Progettazione dei sistemi di comando per la sicurezza delle macchine Norma EN IEC 62061

Transcript

1 Pubblicato il 22/06/2010 Aggiornato al: 25/05/2010 Progettazione dei sistemi di comando per la sicurezza delle macchine Norma EN IEC di Gianfranco Ceresini 1 Riduzione del rischio (attraverso i sistemi di comando relativi alla sicurezza) Come detto nella prima parte della guida, sia la norma EN ISO che la EN IEC possono essere utilizzate per realizzare sistemi di controllo della sicurezza delle macchine in conformità alla direttiva macchine. Entrambe presentano nuove classificazioni dei sistemi: la EN ISO utilizza i PL (Performance Level) mentre la EN utilizza i SIL (Safety Integrity Level) come evidenziato in figura 1. Figura 1 - Norme di base per le funzioni di comando legate alla sicurezza delle macchine (Siemens) Le classificazioni PL e SIL possono essere considerate delle varianti dello stesso tema ed è possibile scegliere di utilizzare la norma più adatta alla propria applicazione. In generale, se si ha l abitudine all utilizzo delle categorie della norma EN e si utilizzano funzioni di sicurezza convenzionali, la norma EN ISO (PL) è probabilmente la scelta più adatta per transitare in modo più soft ai 1

2 nuovi concetti statistici. Se invece, viene specificamente richiesto l utilizzo delle classificazioni SIL o se l applicazione utilizza un architettura complessa o complesse funzionalità elettroniche di sicurezza, la norma EN è più adatta. La norma EN ISO copre tutte le tecnologie, in particolare copre i dispositivi elettromeccanici, idraulici, elettronici non complessi ed alcuni dispositivi elettronici programmabili con strutture predefinite, mentre la norma EN riguarda solo i sistemi elettrici, elettronici ed elettronici programmabili legati alla sicurezza. La situazione non è quindi tra le più felici, con due normative che forniscono indicazioni differenti (seppur similari) per raggiungere lo stesso obiettivo e con inevitabili sovrapposizioni di competenze. Proprio per venire incontro alle esigenze dei progettisti utilizzatori delle due norme, l ISO e l IEC si sono accordati per pubblicare, sia sulla EN che sulla EN 62061, una medesima tabella (tabella 1) per definire meglio il campo di competenza suggerito per le due norme. A Tecnologia che realizza la/e funzione/i di controllo ISO IEC relativa/e alla sicurezza Non elettrica, es. idraulica X Non contemplata B C D E F Elettromeccanica, es. relé, o elettronica non complessa Elettronica complessa, es. programmabile A in combinazione con B C in combinazione con B C in combinazione con A, o C in combinazione con A e B Limitata ad architetture designate (vedere Nota 1) e fino a PL = e Limitata ad architetture designate (vedere Nota 1) e fino a PL = d Limitata ad architetture designate (vedere Nota 1) e fino a PL = e Limitata ad architetture designate (vedere Nota 1) e fino a PL = d X (vedere Nota 2) Tutte le architetture e fino a SIL 3 Tutte le architetture e fino a SIL 3 X (vedere Nota 3) Tutte le architetture e fino a SIL 3 X (vedere Nota 3) X indica che questa voce è trattata nella norma indicata nell intestazione di colonna NOTA 1: Le architetture designate sono definite nell Allegato B della EN ISO per fornire un approccio semplificato alla quantificazione dei livelli di prestazione NOTA 2: Per l elettronica complessa: Utilizzare architetture designate in conformità alla EN ISO fino a PL = d o qualsiasi architettura conforme alla IEC NOTA 3: Per la tecnologia non elettrica, utilizzare come sottosistemi parti conformi alla EN ISO Tabella 1 Campo di applicazione suggerito per la norma EN e per la norme EN

3 L aspetto più importante che si nota dalla tabella 1 è che, mentre per i circuiti elettrici, elettronici ed elettronici programmabili legati alla sicurezza l applicazione della norma EN consente di raggiungere qualsiasi livello di complessità degli stessi, per la norma EN i circuiti elettronici ed elettronici programmabili complessi legati alla sicurezza possono essere gestiti dalla norma solo fino ad un PL che al massimo è d, segno che per le parti elettroniche o elettroniche programmabili complesse la norma EN 62061, per stessa ammissione dei normatori, è certamente più pertinente che non la norma EN Anzi per i casi nei quali l elettronica è complessa e/o con architettura complessa che non ricade in una di quelle valide per l applicazione della Norma EN ISO , l unica norma applicabile diventa la EN La stessa norma EN ISO alla nota 2 dell articolo cita testualmente che per il progetto di sistemi elettronici complessi, per esempio PES (ossia Sistemi Elettronici Programmabili) destinati a prestazioni per funzioni di sicurezza, può essere appropriata l applicazione di altre norme (ad es. IEC 61508, IEC o IEC 61496) ammettendo dunque apertamente i suoi limiti sull elettronica complessa specie se programmabile. 3

4 2 Riduzione del rischio Norma EN IEC Come detto, la EN IEC è adatta solo per sistemi di comando che usano energia elettrica. Si tratta di una sintesi della serie normativa IEC (composta da sette fascicoli normativi) che tratta la problematica relativa alla sicurezza funzionale di sistemi elettrici ed elettronici complessi di tutte le apparecchiature elettriche indipendentemente dal loro settore di applicazione. La EN è in pratica la IEC adattata ad un particolare settore: quello delle macchine industriali. Un aspetto importante della EN riguarda la possibilità di integrare, all interno dei propri sistemi di comando relativi alla sicurezza, anche dei sottosistemi progettati in conformità con la EN (mentre non è possibile il contrario). Il campo di applicazione della EN è relativo agli SRECS (Safety Related Electrical Control System) ossia i sistemi di controllo elettrici, elettronici ed elettronici programmabili relativi alla sicurezza utilizzati per le funzioni di sicurezza del macchinario. Questi SCRECS devono essere realizzati, in base all analisi del rischi della macchina, conformemente al Livello di Integrità della Sicurezza (SIL) idoneo alla funzione di sicurezza da essi realizzata. Le funzioni di sicurezza (definite Safety-Related Control Function, con acronimo SRCF) sono ad esempio l arresto attivato da un dispositivo di protezione elettrosensibile su una pressa, il blocco di un riparo nel momento in cui un operazione pericolosa è stata avviata, la prevenzione contro l intrappolamento di persone, il comando ad azione mantenuta, etc. La norma EN stabilisce quindi i requisiti e fornisce indicazioni per la realizzazione, l integrazione e la validazione di sistemi di comando e controllo di sicurezza elettrici, elettronici ed elettronici programmabili (SRECS) per le macchine e ne prende in considerazione l intero ciclo di vita, dalla progettazione alla dismissione. La norma non indica invece alcun requisito relativo alle prestazioni di dispositivi di controllo di sicurezza non elettrici (ad es. idraulici, pneumatici, elettromeccanici) per le macchine. Le prestazioni dei sistemi vengono indicate con il Safety Integrity Level (SIL). Dopo aver identificato le funzioni di sicurezza (SRCF) mediante l analisi del rischio, queste vengono suddivise secondo funzioni di sicurezza più elementari chiamati blocchi funzionali (FB) molto più semplici da progettare. Ogni blocco funzionale viene specificato in termini di requisiti funzionali (informazioni in ingresso, elaborazioni logiche interne, tipo di uscita) e requisiti di sicurezza. Ai blocchi funzionali sono quindi assegnati circuiti elettrici adatti ad implementare i requisiti individuati: questi circuiti sono denominati sottosistemi (ad ogni sottosistema possono essere assegnati più blocchi funzionali come è possibile notare in figura 2 dove ad esempio al sottosistema 1 possono essere assegnati entrambi i blocchi funzionali A1 e B1). L idea generale è pertanto quella di scomporre un problema complesso (SRECS che deve risolvere una funzione di sicurezza SRCF) in tanti piccoli sottoproblemi (i sottosistemi che risolvono le parti di funzione di sicurezza rappresentate dai blocchi funzionali) più facilmente risolvibili. 4

5 Figura 2 Assegnazione delle prescrizioni di sicurezza dei blocchi funzionali ai sottosistemi (EN 62061) I sottosistemi saranno a loro volta composti da componenti elettrici interconnessi fra di loro. I componenti elettrici sono denominati elementi del sottosistema (figura 3). Un elemento del sottosistema è tale per cui il guasto di uno di questi non porta alla perdita della funzione di sicurezza SRCF, altrimenti sarebbe un sottosistema per definizione. Nella realizzazione di sistemi di controllo complessi si segue quindi un processo di questo tipo: a partire dalle funzioni di sicurezza determinate in seguito all'analisi del rischio si procede ad una suddivisione in funzioni di sicurezza parziali chiamate blocchi funzionali, poi ad una correlazione di questi blocchi funzionali con dispositivi reali chiamati sottosistemi, poi infine ai singoli elementi che compongono i sottosistemi. 5

6 Figura 3 Assegnazione delle prescrizioni di sicurezza dei blocchi funzionali ai sottosistemi (EN 62061) Come già fatto per la norma EN , andiamo ad analizzare il significato dei vari parametri necessari per costruire il processo di riduzione del rischio attraverso i circuiti di comando di sicurezza. I parametri per l intero sistema di controllo sono: il SIL ossia la probabilità di un buon funzionamento del sistema e il PFHD del sistema di controllo di sicurezza che è dato dalla somma dei singoli valori PFHD dei sottosistemi; i parametri per i sottosistemi sono: le architetture dei circuiti, il SILCL che è il SIL di ogni singolo sottosistema, PFHD ovvero la probabilità di guasti pericolosi/ora, SFF frazione di guasto/anomalia in sicurezza, T1 ciclo di vita, T2 intervallo di test diagnostico, β suscettibilità ai guasti di causa comune e DC grado di copertura diagnostica; i parametri per gli elementi dei sottosistemi (dispositivi) sono: λ tasso di guasto/anomalia per elementi soggetti ad usura e T1 ciclo di vita. 6

7 SIL (Safety Integrity Level) e SILCL La norma EN definisce il SIL come il livello discreto (uno dei tre possibili) che deve essere assegnato allo SRECS per specificare i requisiti di sicurezza delle funzioni di controllo relative alla sicurezza, dove il livello 3 di sicurezza ha il livello elevato di sicurezza e il livello 1 di sicurezza ha il più basso. Maggiore è il SIL e minore è la probabilità che lo SRECS non esegua la funzione di sicurezza richiesta. E un parametro che viene espresso in probabilità media di un guasto pericoloso nell intervallo di un ora. Sono previsti 3 livelli, da SIL1 fino a SIL3 al crescere del rischio (tabella 2), ed ognuno di essi identifica un ambito numerico di probabilità di guasto pericoloso per ora. Ad esempio SIL2 indica che la probabilità di guasti pericolosi per ora è compresa tra 1 x 10-6 e 1 x 10-7 ovvero all incirca 1 guasto mediamente ogni anni. O ancora un SIL pari a 1 x 10-8 può significare che in anni di funzionamento un dispositivo potrebbe avere un guasto pericoloso supponendo un suo impiego per 5300 ore all anno (lo stesso può significare che si potrebbe avere un guasto pericoloso ogni ora se 100 milioni di dispositivi sono attivi contemporaneamente). Un basso rischio come SIL1 significa poche misure per la riduzione del rischio, mentre un alto rischio come SIL3 comporta l adozione di massicce misure di riduzione del rischio. Livello di Integrità della Sicurezza (SIL) Probabilità di un guasto pericoloso per ora [1/h] (PFH D ) PFH D < PFH D < PFH D < 10-5 Tabella 2 Concetto di Safety Integrity Level (EN 62061) E possibile effettuare un parallelo (non rigoroso) tra SIL e PL per fornire un confronto tra i sistemi di analisi della sicurezza delle due norme (tabella 3) Livello della Prestazione (PL) Livello di Integrità della Sicurezza (SIL) a nessuna corrispondenza b 1 c 1 d 2 e 3 Tabella 3 Corrispondenza tra SIL e PL 7

8 Come detto in precedenza, se si prevede l impiego di tecnologie complesse, (ad esempio elettronica programmabile, bus di sicurezza, architetture diverse da quelle stabilite ecc.) è più appropriato progettare mediante la norma EN Infatti, ad esempio se occorre avere un PL = e, la EN è applicabile solo se i sistemi di controllo sono realizzati con tecnologia elettrica oppure elettromeccanica semplice (relé). Accanto al parametro SIL, la norma EN introduce il livello di Integrità della sicurezza richiesto SILr (Safety Integrity Level required) che rappresenta il livello di resistenza ai guasti che il circuito (rappresentante una funzione di sicurezza) deve raggiungere in relazione al rischio specifico da coprire. Gli aspetti da valutare, secondo la norma EN sono quattro: la gravità, delle lesioni, la frequenza e/o durata dell esposizione al pericolo, la probabilità del verificarsi di un evento pericoloso e la possibilità di evitare o limitare il danno. Il SILr in altri termini è il livello di sicurezza che il circuito realizzato deve raggiungere per essere considerato conforme alle necessità di riduzione del rischio: ne consegue che per attestare che un circuito di sicurezza realizzato è idoneo al caso specifico occorre verificare che il SIL ottenuto sia almeno pari al SILr. In sostanza il SILr costituisce il livello minimo da raggiungere. Il SILr si può determinare mediante una tabella decisionale (figura 4) che tiene conto dei parametri citati. Figura 4 Tabella dei rischi per la determinazione del SIL richiesto in base al calcolo del rischio ed alla necessità conseguente di ridurlo ad un livello accettabile (Siemens) 8

9 Il SILCL è il SIL relativo ad ogni singolo sottosistema (rilevamento rischio, logica comando, attuazione). E il SIL massimo che può essere richiesto per un sottosistema di uno SRECS in rapporto ai vincoli dell architettura e all integrità sistematica della sicurezza. Il livello SIL che un SRECS completo raggiunge, non può essere maggiore del limite più basso di SIL richiesto di un sottosistema. Il valore del SIL massimo raggiungibile è in funzione di 3 elementi La probabilità di guasti pericolosi del suo hardware (ossia i guasti dei suoi componenti) I vincoli dell architettura di sistema (ossia i limiti imposti dall architettura del circuito realizzato, ad esempio il singolo canale piuttosto del doppio, la mancanza di monitoraggio dei guasti, ecc.) L integrità sistematica dei sottosistemi che compongono lo SRECS (ossia se non sono commessi errori sistematici, cioè errori legati al cablaggio, alla progettazione, o alla verifica dello SRECS) PFHD (Probability of Dangerous Failure per Hour) totale La probabilità di guasti pericolosi PFHD (all ora) di un sistema di controllo elettrico/elettronici relativo alla sicurezza (SRECS) si calcola eseguendo la somma della probabilità di guasti pericolosi dei singoli sottosistemi che formano lo SRECS più la probabilità di errori pericolosi di trasmissione (PTE) per i processi di comunicazione di dati digitali tra i sottosistemi (ove è il caso). 9

10 T1 (Lifetime) Il tempo T1 è il valore inferiore tra l intervallo della verifica periodica (definita proof test) e il ciclo di vita di uno SRECS o di un sottosistema. La definizione di verifica periodica è la seguente : Prova in grado di rilevare avarie e decadimenti di uno SRECS e dei suoi sottosistemi in modo che, se necessario, lo SRECS e i suoi sottosistemi possano essere riportati in condizioni come nuove, o quanto più praticamente vicino a tali condizioni. Dove la probabilità di guasti per ora (PFHD) è altamente dipendente dalla verifica periodica (cioè la prova intesa a rivelare i guasti non rivelati dalla funzione diagnostica) allora l intervallo della prova periodica è necessario che sia mostrato come realistico e praticabile nel contesto dell uso previsto relativo alla sicurezza del sistema elettrico di controllo (SRECS) (per esempio un intervallo di verifica periodica inferiore a 10 anni può essere irragionevolmente corto per molte applicazioni del macchinario). La norma EN ha utilizzato un intervallo per la verifica periodica (mission time = tempo di missione) di 20 anni a supporto della stima del tempo medio al guasto pericoloso (MTTFD) per la realizzazione dell architettura del controllo. Pertanto, si suggerisce che nell attività di progettazione di uno SRECS si usi un intervallo della verifica periodica di 20 anni. É riconosciuto che alcuni sottosistemi e/o elementi di sottosistema (per esempio componenti elettromeccanici con alti cicli di utilizzo) richiederanno la sostituzione all interno dell intervallo della verifica periodica. La verifica periodica consiste in definitiva in una sorta di revisione dello SRECS che il costruttore dello stesso impone dopo un certo tempo a chi l utilizza per accertarsi che il sottosistema fornito possa ancora garantire il raggiungimento delle prestazioni per cui è stato costruito. 10

11 λ tasso di guasto per i singoli dispositivi λ (oppure B10 per i relé) è il tasso di guasto di ogni componente elettrico o elettromeccanico, cioè di ogni elemento di un sottosistema. Si desume da appositi database (es. SN 29500), oppure tramite l allegato D (tabella D1) della norma EN o eventualmente anche da altre fonti. Analizzando lo schema elettrico del sottosistema si stabiliscono per ogni componente le modalità di guasto e si separano quelle pericolose (dangerous) da quelle non pericolose (safe) senza considerare gli effetti di eventuali metodi di diagnosi implementati, assegnando a ciascuna di esse la relativa probabilità. Quindi per ogni componente si ricava: dove λs è il tasso di guasto in sicurezza (guasto che non possiede la potenzialità di provocare un rischio) e λd è il tasso di guasto pericoloso (guasto in grado potenzialmente di provocare un rischio o uno stato non funzionale). Per i dispositivi elettromeccanici, il tasso di guasto si determina utilizzando il valore B10 e il numero di cicli di funzionamento C dell applicazione: Per le equazioni scritte si presumono tassi di guasto (λ) costanti e sufficientemente bassi (1 >> λ x T1) degli elementi del sottosistema (questo significa che il tempo medio di un guasto pericoloso deve essere molto maggiore dell intervallo della verifica periodica (proof test) o del ciclo di vita del sottosistema). Sotto queste ipotesi si può definire il tasso di guasto come reciproco del parametro MTTF: dove MTTF è il tempo medio al guasto (ricordiamo che il tempo medio fra i guasti ovvero MTBF = MTTF + MTTR con MTTR pari al tempo medio di ripristino; ne consegue che si può confondere MTBF con MTTF solo quando il MTTR è trascurabile rispetto al MTTF. Questa circostanza è riscontrabile solo in presenza di sistemi altamente affidabili, quindi con MTTF molto elevato, o di sistemi riparabili rapidamente). 11

12 SFF (Safe Failure Fraction) di un sottosistema La frazione del guasto in sicurezza è la frazione del tasso di guasto globale di un sottosistema che non comporta un guasto pericoloso. Conoscendo λs, λd, λdd per ogni componente è possibile calcolare la frazione di guasto in sicurezza del sottosistema: dove λs è il tasso di guasto in sicurezza e λd è il tasso di guasto pericoloso, mentre (ΣλS + ΣλD) è il tasso di guasto globale e λdd è il tasso di guasto pericoloso rilevato dalle funzioni diagnostiche. La copertura diagnostica (se esistente) di ogni sottosistema nello SRECS è considerata nel calcolo della probabilità dei guasti casuali all hardware. La frazione del guasto in sicurezza è presa in considerazione durante la determinazione dei vincoli dell architettura sull integrità della sicurezza dell hardware. La SFF deve essere stimata, ove necessario, per determinare il SILCL dovuto ai vincoli dell architettura. Per stimare la SFF, deve essere condotta un analisi (es. analisi dell albero dei guasti, analisi delle modalità e degli effetti delle avarie) di ogni sottosistema per determinare tutte le avarie relative e le corrispondenti modalità di guasto. La sicurezza o la pericolosità di un guasto dipende dallo SRECS e dalle funzioni di controllo previste relative alla sicurezza, compresa la funzione di reazione all avaria. La probabilità di ogni modalità di guasto deve essere determinata sulla base della probabilità dell avaria, o delle avarie associate, considerando l uso previsto, e può essere derivata da fonti quali: a) dati affidabili sul tasso di guasto raccolti da esperienze sul campo dal costruttore; b) dati sui guasti dei componenti provenienti da fonti affidabili (alcune sono elencate nell allegato D della EN 62061); c) dati sulle modalità di guasto contenuti nell allegato D della EN 62061; d) dati sul tasso di guasto derivati dai risultati di prove e analisi. Per un sottosistema con una tolleranza all avaria dell hardware pari a zero e nel quale le esclusioni delle avarie (che devono essere giustificate e documentate) sono state applicate ad avarie suscettibili di portare a un guasto pericoloso, il SILCL dovuto ai vincoli dell architettura di tale sottosistema è vincolato a un massimo di SIL 2. 12

13 T2 intervallo di test diagnostico per un sottosistema L intervallo delle prove diagnostiche dovrebbe consentire la rilevazione di un avaria prima del verificarsi di un avaria successiva suscettibile di portare a un guasto pericoloso del sottosistema e di superare il valore di guasto da raggiungere. L intervallo delle prove diagnostiche di qualsiasi sottosistema con una tolleranza all avaria dell hardware superiore a zero deve essere tale da consentire al sottosistema di rispettare la prescrizione per la probabilità di guasto casuale all hardware. In caso di un sottosistema che realizzi una SRCF specifica nella quale la tolleranza all avaria dell hardware è zero e il rapporto tra la frequenza di prova diagnostica e la frequenza di richiesta (di intervento) è superiore a 100, l intervallo delle prove diagnostiche di tale sottosistema deve essere in grado di consentirgli di rispettare le prescrizioni per la probabilità di un guasto casuale pericoloso all hardware. 13

14 β suscettibilità ai guasti di causa comune (CCF) Un guasto per cause comuni è definito come il guasto risultante da uno o più eventi che provocano guasti coincidenti a due o più canali separati di un sottosistema a più canali (architettura ridondante), e che comporta il guasto di una SRCF. Quando si utilizza un architettura ridondante per realizzare la probabilità di un guasto casuale pericoloso all hardware di un sottosistema, e uno o più CCF possono rimuovere gli effetti di tale ridondanza, la probabilità di un guasto pericoloso casuale all hardware basata sulla probabilità del verificarsi della causa comune deve essere aggiunta alla probabilità di un guasto pericoloso casuale all hardware di un sottosistema basato sull uso della ridondanza. La probabilità del verificarsi del CCF, quando si utilizza un architettura ridondante, dipende da una combinazione di tecnologia, architettura, applicazione e ambiente. L Allegato F della norma EN contiene una metodologia semplificata utilizzabile per stimare l efficacia delle misure applicate alla progettazione di un sottosistema per limitarne la suscettibilità ai guasti per cause comuni CCF. I metodi di progetto per combattere i guasti dovuti a cause comuni vanno scelti fra quelli elencati nella tabella F.1. Ad ogni metodo è assegnato un punteggio. Utilizzando la tabella F.1 gli elementi considerati come aventi un impatto sul progetto del sottosistema dovrebbero essere sommati per fornire un punteggio globale per il progetto da realizzare. Quando può essere dimostrato che i mezzi equivalenti per evitare il CCF possono essere ottenuti attraverso l uso di specifiche misure progettuali (es., uso di dispositivi a isolamento ottico anziché cavi schermati), può essere utilizzato il punteggio relativo poiché si può considerare che il contributo alla prevenzione dei CCF sia lo stesso. Il punteggio globale viene utilizzato per determinare un fattore di guasto per cause comuni β utilizzando la tabella F.2. Il valore di β ottenuto dovrebbe essere utilizzato nella stima della probabilità dei guasti pericolosi. Punteggio totale Fattore di guasto per cause comuni (β) < 35 10% (0,1) % (0,05) % (0,02) % (0,01) Tabella F.2 Stima del CCF (β) 14

15 Voce Riferimento Punteggio Separazione/segregazione I cavi di segnale dello SRECS per i singoli canali percorrono vie separate dagli altri canali in tutte le posizioni, oppure sono sufficientemente schermati? Quando vengono utilizzate informazioni di codifica/decodifica, sono sufficienti al rilevamento degli errori di trasmissione dei segnali? I cavi di segnale dello SRECS e i cavi elettrici di potenza sono separati in tutte le posizioni, oppure sono sufficientemente schermati? Se elementi del sottosistema possono contribuire a un CCF, sono forniti come dispositivi fisicamente separati in involucri autonomi? 1a 5 1b Diversità/ridondanza Il sottosistema usa tecnologie elettriche diverse, per esempio, una elettronica o elettronica programmabile e l altra con un relé elettromeccanico? Il sottosistema usa elementi che utilizzano principi fisici diversi (es., sensori a una porta di protezione che utilizzano tecniche meccaniche e magnetiche)? Il sottosistema usa elementi con differenze temporali nelle operazioni funzionali e/o nelle modalità di guasto? Gli elementi del sottosistema hanno intervallo diagnostico di prova 1 min? 7 10 Complessità/progetto/applicazione È evitata l interconnessione tra canali del sottosistema con l eccezione di quella utilizzata per scopi diagnostici? 8 2 Valutazione/analisi Sono stati esaminati i risultati delle modalità di guasto e l analisi degli effetti per stabilire fonti di guasti per cause comuni, e sono state eliminate mediante la progettazione le fonti di guasti per cause comuni predeterminate? 9 9 I guasti in campo sono analizzati con una retroazione alla progettazione? 10 9 Competenza/formazione I progettisti del sottosistema comprendono le cause e le conseguenze dei guasti per cause comuni? 11 4 Controllo ambientale Gli elementi del sottosistema tendono a funzionare sempre nel campo delle temperature, umidità, corrosione, polvere, vibrazione, ecc., nel quale sono stati provati senza l uso di controlli ambientali esterni? Il sottosistema è immune alle influenze negative delle interferenze elettromagnetiche fino ai limiti specificati nell Allegato E compresi? NOTA Un elemento alternativo (es., riferimenti 1a e 1b) è indicato nella tabella F.1 quando si prevede che si possa richiedere un contributo alla prevenzione dei CCF solo dall elemento più rilevante. 15

16 Tabella F.1 Criteri per la stima del CCF DC grado di copertura diagnostica La copertura diagnostica è la riduzione della probabilità di guasti pericolosi all hardware derivanti dal funzionamento degli esami diagnostici automatici. Se sono state adottate misure diagnostiche per rilevare i guasti pericolosi, allora in funzione della efficacia del metodo adottato si ricavano i valori λdd (tasso di guasto pericoloso rilevato dalle funzioni diagnostiche) e λdu (tasso di guasto pericoloso non rilevato dalle funzioni diagnostiche). Dove λdtotal = λdd + λdu è quindi il tasso totale di guasti pericolosi. La percentuale totale dei guasti λdtotal si suddivide in guasti non pericolosi (safe) e guasti pericolosi (dangerous) i quali a loro volta si suddividono in guasti pericolosi diagnosticabili (dd) e non diagnosticabili (du) (Anie) Conoscendo λdd e λdu per ogni componente è possibile calcolare la copertura diagnostica totale per il sottosistema: 16

17 Analizziamo con alcuni esempi la differenza tra il concetto ed il calcolo di copertura diagnostica DC ed il calcolo della frazione del guasto in sicurezza SFF. Esempio 1: il tasso dei guasti non pericolosi è uguale al tasso dei guasti pericolosi (λd = λs) e nessun guasto pericoloso viene rilevato dalle funzioni diagnostiche. Essendo λdd = 0, si ha quindi che DC = 0% mentre SFF = 50%. Caso con λd = λs (Anie) Esempio 2: il tasso dei guasti non pericolosi è uguale al tasso dei guasti pericolosi (λd = λs) ma ora la metà dei guasti pericolosi viene rilevata dalle funzioni diagnostiche. Essendo λdd = λdu, si ha quindi che DC = 50% mentre SFF = 75%. Caso con λdd = λdu (Anie) 17

18 Esempio 3: il tasso dei guasti non pericolosi è uguale al tasso dei guasti pericolosi (λd = λs) ma ora i 4/5 dei guasti pericolosi viene rilevata dalle funzioni diagnostiche. Essendo λdu pari ad un decimo dei guasti pericolosi totali, si ha quindi che DC = 90% mentre SFF = 95%. Caso con λdd = 9 volte λdu (Anie) 18

19 Architetture dei sottosistemi La norma EN suggerisce quattro schemi predefiniti per i sottosistemi e per ognuno di essi fornisce la formula per il calcolo di λd (tasso di guasto pericoloso) e PFHd (probabilità media di guasto pericoloso entro un ora). Architettura base del sottosistema A: zero tolleranza all avaria senza funzione diagnostica In questa architettura, qualsiasi guasto pericoloso di un elemento del sottosistema provoca un guasto alla SRCF. Nell architettura A, la probabilità di un guasto pericoloso del sottosistema è la somma delle probabilità di un guasto pericoloso di tutti gli elementi del sottosistema. Figura 5 Rappresentazione logica del sottosistema A (EN 62061) 19

20 Architettura base del sottosistema B: singola tolleranza all avaria senza funzione diagnostica Questa architettura è tale per cui un singolo guasto di qualsiasi elemento del sottosistema non causa una perdita della SRCF. Pertanto, dovrebbe verificarsi un guasto pericoloso in più di un elemento prima che si verifichi un guasto alla SRCF. Figura 6 Rappresentazione logica del sottosistema B (EN 62061) 20

21 Architettura base del sottosistema C: zero tolleranza all avaria con funzione diagnostica Qualsiasi avaria pericolosa dell elemento di un sottosistema porta a un guasto pericoloso della SRCF. Quando si rileva un avaria di un elemento del sottosistema, la o le funzioni diagnostiche avviano una funzione di reazione all avaria. Figura 7 Rappresentazione logica del sottosistema C (EN 62061) 21

22 Architettura base del sottosistema D: singola tolleranza all avaria con funzione(i) diagnostica(che) L architettura evita che un guasto singolo di qualsiasi elemento del sottosistema provochi una perdita della SRCF. Figura 8 Rappresentazione logica del sottosistema D (EN 62061) Nel caso di elementi di sottosistemi omogenei, le formule sono le seguenti: 22

23 Vincoli dell architettura sull integrità della sicurezza dell hardware dei sottosistemi Il livello di integrità della sicurezza più elevato che può essere richiesto per una SRCF è limitato dalla tolleranza all avaria dell hardware e dalle frazioni di guasto in sicurezza dei sottosistemi che svolgono tale SRCF. La tabella seguente specifica il massimo SIL che può essere richiesto per una SRCF che utilizza un sottosistema, tenendo conto della tolleranza all avaria dell hardware e della frazione di guasto in sicurezza del sottosistema. Questi vincoli, che pongono quindi dei limiti al massimo SIL ottenibile per una funzione di sicurezza, devono essere applicati a ogni sottosistema. Frazione di guasto Tolleranza all avaria dell hardware (HFT) (Nota 1) in sicurezza (SFF) < 60 % Non permesso (Nota 3) SIL1 SIL2 60 % - < 90 % SIL1 SIL2 SIL3 90 % - < 99 % SIL2 SIL3 SIL3 (Nota 2) 99 % SIL3 SIL3 (Nota 2) SIL3 (Nota 2) Nota 1 - Una tolleranza N all avaria dell hardware indica che N+1 avarie possono causare una perdita della funzione di controllo relativa alla sicurezza. Nota 2 - Un SILCL 4 non è considerato nella norma EN Per il SIL 4 vedere la IEC Nota 3 Esiste la seguente eccezione: per un sottosistema con una tolleranza all avaria dell hardware pari a zero e nel quale le esclusioni delle avarie sono state applicate ad avarie suscettibili di portare a un guasto pericoloso, il SILCL dovuto ai vincoli dell architettura di tale sottosistema è vincolato a un massimo di SIL2 Vincoli dell architettura sui sottosistemi Quando un sottosistema è progettato in conformità alla ISO e validato in conformità alla ISO si ritiene che un sottosistema con una categoria specifica conforme alla ISO abbia la tolleranza all avaria dell hardware associata e la frazione di guasto in sicurezza indicata nella tabella seguente. 23

24 Categoria Tolleranza Frazione di guasto all avaria in sicurezza dell hardware (SFF) (HFT) Si ritiene che i sottosistemi con la categoria dichiarata abbiano le caratteristiche indicate di seguito Massimo SIL richiesto dai vincoli dell architettura 1 0 < 60 % Nota % - < 90 % SIL < 60 % SIL % - < 90 % SIL2 > 1 60 % - < 90 % SIL3 (Nota 3) 1 > 90 % SIL3 (Nota 4) Nota 1 - I casi per le Categorie 1 e 2 dove la SFF è < 60 % sono considerati non rilevanti nell ambito della ISO , e i sottosistemi progettati in conformità alla ISO realizzano in pratica una SFF superiore al 60 %. Nota - 2 Il caso per la Categoria 2 dove la SFF è > 90 % si ritiene non realizzato dalle prescrizioni di progettazione della ISO Nota - 3 La copertura diagnostica è ritenuta inferiore a 90 % per i sottosistemi della Categoria 4 nei quali si considera una tolleranza maggiore di quella all avaria singola dell hardware (cioè avarie accumulate). Nota - 4 La Categoria 4 prescrive una SFF superiore a 90 % ma inferiore a 99 % quando si considera la tolleranza all avaria singola dell hardware. Nota - 5 La Categoria B in conformità alla ISO non è considerata sufficiente al raggiungimento di SIL1 Vincoli dell architettura in rapporto alle categorie 24

25 Probabilità di guasto pericoloso dell hardware dei sottosistemi Quando un sottosistema viene progettato in base alla norma EN ISO , viene validato secondo la EN ISO e rispetta sia le prescrizioni dei vincoli dell architettura (vedi paragrafo precedente) che quelle previste per evitare i guasti sistematici del sistema, i valori di soglia della probabilità di guasto pericoloso (PFHD) indicati nella seguente tabella possono essere utilizzati per stimare l integrità della sicurezza dell hardware Categoria Tolleranza Copertura all avaria diagnostica dell hardware (DC) (HFT) Si ritiene che i sottosistemi con la categoria dichiarata abbiano le caratteristiche indicate di seguito Valori di soglia (orari) PFHD che possono essere richiesti per il sottosistema PFHD (MTTFsottosistema, Tprova, DC) (Nota 1) Da fornire a cura del % fornitore o utilizzare dati generici (vedi paragrafo seguente) % - 90 % % - 90 % 2 x > 1 60 % - 90 % 3 x > 90 % 3 x 10-8 Nota 1 - Il valore di soglia PFHD è una funzione del MTTF del sottosistema (derivato dal costruttore del sottosistema o dai manuali dei dati dei componenti relativi), del tempo del ciclo di prova/verifica, come indicato nella specifica delle prescrizioni di sicurezza (tale informazione è richiesta inoltre per la validazione del sottosistema in conformità con 3.5 della ISO ), e della copertura diagnostica, come indicato nella presente tabella (questi valori si basano sulle prescrizioni delle categorie descritte nella ISO ). Nota - 2 La Categoria B secondo la ISO non può essere considerata sufficiente a raggiungere SIL 1. 25

26 Calcolo dei valori di soglia del PFHD dei sottosistemi Modalità di guasto dei componenti elettrici/elettronici L allegato D della norma EN indica alcuni esempi dei tassi di modalità di guasto di componenti elettrici/elettronici derivati da fonti di riferimento industriali. Questi valori possono essere diversi dalle informazioni fornite da altre fonti. Generalmente, i dati sulle modalità di guasto utilizzati dovrebbero rispecchiare l applicazione pratica dei componenti. Componente Modalità di guasto Tassi tipici delle modalità di guasto % Interruttore con comando ad apertura positiva, per esempio, pulsante, dispositivo di arresto di emergenza, interruttori di posizione azionati a camma, selettori Mancata apertura dei contatti 20 Mancata chiusura dei contatti 80 Interruttore elettromeccanico di posizione, fine corsa, commutatore azionato manualmente, ecc. (non con comando ad apertura positiva) Mancata apertura dei contatti 50 Mancata chiusura dei contatti 50 Relè Tutti i contatti rimangono in posizione eccitata quando la bobina è diseccitata Tutti i contatti rimangono in posizione diseccitata quando la bobina è eccitata Mancata apertura dei contatti 10 Mancata chiusura dei contatti 10 Interruttore, interruttore differenziale, dispositivo differenziale Cortocircuito simultaneo tra tre contatti di un contatto di commutazione Chiusura simultanea di contatti normalmente aperti e normalmente chiusi Cortocircuito tra due coppie di contatti e/o tra contatti e morsetto della bobina Tutti i contatti rimangono in posizione eccitata quando la bobina è diseccitata Tutti i contatti rimangono in posizione diseccitata quando la bobina è eccitata

27 Mancata apertura dei contatti 10 Mancata chiusura dei contatti 10 Contattore Cortocircuito simultaneo tra tre contatti di un contatto di commutazione Chiusura simultanea di contatti normalmente aperti e normalmente chiusi Cortocircuito tra due coppie di contatti e/o tra contatti e morsetto della bobina Tutti i contatti rimangono in posizione eccitata quando la bobina è diseccitata Tutti i contatti rimangono in posizione diseccitata quando la bobina è eccitata Mancata apertura dei contatti 10 Mancata chiusura dei contatti 10 Cortocircuito simultaneo tra tre contatti di n contatto di commutazione Chiusura simultanea di contatti normalmente aperti e normalmente chiusi Cortocircuito tra due coppie di contatti e/o tra contatti e morsetto della bobina Fusibile Mancata fusione (cortocircuito) 10 Circuito aperto 90 Interruttore di prossimità Resistenza permanentemente bassa all uscita 25 Resistenza permanentemente alta all uscita 25 Interruzione dell alimentazione 30 Mancato funzionamento dell interruttore per guasto meccanico Cortocircuito simultaneo tra tre morsetti di contatti di commutazione Termostato Mancata chiusura dei contatti 30 Mancata apertura dei contatti 10 Cortocircuito tra contatti adiacenti 10 Cortocircuito simultaneo tra tre morsetti di contatti di commutazione 10 Avaria al sensore 20 Cambiamento di rilevazione o di 20 27

28 caratteristica di uscita Pressostato Mancata chiusura dei contatti 30 Mancata apertura dei contatti 10 Cortocircuito tra contatti adiacenti 10 Cortocircuito simultaneo tra tre morsetti di contatti di commutazione 10 Avaria al sensore 20 Cambiamento di rilevazione o di caratteristica di uscita 20 Elettrovalvola Mancata eccitazione 5 Mancata diseccitazione 15 Variazione dei tempi di commutazione 5 Perdita 65 Altre modalità di guasto (vedere Nota) 10 Trasformatore Circuito aperto del singolo avvolgimento 70 Cortocircuito tra avvolgimenti diversi 10 Cortocircuito in un avvolgimento 10 Variazione nel rapporto spire effettivo 10 Induttanze Circuito aperto 80 Cortocircuito 10 Variazione casuale di valore 10 Resistori Circuito aperto 80 Cortocircuito 10 Variazione casuale di valore 10 Reti di resistori Circuito aperto 70 Cortocircuito 10 Cortocircuito tra connessioni qualsiasi 10 Variazione casuale di valore 10 Potenziometri Circuito aperto della singola connessione 70 Cortocircuito tra tutte le connessioni 10 Cortocircuito tra due connessioni qualsiasi 10 Variazione casuale di valore 10 Condensatori Circuito aperto 40 Cortocircuito 40 28

29 Variazione casuale di valore 10 Variazione del valore di tan 10 Semiconduttori discreti Circuito aperto di qualsiasi connessione 25 Cortocircuito tra due connessioni qualsiasi 25 Cortocircuito tra tutte le connessioni 25 Variazione delle caratteristiche 25 Circuiti integrati non programmabili (non complessi, cioè meno di 1000 porte e/o meno di 24 piedini, amplificatori operazionali, registri a scorrimento e moduli ibridi) Circuito aperto di qualsiasi connessione 20 Cortocircuito tra due connessioni qualsiasi 20 Avarie per bloccaggio 20 Oscillazione parassita delle uscite 20 Variazione dei valori (es., tensione di ingresso/uscita di dispositivo analogico) 20 Accoppiatori ottici Circuito aperto della singola connessione 30 Cortocircuito tra due connessioni qualsiasi in ingresso Cortocircuito tra due connessioni qualsiasi in uscita Cortocircuito tra due connessioni qualsiasi in ingresso e in uscita Presa a spina, connettore multipolare Cortocircuito tra due qualsiasi poli adiacenti 10 Cortocircuito tra un qualsiasi conduttore e una parte conduttrice esposta 10 Circuito aperto di singoli poli del connettore 80 Morsetto componibile Cortocircuito tra morsetti adiacenti 10 Circuito aperto di singoli morsetti 90 NOTA: Altre modalità di guasto che si applicano a una elettrovalvola comprendono: mancata commutazione (permanenza in posizione estrema o in posizione zero) o commutazione incompleta (permanenza in una posizione intermedia casuale); variazione spontanea della posizione iniziale di commutazione (senza un segnale di ingresso); variazione nella portata della perdita nel corso di un lungo periodo; scoppio dell involucro della valvola o rottura dei componenti mobili, nonché rottura/frattura delle viti di montaggio o dell involucro; avarie pneumatiche/idrauliche che causano un comportamento incontrollato delle servovalvole e delle 29

30 valvole proporzionali. Come va calcolato il SIL Il costruttore di macchine che ne intenda verificare la sicurezza dovrà seguire il metodo progettuale proposto dalla EN ISO che si snoda attraverso un processo iterativo (figura 9) articolato in alcuni passi: vediamoli. Figura 9 - Processo da seguire per il calcolo del SIL di una funzione di sicurezza 30

31 Passo 1 Definizione dei requisiti delle funzioni di sicurezza In questa fase vengono stabilite le caratteristiche per ogni funzione di sicurezza. Per ogni funzione di sicurezza il progettista decide il contributo alla riduzione del rischio che essa deve fornire. Questo contributo non copre il rischio complessivo della macchina, (ad esempio il rischio globale di una pressa o di un sistema di cambio pallet automatico), ma solo quella parte della riduzione del rischio che deriva dalla applicazione di quella particolare funzione di sicurezza. Una funzione di sicurezza può essere composta da uno o più SRECS, e più funzioni di sicurezza possono utilizzare gli stessi SRECS. Esempi di funzioni di sicurezza possono essere: per una pressa la funzione di arresto comandata dall intervento di una barriera di sicurezza, per un tornio l apertura di un riparo interbloccato, sul cambio pallet l apertura della porta di accesso che interrompe il movimento e abilita il modo di funzionamento a velocità ridotta, la funzione di ripristino manuale, la funzione di inibizione, la funzione di azione mantenuta, etc. La norma EN definisce la funzione di sicurezza come la funzione di una macchina il cui guasto può provocare un immediato aumento del o dei rischi. 31

32 Passo 2 Assegnazione del SIL (determinazione del Safety Integrity Level richiesto) L allegato A della EN contiene un approccio qualitativo per la stima dei rischi e l assegnazione del SIL applicabile alle SRCF per la macchina, in pratica per determinare il SIL richiesto (SILr). Nell indicazione dei pericoli, vanno compresi quelli derivanti da un ragionevole e prevedibile uso improprio, di cui si devono ridurre i rischi realizzando una SRCF. La stima del rischio dovrebbe essere condotta per ogni pericolo, determinando i parametri di rischio che sono indicati in figura 10. Figura 10 Parametri utilizzati per la stima del rischio Gravità del danno possibile - Se La gravità delle lesioni o dei danni alla salute può essere stimata considerando lesioni reversibili, lesioni irreversibili e decessi. Conseguenze Gravità (Se) Irreversibile: morte, perdita di un occhio o di un braccio 4 Irreversibile: rottura di uno o più arti, perdita di uno o più dita 3 Reversibile: richiede l intervento di un medico 2 Reversibile: richiede le cure di un pronto soccorso 1 32

33 Frequenza e durata dell esposizione - Fr Per determinare il livello dell esposizione occorre considerare i seguenti aspetti: la necessità di accesso alla zona pericolosa sulla base di tutte le modalità d uso, per esempio, funzionamento normale, manutenzione, e la natura dell accesso, per esempio, alimentazione manuale di materiali, impostazioni. Dovrebbe quindi essere possibile stimare l intervallo medio tra le esposizioni e, di conseguenza, la frequenza media di accesso. Dovrebbe inoltre essere possibile prevedere la durata, per esempio, se maggiore di 10 min. Quando la durata è inferiore a 10 min, il valore può essere ridotto al livello successivo. Questo non si applica a frequenze di esposizione 1 h, che non dovrebbero mai essere ridotte. Frequenza e durata dell esposizione (Fr) Frequenza dell esposizione Durata > 10 min 1 h 5 Da > 1 h a 1 giorno 5 Da > 1 giorno a 2 settimane 4 Da > 2 settimane a 1 anno 3 > 1 anno 2 Probabilità del verificarsi di un evento pericolo - Pr Questo parametro può essere stimato considerando: Prevedibilità del comportamento delle parti costitutive della macchina relative al pericolo in diverse modalità d uso (es., funzionamento normale, manutenzione, ricerca guasti). Questo richiede un attenta considerazione del sistema di controllo, soprattutto per quanto riguarda il rischio di avvio inatteso. Non prendere in considerazione l effetto protettivo di qualsiasi SRECS. Questo è necessario per stimare l entità del rischio a cui si viene esposti in caso di guasto allo SRECS. In generale, bisogna considerare se la macchina o il materiale in lavorazione tende ad agire in modo inaspettato. Il comportamento della macchina varia da molto prevedibile a imprevedibile, ma eventi inattesi non possono essere esclusi. b) Le caratteristiche specificate o prevedibili del comportamento umano relative all interazione con le parti componenti della macchina relative al pericolo. Questo può essere caratterizzato da: 33

34 o sollecitazioni (es., dovute a vincoli temporali, compiti di lavoro, percezione della limitazione del danno), e/o o scarsa conoscenza delle informazioni relative al pericolo. Questo è influenzato da fattori quali capacità, formazione, esperienza e complessità della macchina/processo. Dovrebbe essere scelta una probabilità molto alta del verificarsi di un evento pericoloso per rispecchiare i vincoli normali alla produzione e le considerazioni del caso peggiore. Probabilità dell evento pericoloso Probabilità (Pr) Molto alta 5 Probabile 4 Possibile 3 Scarsa 2 Trascurabile 1 Probabilità di evitare o limitare il danno - Av Questo parametro può essere stimato tenendo conto degli aspetti dei progetti della macchina e dell applicazione prevista che possono contribuire a limitare o evitare il danno derivante da un pericolo. Tali aspetti comprendono, per esempio: insorgenza improvvisa, ad alta o bassa velocità, dell evento pericoloso; possibilità spaziale di sottrarsi al pericolo; natura del componente o del sistema, per esempio un coltello è generalmente affilato, un tubo in una latteria è generalmente caldo, l elettricità è generalmente pericolosa per sua natura, ma invisibile; e possibilità di riconoscere un pericolo, per esempio un rischio elettrico: una sbarra di rame non cambia aspetto se è in tensione o no; per accorgersene è necessario uno strumento per stabilire se un apparecchiatura elettrica è energizzata o no; le condizioni ambientali, per esempio, elevati livelli di rumore, possono impedire a una persona di sentire l avviamento di una macchina. Probabilità di evitare o limitare il danno (Av) Impossibile 5 Scarsa 3 Probabile 1 34

35 Classe della probabilità del danno - Cl Sommando i punteggi di Fr, Pr e Av si ottiene la classe della probabilità del danno Cl. Assegnazione del SIL Utilizzando la tabella seguente, il punto di intersezione tra la riga della gravità (Se) e la relativa colonna che rappresenta la classe della probabilità del danno (Cl) indica se è necessaria un azione. La zona nera indica il SIL assegnato come obiettivo per la SRCF. Le zone di colore più chiaro dovrebbero essere utilizzate come raccomandazione per l uso di altre misure (OM). Ad esempio per un pericolo specifico con una Se assegnata di 3, una Fr di 4, una Pr di 5 e una Av di 5, si ottiene Cl = Fr + Pr + Av = = 14. Utilizzando la tabella, questo porterebbe l assegnazione di un SIL 3 alla SRCF destinata a mitigare questo pericolo specifico. 35

36 Passo 3 Progettazione dell architettura di controllo Una volta individuato il SIL necessario per la nostra funzione di sicurezza è necessario scomporre la funzione in blocchi funzionali FB. Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemi che realizzeranno i blocchi funzionali individuando una possibile configurazione elettrica. Per ogni sottosistema si calcola la probabilità di guasti pericolosi all ora PFHD. Passo 4 - Determinazione del SIL massimo raggiungibile Il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza (SRESC) sarà sempre inferiore o pari al valore più basso dei SIL massimi raggiungibili per quanto riguarda l integrità sistematica della sicurezza e i vincoli dell architettura di ognuno dei sottosistemi che lo costituiscono. La probabilità di guasti pericolosa di ogni funzione di controllo di sicurezza (SRCF) causata da guasti hardware casuali deve essere uguale o inferiore al valore limite stabilito nelle specifiche dei requisiti di sicurezza. 36

37 Figura 11 Combinazione di più sottosistemi per conseguire il SIL globale (Siemens) Figura 12 Esempio in cui un PFHD di 5,22x10-7 corrisponde ad un SIL 2 per lo SRECS realizzato (Anie) Passo 5 Verifica In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SIL assegnato (SILr richiesto) stabilito dalla valutazione del rischio al passo 2. Se la verifica è positiva il progetto prosegue alla fase successiva, mentre se è negativa bisogna riprogettare il circuito (ripartendo dal punto 3) cambiando architettura o cambiando i componenti con altri aventi migliori caratteristiche. Passo 6 Validazione e manutenzione La progettazione di una funzione di comando e controllo di sicurezza deve essere validata. La validazione deve dimostrare che la combinazione di ciascuna funzione di sicurezza dei dispositivi di sicurezza soddisfa i requisiti relativi. La validazione dello SRECS deve essere condotta in conformità a un piano preparato. Ogni SRCF indicata nella specifica delle prescrizioni dello SRECS e tutte le procedure di funzionamento e di manutenzione dello SRECS devono essere validate mediante collaudi e/o analisi. Deve essere prodotta una documentazione adeguata della validazione della sicurezza dello SRECS, che deve dichiarare per ogni SRCF: la versione del piano di validazione di sicurezza dello SRECS utilizzato e la versione dello SRECS provato; la SRCF in prova (o in analisi), nonché il riferimento specifico alla prescrizione specificata durante la pianificazione della validazione di sicurezza dello SRECS; strumenti e apparecchiature utilizzate e dati di taratura; 37