolo guasto in una qualsiasi parte legata alla sicurezza non porti ad una 

perdita della funzione di sicurezza, e 

il singolo guasto venga rilevato in corrispondenza o prima della successiva 

richiesta delle funzioni di sicurezza, per esempio immediatamente, 

all'accensione, alla fine di un ciclo operativo della macchina; se tale 

rilevamento non è possibile, un accumulo di guasti non deve portare alla 

perdita della funzione di sicurezza 

DC avg 

MTTF d 

CCF 

PL max 

Alta (compreso l’accumulo 

di guasti) 

Alto 

Rilevante 

e 



Categoria 4 

UNI EN ISO 13849-1:2008 

1:2008 

Il comportamento dei sistemi di categoria 4 consente: 

che venga sempre assicurata la funzione di sicurezza 

quando si verifica un guasto 

che i guasti vengano rilevati in tempo per evitare la 

perdita della funzione di sicurezza 

che venga tenuto in considerazione l’accumulo di guasti 

non rilevati 

La differenza tra la categoria 3 e la categoria 4 è un 

DC avg maggiore nella categoria 4 e un MTTF d “alto” 


Nella pratica può essere sufficiente considerare una 

combinazione di due guasti 



Assegnazione del punteggio e quantificazione 

delle misure contro i CCF 

UNI EN ISO 13849-1:2008 

1:2008 



Assegnazione del punteggio e quantificazione 

delle misure contro i CCF 

UNI EN ISO 13849-1:2008 

1:2008 



Riassunto dei requisiti per le categorie 

UNI EN ISO 13849-1:2008 

1:2008 

Categoria 

Riassunto dei requisiti 

Comportamento 

del sistema 

Princìpi per 

ottenere la 

sicurezza 

MTTF d 

di ogni 

canale 

DC avg 

CCF 

B 

Le parti legate alla sicurezza dei 

sistemi di comando e/o delle 

loro attrezzature di protezione e 

dei loro componenti devono 

essere progettate, costruite, 

scelte, montate e combinate in 

conformità alle relative norme in 

modo che possano resistere alle 

influenze previste. 

Devono essere usati princìpi di 

sicurezza basilari. 

Il verificarsi di un 

guasto può portare 

alla perdita della 

funzione di 

sicurezza. 

Essenzialmente 

caratterizzati 

dalla scelta dei 

componenti 

Da 

basso a 

medio 

Nessuna 

Non 

rilevante 

1 

Si devono applicare i requisiti 

della categoria B. 

Devono essere usati 

componenti e princìpi di 

sicurezza ben collaudati. 




funzione di 

sicurezza, ma la 

probabilità che si 

verifichi è minore di 

quella della 

categoria B. 



dalla scelta dei 

componenti 

Alto 

Nessuna 

Non 

rilevante 




UNI EN ISO 13849-1:2008 

1:2008 

Categoria 


Comportamento 

del sistema 

Princìpi per 

ottenere la 

sicurezza 

MTTF d 

di ogni 

canale 

DC avg 

CCF 

2 


della categoria B e l’uso di 

princìpi di sicurezza ben 

collaudati. 

La funzione di sicurezza deve 

essere verificata ad opportuni 

intervalli dal sistema di controllo 

della macchina. 




funzione di 

sicurezza 

nell’intervallo tra le 

due verifiche. 

La perdita della 

funzione di 

sicurezza viene 

rilevata dalla 

verifica. 



dalla struttura 

Da 

basso a 

alto 

Da 

bassa a 

media 

Rilevante 




UNI EN ISO 13849-1:2008 

1:2008 

Categoria 


Comportamento 

del sistema 

Princìpi per 

ottenere la 

sicurezza 

MTTF d 

di ogni 

canale 

DC avg 

CCF 

3 


della categoria B e l’uso di 

princìpi di sicurezza ben 

collaudati. 

Le parti legate alla sicurezza 

devono essere progettate in 

modo che un singolo guasto in 

una qualsiasi di queste parti non 

porti ad una perdita della 

funzione di sicurezza e 

ogniqualvolta sia 

ragionevolmente possibile il 

singolo guasto venga rilevato. 

Quando si verifica il 

singolo guasto la 

funzione di 

sicurezza viene 

sempre assicurata. 

Vengono rilevati 

alcuni ma non tutti i 

guasti. L'accumulo 

di guasti non 

rilevati può portare 


funzione di 

sicurezza. 




Da 

basso a 

alto 

Da 

bassa a 

media 

Rilevante 




UNI EN ISO 13849-1:2008 

1:2008 

Categoria 


Comportamento del 

sistema 

Princìpi per 

ottenere la 

sicurezza 

MTTF d 

di ogni 

canale 

DC avg 

CCF 

4 

Si devono applicare i 

requisiti della categoria B 

e l’uso di princìpi di 

sicurezza ben collaudati. 

Le parti legate alla 

sicurezza devono essere 

progettate in modo che 

un singolo guasto in una 

qualsiasi di queste parti 

non porti ad una perdita 

della funzione di 

sicurezza e il singolo 

guasto venga rilevato in 

corrispondenza o prima 

della successiva richiesta 


sicurezza. 

Se ciò non è possibile, un 

accumulo di guasti non 

deve portare alla perdita 


sicurezza. 

Quando si verifica il 

singolo guasto la 

funzione di sicurezza 

viene sempre 

assicurata. 

Il rilevamento di 

guasti accumulati 

riduce la probabilità 

di perdita della 


(DC alta). 

I guasti vengono 

rilevati in tempo per 

evitare la perdita 


sicurezza. 




Alto 

Alta 

(compreso 

l’accumulo dei 

guasti) 

Rilevante 



Esempio di determinazione del PL r 

Per determinare il livello di prestazione richiesto (PL r ) è necessario 

individuare, per ogni rischio, i parametri di valutazione, ovvero: 

Gravità del danno (Severity) 

Frequenza e tempo di esposizione al pericolo (Frequency) 

Possibilità di evitare il pericolo (Possibility) 

Gravità del danno 

[S1 = lesione reversibile di 

entità lieve (lacerazione, 

bruciatura, taglio superficiale, 

…)] 

[S2 = lesione reversibile di entità 

grave (taglio profondo, frattura, 

…), lesione irreversibile 

(amputazione, …), morte] 

S2 

Frequenza e tempo di esposizione 

al pericolo 

[F1 = frequenza bassa (meno 

di una volta alla settimana) e/o 

tempo di esposizione corto 

(meno di 30 minuti)] 

[F2 = frequenza alta (una volta alla 

settimana o più) e/o tempo di 

esposizione lungo (più di 30 

minuti)] 

F1 

Possibilità di evitare il pericolo 

[P1 = possibile in determinate 

condizioni (operazioni eseguite 

da personale esperto, velocità 

di manifestazione del pericolo 

bassa, pericolo evidente)] 

[P2 = scarsamente possibile 

(operazioni eseguite da 

personale non specializzato, 

velocità di manifestazione del 

pericolo alta, pericolo non 

evidente)] 

P2 



Come determinare il PL r 

S2, F1, P2 PL r = d 



Come determinare il PL r 

Un PL d può essere raggiunto, ad esempio, utilizzando un circuito 

conforme alla categoria 3, avente un MTTF d medio/alto ed una 

copertura diagnostica media 

MTTF d 

basso 

MTTF d 

medio 

MTTF d 

alto 



SIL & PL richiesti 

I parametri che portano alla determinazione dei SIL e dei PL 

richiesti devono essere valutati per ogni rischio presente e per le 

differenti modalità di interazione con la macchina 

Infatti ogni rischio presente sulla macchina può portare a 

conseguenze più o meno gravi per gli operatori oppure la 

frequenza di utilizzo di una funzione di sicurezza può essere 

diversa (ad esempio nel caso di interblocchi di ripari utilizzati 

durante la normale lavorazione oppure solamente per operazioni 

di manutenzione) 

Se una funzione di sicurezza protegge da più rischi, questa dovrà 

soddisfare le caratteristiche prestazionali del rischio maggiore 

PL r = max (PL r1 , PL r2 , PL r3 , …) 

SILCL = max (SILCL 1 

, SILCL 2 

, SILCL 3 

, …) 



CEI EN 62061 & UNI EN ISO 13849-1 

Elementi simili 

Entrambe le norme richiedono dati affidabilistici dei 

componenti utilizzati per la realizzazione del circuito avente 

funzioni di sicurezza 

C’è una corrispondenza tra il Performance Level (PL), il 

Safety Integrity Level (SIL) e la probabilità di guasto 

pericoloso all’ora (PFH D ) 

Ne deriva la possibilità, nella maggior parte dei casi, di 

passare da un indicatore all’altro 

I requisiti riguardanti il software per funzioni di sicurezza 

sono simili ed entrambe le norme richiamano la norma EN 

61508-3 più specifica 




Differenze 

Per un PL a non si ha nessun SIL corrispondente 

Il SIL 4 è dedicato ad eventi potenzialmente catastrofici 

possibili in industrie di processo (chimico, nucleare) e che 

quindi ha poco a che vedere con i possibili rischi legati alle 

macchine, di conseguenza il PL maggiore (e) corrisponde 

ad un SIL 3 

Il SIL 4 non viene nemmeno preso in considerazione dalla 

norma EN 62061 

La norma CEI EN 62061 non è applicabile a circuiti non 

elettrici / elettronici 

La norma UNI EN ISO 13849-1 è utilizzabile solamente a 

circuiti che possono essere ricondotti alle architetture 

predefinite 




Vantaggi e svantaggi 

Le due norme hanno numerosi elementi in comune e sono nella 

maggior parte dei casi intercambiabili. 

La norma CEI EN 62061 appare più adeguata: 

nel caso in cui si debbano realizzare circuiti elettronici complessi 

per circuiti di sicurezza di impianti di processo dove già si 

utilizzano le norme EN 61508 ed EN 61511 

in caso si abbiano architetture dei sistemi di controllo non 

convenzionali (non riconducibili ad architetture predefinite), anche 

se tale caso è poco frequente nella realizzazione dei circuiti di 

sicurezza delle macchine 




Vantaggi e svantaggi 

La norma UNI EN ISO 13849-1 appare più adeguata per la definizione delle 

prestazioni dei circuiti di controllo delle macchine in quanto: 

è applicabile anche ai circuiti non elettrici/elettronici; quindi deve essere 

utilizzata se una macchina comprende circuiti di comando non elettrici 

aventi funzioni di sicurezza (ad esempio una pressa idraulica) 

è applicabile anche in caso si utilizzino circuiti elettronici programmabili 

permette di utilizzare architetture predefinite che garantiscono una facile 

conversione dalla “vecchia” UNI EN 954-1 utilizzata per molto tempo da 

tutti i costruttori di macchine 

la pressoché totalità dei circuiti di sicurezza normalmente utilizzati sulle 

macchine possono essere ricondotti alle architetture predefinite 

le norme di tipo C (specifiche per determinati tipi di macchine) solitamente 

specificano un PL minimo che il circuito di sicurezza deve garantire 

sono disponibili strumenti software gratuiti che permettono di effettuare il 

calcolo del livello di prestazione raggiunto in modo facile 



Armonizzazione ai sensi della direttiva 98/37/CE 









Software Sistema 

Sistema (Safety Integrity Software Tool for the 

Evaluation of Machine Applications) 

Software gratuito che permette di modellare i sistemi di 

controllo (basati sulle architetture designate) e che 

permette di calcolare immediatamente le caratteristiche 

di affidabilità, incluso il PL 

Possibilità di disporre di librerie già completate dalle 

case costruttrici contenenti tutti i dati necessari dei 

prodotti 

http://www.dguv.de/bgia 



La possibilità di 

utilizzare librerie 

fornite dai costruttori 

permette di avere 

sempre dati 

aggiornati e di poter 

provare facilmente 

diverse soluzioni con 

diversi componenti in 

modo da ottenere la 

soluzione migliore 

Elenco elementi 

disponibili 

Librerie 

Elenco librerie 

importate 

Caratteristiche 

dell’elemento 

elemento 

selezionato 

Help 



Diagramma ad albero di un progetto e 

definizione della SRP/CS 

Sistema permette di progettare funzioni di sicurezza basandosi su di uno schema ad 

albero 

PR = Nome del progetto (Project) 

SF = Funzione di sicurezza (Safety Function) 

SB = Sottosistema (Sub-system), elemento che forma la SF collegato in serie 

CH = Canale (Channel), descrive la presenza di una ridondanza all’interno di un 

sottosistema 

BL = Blocco (Block), descrive i blocchi contenuti all’interno di ogni canale 

EL = Elemento (Element), descrive gli elementi contenuti in ogni blocco (presi se 

possibile dalle librerie) 

TE = Test, descrive l’elemento che esegue le funzioni di test all’interno del progetto 



Diagramma ad albero di un progetto e 

definizione della SRP/CS 

I sottoblocchi sono collegati in serie tra loro all’interno della SF 

All’interno di un sottosistema si possono avere due canali (quindi 

una ridondanza) ed un elemento per le funzioni di test 



Definizione di una SRP/CS 

Per iniziare è necessario 

stimare il PL r 

della 


Per ogni sottosistema 

bisogna indicare la 

categoria corrispondente 

all’architettura del circuito 

Non è necessario 

specificare tutti i livelli del 

diagramma ad albero: se 

si hanno già i dati del 

sottosistema questi 

possono essere inseriti 

direttamente 




Si possono specificare le 

azioni intraprese per 

ogni sottosistema per 

evitare le cause di 

guasto comune (CCF), il 

calcolo dei punteggi è 

poi automatico 

A seconda del punto del 

diagramma selezionato 

vengono indicate 

direttamente i risultati di 

tutto il sistema; eventuali 

modifiche modificano 

immediatamente i 

risultati finali 




La definizione della copertura diagnostica può essere effettuata in vari 

modi, ad esempio secondo i criteri dell’allegato E della norma UNI EN 

ISO 13849-1:2008 



Livelli intermedi per DC avg 



Software Sistema 

Vantaggi e Svantaggi 

Possibilità di importare le librerie dei costruttori con dati sempre 

aggiornati (non solo di componenti elettrici) 

Possibilità di creare proprie librerie e progetti standard personalizzati da 

riutilizzare 

Possibilità di cambiare velocemente i componenti utilizzati e verificare il 

soddisfacimento dei vincoli prestazionali imposti; velocizzazione della 

scelta dei componenti 

Limitazione dell’utilizzo solamente ad architetture predefinite; necessità 

di tradurre correttamente il circuito in schemi logici corrispondenti ad 

un’architettura predefinita 

Eventuali esclusioni dei guasti devono essere definite ed inserite negli 

schemi a blocchi 

Possibilità di stampare automaticamente un report del calcolo 

report del calcolo (da 

allegare al fascicolo tecnico) 



Esempio di comando a due mani 

Pressa idraulica per la raddrizzatura di anelli in 

metallo dotata di comando a due mani 




Valutazione del PL r : 

Gravità del danno = S2 (lesione reversibile di entità grave, lesione 

irreversibile o morte) 

Frequenza e tempo di esposizione al pericolo = F2 (frequenza alta 

ovvero una volta alla settimana o più) 

Possibilità di evitare il pericolo = P2 (scarsamente possibile in 

quanto velocità di manifestazione del pericolo alta) 




Comando per avviare 

un movimento 

pericoloso della 

macchina 

Entrambi i pulsanti S1 

ed S2 devono essere 

premuti 

contemporaneamente 

I contattori K2 e K3 

abilitano / disabilitano 

il movimento 

pericoloso 

Categoria 4, PL r 

=e 




Frequenza di attuazione elevata 

Il PLC di sicurezza K1 è in grado di rilevare eventuali guasti sia dei pulsanti S1 ed S2 che 

dei contattori K1 e K2, impedendo un successivo riavvio della macchina 

I due pulsanti S1 ed S2 seguono i principi di ridondanza e differenziazione, ovvero 

utilizzano doppi contatti con un contatto normalmente aperto (NO) ed un contatto 

normalmente chiuso (NC), entrambi conformi alla IEC 60947-5-1 

Pulsanti posizionati in modo tale da non poter essere azionati con una mano sola o con 

parti del corpo diverse dalle mani 

Il PLC di sicurezza K1 è conforme al tipo III C della norma EN 574, dichiarato dal 

costruttore conforme alla categoria 4, PL= e 

I contattori K2 e K3 hanno contatti legati e sono monitorati dal PLC di sicurezza K1 

Logica di 

controllo 

Contatto NO 

pulsante S1 

Contatto NC 

pulsante S2 

Contattore 

CH1 

CH2 

Rappresentazione hardware 

Contatto NO 

pulsante S2 

Contatto NC 

pulsante S1 

Contattore 

Rappresentazione logica semplificata 




Il PLC di sicurezza K1 viene considerato come un sottosistema a parte con 

PFH D =2,47⋅10 -8 , categoria 4 (dati forniti dal costruttore) 

I due contatti di ogni pulsante sono collegati in parallelo, quindi su due canali 

La necessità che entrambi i comandi debbano essere azionati 

contemporaneamente non viene descritta (è assicurata dal PLC di sicurezza K1) 

Nel caso in cui non si abbia il dato di affidabilità dei singoli contatti di ogni 

pulsante ma solo quello del pulsante intero (comprendente entrambi i contatti) è 

possibile usare il valore indicato come quello di ogni singolo contatto, quindi con 

un errore di stima che aumenta l’affidabilità 

Logica di controllo (Rockwell GuardLogix) 

PFH D,K1 =2,47⋅10 -8 (dal costruttore, MTTF d =100 anni, DC=99%) 

Pulsanti (Rockwell 800F) 

B 10d,S1 =B 10d,S2 =10.000.000 cicli (dal costruttore) 

Contattore (Rockwell 700S-CF) 

B 10d,K2 =B 10d,K3 =3.000.000 cicli (dal costruttore) 




n op,S1,S2 =345.600 cicli all’anno (240 giorni, 8 ore/giorno, 20 s a ciclo) 

MTTF d,S1 =MTTF d,S2 =289,35 anni 

MTTF d,K2 =MTTF d,K3 =86,8 anni 

MTTF d,CH1,CH2 = 54,25 anni (alto) 

DC S1 =DC S2 =99% monitoraggio da parte del PLC di sicurezza K1 

DC K1 =99% (dal costruttore) 

DC K2 =DC K3 =99% monitoraggio da parte del PLC di sicurezza K1 

DC sistema =99% (alta) 

Misure contro i CCF soddisfatte 




MTTF d,CH1//CH2 =54,25 anni (alto) 

DC CH1//CH2 =99% (alta)categoria 4PL e 

PFH D,CH1//CH2 =5,26⋅10 -8 (tabella K.1 UNI EN ISO 13849-1:2008) 

PFH D = PFH D,CH1//CH2 +PFH D,K1 =5,26⋅10 -8 +2,47⋅10 -8 = 7,73⋅10 -8 PL=e 




UNI EN ISO 13849-1:2008 




Esempio di controllo elettroidraulico per pressa 

Pressa idraulica per la formazione ed il taglio delle alette di scambiatori di 

calore protetta mediante protezioni perimetrali in rete metallica con porte di 

accesso dotate di dispositivo di interblocco 




Valutazione del PL r : 

Gravità del danno = S2 (lesione reversibile di entità grave, lesione 

irreversibile o morte) 

Frequenza e tempo di esposizione al pericolo = F2 (frequenza alta 

ovvero una volta alla settimana o più) 

Possibilità di evitare il pericolo = P2 (scarsamente possibile in 

quanto velocità di manifestazione del pericolo alta) 




L’apertura di un riparo 

deve interrompere la 

discesa della mazza 

della pressa 

I movimenti delle valvole 

idrauliche 1V3, 1V4 e 

1V5 sono comandati da 

un PLC funzionale (K1) 

Tutte e tre le valvole 

sono monitorate 

I comandi alle valvole 

vengono interrotti da un 

modulo di sicurezza 

(K2) 

Categoria 4, PL r = e 




La rottura di uno dei componenti non porta alla perdita della funzione 

di sicurezza; tutti i guasti vengono rilevati e, tramite il PLC (K1), viene 

impedito un successivo riavvio della macchina 

B1 conforme alla IEC 60947-5-1 (apertura forzata) 

K2 dichiarato conforme alla categoria 4, PL=e 

Le valvole di comando sono dotate di molle che, in assenza di 

alimentazione, le portato in posizione tale da arrestare tutti i movimenti 




n op 

=35.040 cicli all’anno (365 giorni, 16 ore, 10 minuti a ciclo) 

Sensore B1 (Rockwell Elf) 

B 10d,B1 

=2⋅10 6 MTTF d,B1 

=570 anni 

Sensore B2 (Rockwell Sprite) 

B 10d,B2 

=2⋅10 6 MTTF d,B1 

=570 anni 

Modulo di sicurezza (Rockwell MSR117) 

MTTF d,K2 

=100 anni DC=99% 

Valvole idrauliche 

MTTF d,1V3 

=MTTF d,1V4 

=MTTF d,1V5 

=150 anni 

(dal costruttore) 




MTTF d,B1 

=570 anni (alto) 100 anni (alto) 

MTTF d,B2 

=570 anni (alto) 100 anni (alto) 

MTTF d,B1//B2 = 100 anni (alto) 

MTTF d,B1//B2 

MTTF d,valvole = 88 anni (alto) 

MTTF d,valvole 

MTTF d,totale = 31,8 anni (alto) 

MTTF d,totale 




DC B1,B2 

= 99% dovuto al controllo del modulo di sicurezza K2 

DC K2 

= 99% controlli automatici del modulo di sicurezza 

DC 1V3,1V4,1V5 

= 99% dovuto al monitoraggio di tutte e tre le valvole 

DC totale 

= 99% (alta) 

MTTF d =31,8 anni (alto) 

DC=99% (alta) 

PFH D =9,54⋅10 -8 

Categoria 4 

PL=e 




UNI EN ISO 13849-1:2008 




Considerazioni sui guasti 

UNI EN ISO 13849-1:2008 

1:2008 

In accordo con la categoria selezionata, la parte relativa alla sicurezza 

deve essere progettata per raggiungere il livello di prestazione richiesto 

(PL r ). Deve essere valutata la resistenza ai guasti. 

La norma UNI EN ISO 13849-2:2008 elenca i più importanti guasti delle 

varie tecnologie. La lista dei guasti non è esaustiva e, se necessario, 

devono essere considerati anche altri tipi di guasto. In questi casi 

dovrebbe essere chiaramente elaborato un metodo di valutazione. 

Per nuovi componenti non menzionati nella norma UNI EN ISO 13849- 

2:2008, dovrebbe essere usata una failure mode and effects analysis 

(FMEA) per stabilire i guasti da considerare per tali componenti. 

In generale, bisogna tenere conto dei seguenti criteri: 

se, in conseguenza ad un guasto, alcuni componenti si guastano, il 

primo guasto assieme agli altri devono essere considerati come un 

solo guasto; 

due o più guasti separati che intervengono a causa di una causa 

comune vanno considerati come un unico guasto (noto come CCF); 

non viene considerata la possibilità di avere simultaneamente più 

guasti separati generati in modo indipendente. 



Esclusione di guasti 

UNI EN ISO 13849-1:2008 

1:2008 

Non è sempre possibile valutare gli SRP/CS senza 

escludere determinati guasti. Per l’esclusione dei guasti 

fare riferimento alla norma UNI EN ISO 13849-2:2008. 

L’esclusione di guasti è un compromesso tra i requisiti di 

sicurezza e la teorica possibilità di accadimento di un 

guasto. 

L’esclusione di un guasto può essere basata su: 

improbabilità tecnica di avere un certo tipo di guasto, 

esperienza tecnica comunemente accettata, indipendente da 

un particolare tipo di applicazione, 

requisiti tecnici 

requisiti tecnici relativi all’applicazione e a specifici rischi. 

Se alcuni guasti vengono esclusi, deve essere fornita una 

giustificazione nella documentazione tecnica. 



Modalità di guasto dei componenti elettrici/elettronici 

CEI EN 62061:2005 - Allegato D 



Il software per funzioni di sicurezza 

La creazione di un software è in generale “difficile”: l’affidabilità dei 

software non va di pari passo con l’aumento di affidabilità dei 

componenti hardware 

Quante volte si è obbligati a riavviare il PC per ripristinarne le 

funzionalità Quante volte la mancanza di funzionalità deriva dalla 

incompatibilità di versioni Quanti aggiornamenti vengono emessi ogni 

giorno per i sistemi operativi 

In media in un software ci sono 25 errori ogni 1000 righe di codice: al 

confronto i guasti dell’hardware (a meno di danneggiamenti per cadute 

o infiltrazioni d’acqua) sono relativamente rare 

La maggior parte degli errori sono “dormienti” ovvero non si 

manifestano fino a che non si vengono a creare determinate condizioni 

Non esiste un software privo di errori: è però necessario che in base 

all’utilizzo che ne viene fatto (quindi al PL r ) il software rispetti 

determinati requisiti 



Prescrizioni per la sicurezza del software 

Tutte le attività del ciclo 

di vita del software (sia 

applicativo che di 

sistema) avente 

funzioni di sicurezza 

devono innanzitutto 

considerare 

l’eliminazione dei 

guasti dovuti allo 

stesso ciclo di vita del 

software (revisioni, 

correzioni) 

L’obiettivo principale 

dei requisiti è quello di 

avere un software 

leggibile, 

comprensibile, 

verificabile e 

manutenibile 

«Modello a V» V 




Le specifiche delle funzioni di sicurezza che il software deve eseguire 

devono essere chiare 

Tali specifiche devono poter essere comprensibili ed eventualmente 

verificabili anche da personale non direttamente coinvolto nella 

progettazione della macchina 

Il software prodotto deve 

essere leggibile e facilmente 

verificabile, altrimenti le 

successive operazioni di 

validazione del software 

diventano lunghe e difficili 

Prima di cominciare a 

produrre il codice del 

software è necessario definire 

la struttura del software, 

aiutandosi anche con 

diagrammi, in modo da 

rendere comprensibile il 

processo logico anche ad 

eventuali terze parti 




Utilizzando librerie e moduli con funzioni già validate e documentate è possibile 

diminuire il lavoro documentale necessario 

Funzioni che sono già state validate da terze parti non necessitano di ulteriori 

verifiche, ma la somma di componenti già validati non porta automaticamente ad 

un software corretto; un programma complesso comprensivo di più moduli 

validati necessita di essere verificato 

Normalmente i costruttori di macchine scrivono software applicativo e si limitano 

alla progettazione del sistema (che quindi deve essere verificato e validato) 

utilizzando moduli forniti dal costruttore dell’hardware (quindi già validati) 




La codifica deve essere leggibile e chiara (inserimento di commenti all’interno 

delle righe di codice, preparazione di linee guida, legende con il significato delle 

variabili utilizzate, ecc.) 

La programmazione deve tenere conto della possibilità di avere errori di calcolo 

La verifica delle variabili prima di eseguire passaggi di stato aiuta ad identificare 

la presenza di incongruenze o anomalie 

Se si conoscono le periferiche in ingresso è possibile prevedere eventuali 

malfunzionamenti ed identificare i guasti delle periferiche 

Analisi del codice 

Per PL bassi (a, b, c) e programmi semplici può bastare una verifica statica del 

codice, ed eventualmente un test sulla macchina 

Per PL elevati (d, e) i programmi devono essere verificati mediante simulazione 

Controlli da effettuare 

Il codice è coerente con i diagrammi di progettazione iniziali 

Ci sono funzioni non di sicurezza che “scavalcano” delle funzioni di sicurezza 

Quali moduli o quali parti del software producono delle variabili legate a funzioni 

di sicurezza Quali valori queste possono assumere È possibile verificare la loro 

coerenza con il funzionamento della macchina 

Ci sono delle parti del software che, in determinate condizioni, non vengono 

eseguite 



Esempio di software per funzioni di sicurezza 

Operazioni necessarie 

acquisizione delle informazioni da parte di diversi sensori 

verifica delle informazioni ricevute e controllo degli elementi tenendo 

conto delle prescrizioni di sicurezza 

controllo degli attuatori 

PL r 

=d 



Applicazione del modello a V per il ciclo di vita del software 

Attività di sviluppo Attività di verifica Documentazione associata 

Macchina: identificazione delle 

funzione che coinvolgono le 

SRP/CS 

Architettura: scelta del sistema di 

controllo, dei sensori e degli 

attuatori 

Specifiche software: trascrizione 

delle funzioni di sicurezza in 

funzioni del software 

Architettura del software: 

scomposizione delle funzioni in 

blocchi funzionali 

Codifica: stesura delle righe di 

codice necessarie 

Identificazione delle funzioni di 

sicurezza 

Verifica delle caratteristiche di 

sicurezza degli elementi scelti 

Rilettura e controllo delle 

descrizioni 

Identificazione dei blocchi più 

critici che necessitano di una 

revisione e validazione più attenta 

Rilettura e controllo del codice, 

verifica delle funzioni 

Specifiche relative alle funzioni di 

sicurezza per il sistema di 

controllo 

Definizione dell’architettura di 

controllo 

Descrizione del software 

Modellazione dei blocchi 

funzionali 

Inserimento di commenti nel 

codice 

Validazione: esecuzione di test e 

verifica degli aspetti funzionali e 

del comportamento a seguito di 

guasti 

Verifica del grado di copertura dei 

test 

Verifica dei risultati dei test 

Stesura di documenti che 

spiegano i test eseguiti e 

commenti in merito ai risultati 

ottenuti 



Verifica delle specifiche del software 

La verifica delle specifiche consiste nella rilettura delle 

prescrizioni scritte all’inizio della progettazione e la verifica 

che queste siano rispettate 

Elementi da verificare: 

Interpretazioni errate delle specifiche 

Mancanze nelle specifiche dovuta alla mancata 

conoscenza del comportamento del SRP/CS 

Coerenza delle prove e dei test eseguiti 

Modifica del comportamento in funzione dei valori 

assumibili dai parametri 

Reazione del sistema ai guasti possibili 



Regole di programmazione per la 

struttura del programma 

Uso di funzioni e blocchi disponibili dal linguaggio in uso 

Partizionare il programma in modo da identificare le diverse sezioni che 

lo compongono 

Commentare ogni sezione del programma per facilitare l’aggiornamento 

in caso di modifica 

Descrizione delle funzioni richiamate e di quando vengono richiamate 

Mantenere la coerenza dei tipi di dati utilizzati con identificazioni 

univoche 

La sequenza di esecuzione del programma deve essere definita e non 

deve poter saltare alcune parti se non espressamente indicato 

Evitare di avere parti di codice che non vengono mai eseguite (ad 

esempio prove o retaggi di versioni precedenti) 

Ogni variabile globale (sia di input che di output) deve avere un nome 

esplicativo del suo significato e deve essere descritto da un commento 



Regole di programmazione al livello dei 

blocchi funzionali 

È preferibile utilizzare blocchi precedentemente validati 

La dimensione di ogni blocco dovrebbe essere limitata 

Parametri: Massimo 8 valori digitali e due valori interi in ingresso ed 

un’uscita 

Codice: massimo dieci variabili locali, massimo dieci equazioni booleane 

I blocchi funzionali non devono modificare le variabili globali (trasmissione 

di dati tra blocchi in modo definito e controllato) 

Un blocco funzionale dovrebbe poter verificare l’eventuale inconsistenza 

dei dati in ingresso 

Il guasto di un blocco deve essere identificato in modo da poter 

discriminare tra diversi guasti 

Il codice di guasto e lo stato del blocco a seguito del guasto dovrebbero 

essere segnalati e accompagnati da commenti 

Il ripristino della funzione di blocco allo stato normale dovrebbe essere 

accompagnato da commenti 



Princìpi di validazione 

UNI EN ISO 13849-2:2008 

Lo scopo del processo di validazione è di confermare la specifica e la 

conformità della progettazione delle parti del sistema di comando legate 

alla sicurezza nell'ambito delle specifiche dei requisiti di sicurezza 

globali del macchinario 

La validazione deve dimostrare che ciascuna delle parti legate alla 

sicurezza soddisfa i requisiti della norma UNI EN 954-1:1998 (ISO 

13849-1), in particolare: 

le caratteristiche di sicurezza specificate per quella determinata parte, 

come stabilito nella progettazione 

i requisiti della categoria specificata 

Per sistemi di grandi dimensioni, a causa delle dimensioni, della 

complessità o della forma integrata (con il macchinario) del sistema di 

comando, possono essere stabilite disposizioni speciali per: 

validazione delle parti del sistema di comando legate alla sicurezza 

separatamente prima dell'integrazione, inclusa la simulazione degli 

appropriati segnali in ingresso e in uscita 

validazione degli effetti dell'integrazione delle parti legate alla sicurezza 

nel resto del sistema di comando nell'ambito del contesto del relativo 

utilizzo nella macchina 



Elenchi di guasti 

UNI EN ISO 13849-2:2008 

Elenchi dei guasti generici 

Il processo di validazione include la considerazione del comportamento 

delle parti del sistema di comando legate alla sicurezza per tutti i guasti 

da considerare 

Una base per la considerazione dei guasti è fornita negli elenchi dei 

guasti nelle appendici informative che contengono: 

i componenti/elementi da includere, per esempio conduttori/cavi 

i guasti da tenere in considerazione, per esempio cortocircuiti tra conduttori 

le esclusioni di guasto permesse 

una sezione dedicata alle osservazioni che fornisce le ragioni per 

l'esclusione dei guasti 

Elenchi dei guasti specifici 

Un elenco specifico dei guasti collegati al prodotto deve essere generata 

come documento di riferimento per il processo di validazione 

Laddove l'elenco specifico dei guasti collegati al prodotto sia basato 

sull'elenco generico, esso deve indicare: 

i guasti tratti dall'(dagli) elenco(elenchi) generico(i) da includere 

qualsiasi altro guasto pertinente da includere ma non indicato nell'elenco 

generico 

i guasti tratti dall'elenco generico che possono essere esclusi e possono 

soddisfare almeno i criteri forniti nell'elenco generico 



Panoramica del processo di validazione 

UNI EN ISO 13849-2:2008 



Validazione mediante analisi 

UNI EN ISO 13849-2:2008 

La validazione delle parti dei sistemi di comando legate alla sicurezza deve 

essere condotta mediante analisi 

Gli aspetti sottoposti ad analisi sono: 

i pericoli identificati durante l'analisi della macchina 

l'affidabilità 

la struttura del sistema 

gli aspetti non quantificabili, qualitativi, che influenzano il comportamento del 

sistema 

motivazioni deterministiche 

Tecniche di analisi 

La tecnica di analisi da scegliere dipende dall'obiettivo da raggiungere 

Esistono due tipi di tecniche di base: 

le tecniche top-down (deduttive) sono idonee per determinare gli eventi iniziatori che 

possono portare agli eventi principali identificati, e per calcolare la probabilità degli 

eventi principali dalla probabilità degli eventi iniziatori; possono essere utilizzate 

anche per indagare sulle conseguenze di guasti multipli identificati; esempi di 

tecniche top-down sono l'analisi con albero dei guasti (FTA) e l'analisi con albero 

degli eventi (ETA) 

le tecniche bottom-up (induttive) sono idonee per indagare sulla conseguenza dei 

guasti singoli identificati; esempi di tecniche bottom-up sono l'analisi delle modalità 

e degli effetti dei guasti (FMEA) e l'analisi delle modalità di guasto, degli effetti e di 

criticità (FMECA) 



Validazione mediante prove 

UNI EN ISO 13849-2:2008 

Quando la validazione mediante analisi non è sufficiente per dimostrare 

la soddisfazione di funzioni di sicurezza e categorie specificate, devono 

essere condotte delle prove per completare la validazione; la prova è 

sempre complementare all'analisi ed è spesso necessaria 

Le prove di validazione devono essere programmate ed effettuate in 

modo logico 

In particolare: 

prima dell'inizio della prova deve essere prodotto un programma di prova 

comprendente: 

le specifiche delle prove 

i risultati attesi delle prove 

la cronologia delle prove 

deve essere prodotta una registrazione delle prove comprendente quanto 

segue: 

il nome della persona che ha eseguito la prova 

le condizioni ambientali 

i procedimenti di prova e l'attrezzatura utilizzata 

i risultati della prova 

La registrazione della prova deve essere confrontata con il programma 

di prova per garantire che gli obiettivi funzionali e di prestazione 

specificati siano stati raggiunti 



Validazione mediante prove 

UNI EN ISO 13849-2:2008 

Il campione di prova deve essere messo in funzione nel modo più possibile 

aderente alla relativa configurazione di funzionamento finale, cioè con tutti i 

dispositivi periferici ed i coperchi collegati 

La prova può essere condotta manualmente o automaticamente (per esempio da 

un computer) 

Laddove applicata, la validazione delle funzioni di sicurezza mediante prova deve 

essere condotta applicando i valori di ingresso, in varie combinazioni, alla parte 

legata alla sicurezza del sistema di comando. I corrispondenti valori in uscita 

devono essere confrontati ai risultati appropriati specificati 

Si raccomanda che la combinazione di questi valori di ingresso sia applicata 

sistematicamente al sistema di comando e alla macchina; un esempio di questa 

logica è: accensione, avviamento, funzionamento, cambiamenti di direzione, 

riavviamento. 

Dove necessario, deve essere applicata una più ampia gamma di valori di 

ingresso per prendere in considerazione situazioni anomale o insolite per vedere 

come rispondono le parti del sistema di comando legate alla sicurezza; tali 

combinazioni di dati di ingresso devono prendere in considerazione operazione(i) 

scorretta(e) prevedibile(i) 

Gli obiettivi della prova sono determinati dalle condizioni ambientali per quella 

prova Le condizioni possono essere: 

le condizioni ambientali dell'uso previsto, o 

condizioni a un particolare valore, o 

un dato campo di condizioni se è prevista distorsione 



Validazione delle funzioni di sicurezza 

UNI EN ISO 13849-2:2008 

Nel processo di validazione è importante controllare gli errori e in 

particolare le omissioni nella specifica formulata, elaborata durante 

la progettazione 

Lo scopo della validazione delle funzioni di sicurezza è quello di 

verificare che i segnali di uscita legati alla sicurezza siano corretti e 

logicamente dipendenti dai segnali di ingresso secondo la specifica 

La validazione dovrebbe coprire tutte le condizioni normali e 

anomale prevedibili in simulazione statica e dinamica 

Le funzioni di sicurezza specificate devono essere validate in tutte 

le modalità di funzionamento della macchina 

Ciò significa che la validazione deve essere condotta per dimostrare 

la corretta funzionalità: 

in diverse configurazioni sufficienti per garantire che tutti i risultati 

legati alla sicurezza sono realizzati nei relativi campi completi; 

possono essere necessarie delle prove (per esempio prove di 

sovraccarico) per validare le funzioni di sicurezza specificate 

in risposta ad un segnale anomalo prevedibile da qualsiasi fonte 

di ingresso inclusa l'interruzione ed il ripristino dell'alimentazione 




CEI EN 62061:2005 – Allegato A 

La stima del rischio dovrebbe essere condotta per ogni pericolo, 

determinando i parametri di rischio che, come indicato in figura, 

dovrebbero essere derivati da quanto segue: 

gravità del danno Se 

probabilità di occorrenza di tale danno, che è una funzione della: 

frequenza e durata dell’esposizione di persone al pericolo Fr 

probabilità di occorrenza di un evento pericoloso Pr 

possibilità di evitare o limitare il danno Av 

Le stime inserite nella tabella dovrebbero generalmente basarsi sulle 

considerazioni del caso peggiore per la SRCF 



Gravità (Se) 


La gravità delle lesioni o dei danni alla salute può essere stimata considerando 

lesioni reversibili, lesioni irreversibili e decessi. Scegliere un valore appropriato di 

gravità dalla tabella sulla base delle conseguenze di una lesione, dove: 

4 indica una lesione fatale o significativa irreversibile, tale da rendere molto 

difficile continuare lo stesso lavoro dopo la guarigione, ammesso che sia 

possibile; 

3 indica una lesione importante o irreversibile tale da rendere possibile 

continuare lo stesso lavoro dopo la guarigione. Può inoltre includere una 

lesione importante grave ma reversibile, quale la rottura di un arto; 

2 indica una lesione reversibile, comprese gravi lacerazioni, ferite da taglio e 

gravi escoriazioni che richiedono l’intervento di un medico; 

1 indica una lesione minore, compresi graffi e lacerazioni minori che 

richiedono le cure di un pronto soccorso. 



Frequenza e durata dell’esposizione esposizione (Fr) 


Considerare gli aspetti seguenti per determinare il livello dell’esposizione: 

necessità di accesso alla zona pericolosa sulla base di tutte le modalità d’uso, per 

esempio, funzionamento normale, manutenzione, e 

natura dell’accesso, per esempio, alimentazione manuale di materiali, impostazioni. 

Dovrebbe quindi essere possibile stimare l’intervallo medio tra le esposizioni e, di 

conseguenza, la frequenza media di accesso. 

Dovrebbe inoltre essere possibile prevedere la durata, per esempio, se maggiore di 10 

min. Quando la durata è inferiore a 10 minuti, il valore può essere ridotto al livello 

successivo. Questo non si applica a frequenze di esposizione ≤ 1 ora, che non 

dovrebbero mai essere ridotte. 

Tale fattore non prende in considerazione il guasto della SRCF. 



Probabilità del verificarsi di un evento 

pericoloso (Pr) 


Questo parametro può essere stimato considerando: 

a) Prevedibilità del comportamento delle parti costitutive della macchina relative al 

pericolo in diverse modalità d’uso (per esempio funzionamento normale, manutenzione, 

ricerca guasti). Questo richiede un’attenta considerazione del sistema di controllo, 

soprattutto per quanto riguarda il rischio di avvio inatteso. Non prendere in 

considerazione l’effetto protettivo di qualsiasi SRECS. Questo è necessario per stimare 

l’entità del rischio a cui si viene esposti in caso di guasto allo SRECS. 

b) Le caratteristiche specificate o prevedibili del comportamento umano relative 

all’interazione con le parti componenti della macchina relative al pericolo. Questo può 

essere caratterizzato da: 

sollecitazioni (per esempio, dovute a vincoli temporali, compiti di lavoro, percezione 

della limitazione del danno), e/o 

scarsa conoscenza delle informazioni relative al pericolo. Questo è influenzato da 

fattori quali capacità, formazione, esperienza e complessità della macchina/processo. 

Dovrebbe essere scelta una probabilità “molto alta” del verificarsi di un evento pericoloso per 

rispecchiare i vincoli normali alla produzione e le considerazioni del caso peggiore. 

Sono richiesti motivi positivi (per esempio, applicazioni ben definite e conoscenza di un 

elevato livello di competenza degli utilizzatori) per utilizzare qualsiasi valore inferiore. 



Probabilità di evitare o limitare il danno 

(Av) 


Questo parametro può essere stimato tenendo conto degli aspetti dei progetti 

della macchina e dell’applicazione prevista che possono contribuire a limitare o 

evitare il danno derivante da un pericolo. Tali aspetti comprendono, per esempio: 

insorgenza improvvisa, ad alta o bassa velocità, dell’evento pericoloso; 

possibilità spaziale di sottrarsi al pericolo; 

natura del componente o del sistema, per esempio un coltello è generalmente 

affilato, un tubo in una latteria è generalmente caldo, l’elettricità è generalmente 

pericolosa per sua natura, ma invisibile; e 

possibilità di riconoscere un pericolo, per esempio un rischio elettrico: una sbarra di 

rame non cambia aspetto se è in tensione o no; per accorgersene è necessario 

uno strumento per stabilire se un’apparecchiatura elettrica è energizzata o no; le 

condizioni ambientali, per esempio, elevati livelli di rumore, possono impedire a 

una persona di sentire l’avviamento di una macchina. 



Classe di probabilità e assegnazione del 

SILCL 


Per ogni pericolo e, se applicabile, per ogni grado di gravità sommare i punteggi delle 

colonne Fr, Pr e Av e inserire la somma nella colonna Cl della tabella 

Utilizzando la Tabella successiva, il punto di intersezione tra la riga della gravità (Se) e la 

relativa colonna (Cl) indica se è necessaria un’azione. La zona nera indica il SIL assegnato 

come obiettivo per la SRCF. Le zone di colore più chiaro dovrebbero essere utilizzate come 

raccomandazione per l’uso di altre misure (OM). 



Come determinare il SILCL 

Sommare i punteggi delle colonne Fr, Pr e Av e inserire la somma nella 

colonna Cl 

Il punto di intersezione tra la riga della gravità (Se) e la relativa colonna 

(Cl) indica se è necessaria un’azione 

La zona nera indica il SIL assegnato come obiettivo per la SRCF 

Le zone di colore grigio indicano la raccomandazione per l’uso di 

altre misure (OM) 

Se=3 Cl=4+4+5=13 SIL = 2 



Modulo di valutazione del rischio 



Verifica del SIL raggiunto da uno SRECS 

CEI EN 62061:2005 

Il SIL che può essere raggiunto dallo SRECS deve essere considerato 

separatamente per ogni SRCF che lo SRECS deve eseguire 

Il SIL che può essere raggiunto dallo SRECS deve essere determinato 

dalla probabilità di un guasto pericoloso casuale dell’hardware, dai 

vincoli all’architettura e dall’integrità sistematica della sicurezza dei 

sottosistemi che comprendono lo SRECS. Il SIL raggiunto è inferiore o 

pari al valore più basso dei SILCL di ognuno dei sottosistemi per 

l’integrità sistematica della sicurezza e i vincoli all’architettura 

La probabilità di un guasto pericoloso di ogni SRCF dovuta a guasti 

casuali pericolosi dell’hardware deve essere stimata tenendo conto: 

dell’architettura degli SRECS in relazione a ogni SRCF considerata 

del tasso stimato di guasti di ogni sottosistema nell’esecuzione del 

blocco o dei blocchi funzionali assegnati in qualsiasi modalità 

suscettibile di causare un guasto pericoloso dello SRECS 



Verifica del SIL raggiunto da uno SRECS 

CEI EN 62061:2005 

La stima della probabilità di un guasto pericoloso deve essere basata 

sulla probabilità di un guasto pericoloso casuale dell’hardware di ogni 

sottosistema relativo. La probabilità di guasti pericolosi casuali 

dell’hardware dello SRECS è la somma delle probabilità di guasti 

casuali pericolosi dell’hardware di tutti i sottosistemi legati 

all’esecuzione della SRCF, e deve comprendere, ove è il caso, la 

probabilità di errori pericolosi di trasmissione per i processi di 

comunicazione di dati digitali (P TE ): 

PFH D = PFH D1 + ...+ PFH Dn + P TE 

Il SIL ottenuto dagli SRECS secondo i vincoli all’architettura è inferiore o 

pari al SILCL più basso di qualsiasi sottosistema interessato 

all’esecuzione della SRCF. 



Specifica delle prescrizioni per una SRCF 

CEI EN 62061:2005 - Allegato B 

Specifica delle prescrizioni per una SRCF 

Se la porta di protezione è aperta, la velocità di rotazione 

dell’albero non deve essere (funzione e integrità) superiore a 

quella specificata 

Prescrizione di integrità della sicurezza SIL 2 



Scomposizione in blocchi funzionali 




Concetto iniziale dell’architettura di uno 

SRECS 




Architettura di uno SRECS con funzioni diagnostiche 

incorporate all’interno di ogni sottosistema 




Stima del SIL raggiunto dallo SRECS 


Il SIL che può essere richiesto per lo SRECS deve essere inferiore o uguale ai SILCL di 

qualsiasi sottosistema. La probabilità di un guasto pericoloso casuale all’hardware dello 

SRECS (PFH DSRECS ) è la somma delle probabilità di guasti pericolosi all’ora di tutti i 

sottosistemi (da PFH D1 a PFH Dn ) interessati alla prestazione della funzione di controllo 

relativa alla sicurezza e deve comprendere, ove è il caso, la probabilità di errori pericolosi 

di trasmissione (P TE ) per i processi di comunicazione di dati digitali nel modo seguente: 

Per questo esempio, il valore di guasto da raggiungere per la funzione di controllo 

relativa alla sicurezza è SIL 2 e questo equivale a una probabilità di guasti pericolosi 

all’ora (PFH D ) compresa tra 10 -7 e 10 -6 . Pertanto, considerando che le probabilità di 

un guasto pericoloso all’ora di ogni sottosistema siano quelle indicate nel seguito, la 

somma delle probabilità di guasti pericolosi all’ora di tutti i sottosistemi può essere 

stimata come indicato nella figura successiva. 



Stima del SIL raggiunto dallo SRECS 


Pertanto, in questo esempio, il progetto di SRECS può dimostrare di 

soddisfare tutte le prescrizioni per la realizzazione della funzione di 

controllo relativa alla sicurezza a SIL 2.

Sicurezza macchine

Create successful ePaper yourself

Delete template?

Save as template?