Safety Standard NEWS 2016

Transcript

1 Safety Standard NEWS 2016 A.C. & E. S.r.l. siemens.com/answers

2 Aggiornamento Legislativo e Normativo Le direttive Direttive Riferimenti superati Riferimenti Attuali Riferimenti futuri In vigore da (data di abrogazione delle precedenti) Direttiva Macchine 98/37/CE 2006/42/CE Bassa tensione 73/23/CEE 2006/95/CE 2014/35/UE 20 aprile 2016 EMC 89/336/CEE 2004/108/CE 2014/30/UE 20 aprile 2016 PED 97/23/CE 97/23/CE 2014/68/UE 18 luglio 2016 ATEX 94/9/CE 94/9/CE 2014/34/UE 20 aprile 2016

3 Aggiornamento Legislativo e Normativo Le norme Standard di riferimento Nuova edizione ISO : Safety of machinery Safety related parts of control system Part 1: General principles for design ISO : 2013 Safety of machinery Safety related parts of control system Part 2: Validation ISO/TR 24119:2015 Safety of machinery Evaluation of fault masking series connection of interlocking devices associated with guards with potential free contacts

4 Contenuti trattati ISO ed. 2015: le principali novità Fault masking ISO/TR ed Validazione: ISO ed Domande e discussioni finali

5 ISO : World-wide Standard Un unico Standard per il mondo! RTUD

6 ISO : World-wide Standard

7 ISO : Evoluzione normativa 2015

8 ISO/IEC ISO/AWI ISO & IEC Safety of machinery - Safety functions of control systems ISO attraverso il Comitato Tecnico TC 199 (Sicurezza macchine) ha portato allo stato di AWI (Approved Work Item) i lavori sulla norma congiunta ISO IEC (ISO e IEC 62061) con proposta di inizio lavori tra ISO TC 199 e IEC TC 44 dal ISO/TC 199/JWG 01 "Joint ISO/TC IEC/TC 44; Merging of ISO and IEC 62061" 6 meeting Proposta Las Vegas USA SICUREZZA DEI SISTEMI DI COMANDO Nuovo progetto di standardizzazione congiunto di ISO/IEC Come da precedente notizia, i gruppi di lavoro di ISO TC199 e IEC TC 44, hanno creato un gruppo di lavoro congiunto JWG1 per affrontare una possibile unificazione delle norme ISO e IEC al fine di creare uno standard convergente in una norma ISO/IEC sulla Sicurezza dei Sistemi di comando. Il VDMA, (Verband Deutscher Maschinen- und Anlagenbau e.v.) associazione di costruttori tedeschi di macchine, partecipa attivamente a questo progetto, ed ha, sin dalla creazione del Gruppo di lavoro, reso disponibili documenti inerenti workshop e realizzato un questionario online per favore lo scambio di informazioni tra l'industria (utenti standard) e gli esperti di normalizzazione ed avere elementi di analisi in merito.

9 ISO/IEC 17305

10

11

12 ISO : Evoluzione normativa 2016 ISO ed. 2015

13 ISO ed. 2015: le principali novità

14 ISO ed. 2015: Principali novità Aggiornamento dei requisiti di categoria: focus specifico sulla Categoria 2; Descrizione e requisiti minimi degli SRP/CS output in funzione delle specifiche di categoria; Nuova definizione: Proven in use ; Update Annex C: MTTFd values for single components ; Riferimenti normativi aggiornati (ISO 14119:2014, ).

15 La DIRETTIVA MACCHINE 1.2. SISTEMI DI COMANDO Sicurezza ed affidabilità dei sistemi di comando I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che: resistano alle previste sollecitazioni di servizio e agli influssi esterni, un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose, errori della logica del sistema di comando non creino situazioni pericolose, errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose.

16 ISO/TR

17 ISO/TR

18 ISO : Performance Level PL Più il sistema è sicuro più è improbabile che capiti un guasto pericoloso. E questo il concetto che sta alla base della EN ISO con la quale viene introdotto un parametro oggettivo di valutazione, il PL (Performance Level) e le relative grandezze ad esso associato e da cui dipende, ossia architettura di comando (categoria di sicurezza), tempo medio al guasto pericoloso MTTFd, copertura diagnostica (DC) e guasti per cause comuni (CCF).

19 ISO : Struttura I-L-O I - Ingresso: parte del sistema legato alla sicurezza in grado di ricevere l evento di avvio della funzione di sicurezza L - Logica: parte del sistema legato alla sicurezza in grado di attivare le misure di sicurezza definite per quell evento O - Uscita: parte del sistema legato alla sicurezza in grado di attuare le misure di sicurezza definite per quell evento i i : mezzi di interconnessione (elettrici, ottici, elettromagnetici, ) 1: avvio dell evento (per esempio azionamento manuale di un pulsante apertura dei un riparo) 2: Azionatore della macchina (per esempio freni motore)

20 ISO : Fattori di scelta dell architettura 1. La riduzione del rischio da conseguire 2. Livello di prestazione richiesto 3. Le tecnologie utilizzate 4. Il rischio in caso di una o più avarie in quella parte 5. La possibilità di evitare la(e) avaria(e) in quella parte 6. La probabilità che si verifichino avarie in quella parte e i parametri pertinenti 7. Il tempo medio di guasto (MTTFd) 8. La copertura diagnostica (DC) 9. I guasti da causa comune (CCF) nel caso delle categorie 2,3 e 4

21 ISO : Grafico di stima del PL

22 ISO : Categoria 2 Autocontrollo Le SRP/CS di categoria 2 devono essere progettate in modo che la loro funzione sia controllata a intervalli opportuni tramite il sistema di comando della macchina. Il controllo della funzione di sicurezza deve essere effettuato: all avvio della macchina; e prima dell inizio di qualsiasi situazione pericolosa L'avvio di tale controllo può essere automatico. Qualsiasi controllo della funzione di sicurezza devono alternativamente: - Consentire il funzionamento se non sono stati rilevati errori, o; - Generare una uscita (OTE) che avvia appropriata azione di controllo, se viene rilevato un errore.

23 ISO : Categoria 2 Autocontrollo Per PLr = d l'uscita (OTE) avvia uno stato di sicurezza che viene mantenuto fino a quando viene eliminato il guasto. Per PLr fino al PLr = c, quando possibile l'uscita (OTE) avvia uno stato sicuro che viene mantenuta fino a quando viene eliminato il guasto. Quando ciò non è possibile (ad esempio la saldatura del contatto in finale dispositivo di commutazione) può essere sufficiente per l'uscita dell'apparecchiatura di prova OTE per fornire un avvertimento. Il calcolo di MTTFd e DCavg dovrebbe tenere conto solo dei blocchi nel canale funzionale (cioè I, L e O) e non dei blocchi nel canale diagnostico (cioè TE e OTE). Il controllo in sé non può determinare una situazione di pericolo (ad esempio a causa di un aumento del tempo di reazione). L'attrezzatura di prova può essere integrata con la parte relativa alla sicurezza compone la funzione di sicurezza.

24 ISO : Categoria 2 Autocontrollo Il PL massimo raggiungibile con la categoria 2 è PL = d. Devono essere verificate inoltre le seguenti ipotesi tipiche: - Tempo di missione, 20 anni ; - Tassi di guasto costanti entro il tempo della missione; - Per la categoria 2, MTTF del canale test è maggiore di metà fuori MTTF del canale funzionale; - Per la categoria 2, tasso di richiesta 1/100 tasso di test (si veda anche la nota in allegato K); o test avviene immediatamente su richiesta della funzione di sicurezza e il tempo complessivo per rilevare il guasto e per portare la macchina ad una condizione non pericolosa (di solito per arrestare la macchina) è più breve del tempo per raggiungere il pericolo (vedi anche ISO 13855).

25 ISO : Categoria 2 Autocontrollo 1. tasso di richiesta 1/100 tasso di test 2. test avviene immediatamente su richiesta della funzione di sicurezza e il tempo complessivo per rilevare il guasto e per portare la macchina ad una condizione non pericolosa è più breve del tempo per raggiungere il pericolo

26 ISO : Categoria 2 Autocontrollo NOTA 1 In alcuni casi, la categoria 2 non è applicabile in quanto il controllo della funzione di sicurezza non può essere applicata a tutti i componenti (ad esempio i contattori di una SRP/CS). NOTA 2 il comportamento del sistema di categoria 2 è caratterizzato da Il verificarsi di un guasto può portare alla perdita della funzione di sicurezza tra i controlli, La perdita della funzione di sicurezza viene rilevata dal controllo.

27 ISO : Categoria 2 Autocontrollo Quale finecorsa per una Architettura in categoria 2?

28 ISO : Le mode 2012

29 ISO : Categoria 3 Ridondanza e/o Diversità

30 ISO : Categoria 3 Ridondanza e/o Diversità Si devono seguire anche i principi di sicurezza ben provati, inoltre si applica quanto segue. La SRP/CS di categoria 3 deve essere progettata in modo che una singola avaria in una di queste parti non porti a una perdita della funzione di sicurezza. Quando ragionevolmente realizzabile, la singola avaria deve essere rilevata durante o prima della successiva richiesta della funzione di sicurezza. La copertura diagnostica (DC avg ) di tutta la SRP/CS, il rilevamento delle avarie incluso, deve essere bassa. Il MTTF d di ciascuno dei canali ridondanti deve essere da basso ad alto, in funzione del PL r. Si devono applicare misure contro i CCF. Il requisito del rilevamento di una singola avaria non significa che tutte le avarie siano rilevate. Di conseguenza, l accumulo delle avarie non rilevate può portare ad un uscita accidentale e a una situazione pericolosa nella macchina.

31 ISO : Categoria 3 Ridondanza e/o Diversità Domanda classica... Per un riparo in categoria 3 devo utilizzare un finecorsa a due contatti? o due finecorsa ad un solo contatto?

32 ISO : Categoria 3 Ridondanza e/o Diversità

33 ISO Requisiti di installazione dei dispositivi Tab. 3 EN ISO Requisiti aggiuntivi che devono essere soddisfatti per la scelta e l'installazione dei dispositivi Interruttori di sucurezza tradizionali Dispositivi di tipo 1 Interruttori di sicurezza a cerniera Dispositivi di tipo 2 e di tipo 4 (codifica bassa) Dispositivi di tipo 2 e di tipo 4 (codifica alta) Principi e misure per evitare l'elusione Montaggio fuori portata Schermatura, ostruzione Montaggio in posizione nascosta Test da circuito di comando Fissaggio non rimovibile del dispositivo e attuatore X X Fissaggio non rimovibile del dispositivo Fissaggio non rimovibile dell'attuatore M M M Secondo dispositivo di interblocco e verifica plausibilità R R X: obbligo di applicare almeno una delle misure elencate M: misura obbligatoria R: misura raccomandata M

34 ISO Requisiti di installazione dei dispositivi

35 ISO : Fault exclusion

37 ISO : Fault exclusion ISO 14119

41 ISO : Categoria 4 Ridondanza e Autocontrollo

42 ISO : Categoria 4 Ridondanza e Autocontrollo Le SRP/CS di categoria 4 devono essere progettate in modo che: una singola avaria in una di queste parti legate alla sicurezza non porti a una perdita della funzione di sicurezza; e la singola avaria sia rilevata durante o prima della successiva richiesta delle funzioni di sicurezza, per esempio immediatamente, all accensione o alla fine del ciclo operativo della macchina; ma se questo rilevamento non è possibile, l accumulo di avarie non rilevate non deve portare alla perdita della funzione di sicurezza. La copertura diagnostica (DC avg ) di tutta la SRP/CS, incluso l accumulo delle avarie, deve essere alta. Il MTTF d di ciascuno dei canali ridondanti deve essere alto. Si devono applicare misure contro i CCF.

43 ISO : Categoria 4 Ridondanza e Autocontrollo Da notare che: Il comportamento dei sistemi di categoria 4 consente che: quando si verifica una singola avaria la funzione di sicurezza sia sempre eseguita; le avarie siano rilevate in tempo per prevenire la perdita della funzione di sicurezza; sia considerato l accumulo di avarie non rilevate. La differenza tra la categoria 3 e la categoria 4 è una DCavg più alta nella categoria 4 e un MTTFd richiesto di ogni canale solo "alto". In pratica, considerare una combinazione di due avarie può essere sufficiente.

44 ISO : Calcolo semplificato Se non dispongo di un valore affidabilistico (MTTFd o B10d) come faccio?

45 ISO : Calcolo semplificato CONDIZIONI DI APPLICABILITÀ Il nuovo metodo di calcolo semplificato consente di stimare il livello di PL e il valore di PFHd degli output senza calcolare MTTFd. È applicabile se sono verificate Ai soli dispositivi di uscita delle SRP/CS Per i dispositivi di natura meccanica, pneumatica o idraulica che non dispongono di un dato di affidabilità per l applicazione specifica (MTTFd o B10d indifferentemente).

46 ISO : Calcolo semplificato NUOVA DEFINIZIONE L analisi deve dimostrare che è possibile escludere i guasti sistematici a cui il dispositivo di uscita è assoggettato nella specifica applicazione prevista

47 ISO : Calcolo semplificato TABELLA 7

48 ISO : Calcolo semplificato CONDIZIONI SUPPLEMENTARI Per Categoria 1: il valore di T10d viene calcolato sulla base della dimostrazione del componente "proven in use ". Questo è applicabile solo quando il guasto del componente non si verifica durante il processo. Per Categoria 2, 3, e 4: In mancanza del valore di MTTFd, per calcolo della DCavg si considera la media dei DC che compongono la SRP/CS e non attraverso la formula F.1.

49 ISO : Calcolo semplificato CONDIZIONI SUPPLEMENTARI CONDIZIONI SUPPLEMENTARI CAT. 1 CAT. 2 CAT. 3 CAT. 4 Well-tried components and well-tried safety principles X X X X MTTFd of TE channel 10 years X Well-tired components or proven in used demonstration X X X X Measures against CCF X X X DCavg low X X DCavg = high X X X

50 ISO : Update of Annex C Estratto ANNEX C: 1/2 Componenti meccanici, idraulici e pneumatici

51 ISO : Update of Annex C Estratto ANNEX C: 2/2 - Componenti elettrici

52 ISO : Connessione in serie

53 ISO : Connessione in serie ISO/TR 24119:2015

54 ISO/TR ed. 2015: Fault masking

55 ISO/TR ed. 2015: Fault masking Definizione di Fault Masking; Differenti modalità di cablaggio in serie; Metodologie di stima della DCavg; Esclusione Fault Masking.

56 ISO/TR 24119: Obiettivo della norma OBIETTIVO DELLA NORMA In riferimento ai SRP/CS caratterizzate da connessione in serie dei dispositivi di interblocco dei ripari con contatti puliti, la norma ha come obiettivo quello di Indicare un metodo per la definizione della DC massima dichiarabile; Aiutare alla progettazione al fine di garantire il raggiungimento del PLr dell analisi dei rischi. Viene quindi definito un metodo di stima della probabilità che si verifichi un fault masking. Cosa significa FAULT MASKING?

57 ISO/TR 24119: Definizione DEFINIZIONE Fault masking diretto Sequenza di apertura dei ripari In che condizioni si verifica? Reset involontario del fault Guasto meccanico Reset involontario del fault Guasto elettrico

58 ISO/TR 24119: Tipologie di Fault Masking FAULT MASKING DIRETTO A A A A A A B B B B B B

59 ISO/TR 24119: Tipologie di Fault Masking RESET INVOLONTARIO DEL FAULT GUASTO MECCANICO A A A A A A A B B B B B B B

60 ISO/TR 24119: Tipologie di Fault Masking RESET INVOLONTARIO DEL FAULT GUASTO ELETTRICO A A A A A A A B B B B B B B

61 ISO/TR 24119: Tipologie di cablaggio CONFIGURAZIONE SINGOLA Utilizzo di due differenti contatti di un singolo dispositivo di interblocco in una architettura di comando e controllo ridondante per ciascun riparo mobile. CONFIGURAZIONE RIDONDANTE Utilizzo di singolo dei contatti di due dispositivi di interblocco in una architettura di comando e controllo ridondante e diversificata per ciascun riparo mobile.

62 ISO/TR 24119: Tipologie di cablaggio CABLAGGIO A STELLA Struttura di cablaggio dove ogni contatto di ogni dispositivo di interblocco è cablato con un solo cavo al quadro elettrico

63 ISO/TR 24119: Tipologie di cablaggio CABLAGGIO A RAMO Struttura di cablaggio dove un singolo cavo da quadro elettrico è collegato al primo dispositivo di interblocco e da questo a quello successivo, e così via. I contatti dell ultimo dispositivo di interblocco ritornano al quadro elettrico attraverso lo stesso cavo di partenza.

64 ISO/TR 24119: Tipologie di cablaggio CABLAGGIO AD ANELLO Struttura di cablaggio dove un singolo cavo da quadro elettrico è collegato al primo dispositivo di interblocco e da questo al successivo, e così via. I contatti dell ultimo dispositivo di interblocco ritornano al quadro elettrico in un cavo separato.

65 ISO/TR 24119: Limiti di DC e PL Cap. 6.1 della ISO/TR Possibili mascheramenti di fault possono comportare accumulo di fault non rilevati, quindi, il massimo valore di DC raggiungibile deve essere definito utilizzando uno dei metodi seguenti: - Metodo semplificato ( 6.2 della ISO/TR 24119); - Metodo rigoroso ( 6.3 della ISO/TR 24119) In ogni caso, se non si possono escludere i mascheramenti dei fault: - Il massimo valore di DC è fissato a MEDIO; - Pertanto, il livello di PL raggiungibile è fissato a PL d Ricordiamo che: Per la Categoria 4 è necessario una DCavg ALTA

66 ISO/TR 24119: Metodo semplificato METODO SEMPLIFICATO Dove: Il numero di utilizzatori della macchina viene incrementato di uno se: - Più di un operatore può accedere alla macchina contemporaneamente; - La frequenza di apertura è maggiore di una volta all ora.

67 ISO/TR 24119: Metodo semplificato METODO SEMPLIFICATO Dove: Il numero di ripari mobili addizionali, viene diminuito di una unità se: - La distanza minima tra i ripari mobili è maggiore di 5 metri; - Se nessuno dei ripari addizionali è direttamente raggiungibile

68 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO È necessario innanzitutto definire il livello di probabilità di accadimento del fenomeno di fault masking.

69 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO Dove: Il numero di ripari mobili addizionali, viene diminuito di una unità se: - La distanza minima tra i ripari mobili è maggiore di 5 metri; - Se nessuno dei ripari addizionali è direttamente raggiungibile

70 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO Dove: Il numero di utilizzatori della macchina viene incrementato di uno se: - Più di un operatore può accedere alla macchina contemporaneamente; - La frequenza di apertura è maggiore di una volta all ora.

71 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO Da cui si determina il livello di probabilità di accadimento del fault masking

72 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 1. Che cavo utilizzo per il collegamento della serie dei dispositivi di interblocco? - Cavo multicorda non schermato senza riferimento di tensione positivo (tabella 3) - Cavo multicorda non schermato con riferimento di tensione positivo (tabella 4) - Cavo multicorda schermato (tabella 5)

73 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 2. Che architettura ho scelto per la gestione dei ripari mobili? - CONFIGURAZIONE SINGOLA Due contatti NC dello stesso dispositivo di interblocco per ciascun riparo - CONFIGURAZIONE RIDONDANTE Un contatto NC e un contatto NO di due dispositivi di interblocco differenti per ogni riparo mobile

74 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 3. Che tipo di connessione ho scelto per realizzare la serie dei dispositivi di interblocco? - Connessione a stella - Connessione a ramo - Connessione ad anello

75 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 4. Ricercare da tabella il valore di DC massimo raggiungibile

76 ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 4. Ricercare da tabella il valore di DC massimo raggiungibile

77 ISO/TR 24119: Esempio Considerando la linea con protezioni perimetrali indicate in figura. Sono presenti le porte interbloccate A, B, C, D ed F È presente un accesso controllato da dispositivo fotoelettrico E.

78 ISO/TR 24119: Esempio Metodo rigoroso IPOTESI: - Configurazione singola (2 contatti NC di 1 unico dispositivo); - Serie dei dispositivi di interblocco cablati ad anello - Apertura del riparo A con frequenza 10 volte al giorno; - Altri ripari mobili aperti con frequenza pari a 10 volte l anno; - Solo un operatore è richiesto per il funzionamento della linea; - Cavo non schermato senza riferimento di tensione positivo (tabella 3).

79 ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

80 ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso Verifica Tabella 2 - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

81 ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso - Configurazione singola (2 contatti NC di 1 unico dispositivo); - Serie dei dispositivi di interblocco cablati ad anello - Cavo non schermato senza riferimento di tensione positivo - Verifica tramite test dinamici VERIFICHIAMO LA TABELLA 3

82 ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso RISULTATO : - PL max PLd - DC max = medio

83 ISO/TR 24119: Esempio Metodo semplificato Applichiamo il metodo semplificato Stesse ipotesi di progetto precedenti - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

84 ISO/TR 24119: Esempio Metodo semplificato Applichiamo il metodo rigoroso Verifica Tabella 1 - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

85 ISO/TR 24119: Esempio Metodo semplificato Applichiamo il metodo semplificato RISULTATO : - PL max PLd - DC max = basso

86 ISO/TR 24119: Confronto metodi RISULTATI METODO SEMPLIFICATO METODO RIGOROSO PL max PL d PL d DC max Basso Medio

87 ISO/TR 24119: Eliminazione Fault Masking ALCUNI METODI POSSIBILI - Uso di contatti addizionali connessi direttamente al dispositivo di monitoraggio in combinazione con le appropriate procedure di diagnostica per eliminare il fault masking; - Eliminare le connessioni in serie dei dispositivi di interblocco e utilizzare ingressi safety dedicati per ciascun riparo (architettura in conformità con la Categoria 4) - Utilizzare dispositivi di interblocco con diagnostica interna e uscite di monitoraggio (dispositivi conformi alla definizione di Type 3 e Type 4 secondo al ISO 14119:2013).

88 ISO ed. 2012: Validazione

89 ISO : Validazione Alla fine della mia programmazione che cosa devo ancora fare?

90 ISO : Validazione Risk assessment Describe machine Identify hazards Assess risks Risk reduction Define and evaluate safety measures (3-step method) Design architecture of safety functions Implement and commission safety concept Conformity Document measures Perform validation Issue declaration of conformity Apply CE marking

91 Quale norma devo considerare per la validazione?

92 Safety Life Cycle (IEC 61508)

93 Safety Life Cycle (IEC 61508)

94 Design and development Verification Validation Safety Life Cycle (ISO 12100) Start Risk assessment of machine acc. to EN ISO Machine validation End Validated machine Safety specification SRS* Test of specification SRS Architecture HW and SW Integration test HW and SW HW design HW test SW design SW test Realization * SRS = Safety Requirement Specification Verification/Validation Result

95 ISO : Validazione

96 ISO : Validazione

97 La validazione mediante calcolo del PL Siemens Safety Evaluation Tools SISTEMA

98 La Validazione del Performance Level La validazione riguarda in particolare la validazione dei valori di MTTFd e della copertura diagnostica media (DCavg); la validazione delle misure adottate contro i guasti di causa comune (CCF); la validazione delle misure adottate contro i guasti sistematici; la validazione del software avente funzioni di sicurezza; la validazione dei PL raggiunti. La norma EN ISO :2012 (punto 4.1) prescrive inoltre esplicitamente l'obbligo di sottoporre a prove di guasto (validazione mediante prove) le parti dei circuiti di comando legate alla sicurezza in categoria 2, 3 oppure 4: For Categories 2, 3 and 4 the validation of the safety function shall also include testing under fault conditions.

99 Ma devo validare un software Safety?

100 SW incorporato vs SW applicativo (ISO ) SRESW Safety-related Embedded SW SRASW Safety-related Application SW

101 Requisiti di sicurezza del software

104 Requisiti di sicurezza del software applicativo

107 La validazione deve essere pianificata rispetto i requisiti dell applicazione

108 La validazione si svolge in team (ISO )

109 Quale documentazione devo raccogliere?

110 Documentare la validazione (ISO )

111 Documentare la validazione (ISO )

112 Lista delle funzioni di sicurezza

113 Come rappresento l architettura?

114 Safety Layout

115 Mappatura SRP/CS

116 Componenti SRP/CS

117 Architettura HW Architettura SW

118 Configurazione Schede - Ingressi Triggerati

119 Configurazione I/O

120 Devo usate i blocchi certificati? IEC Requisiti del Software

121 Alcuni esempi È importante documentare la configurazione di ciascun blocco implementato

122 Registrazione e archiviazione validazione

128 Signature / Checksum

129 La validazione delle funzioni di Safety degli Inverter e drive Nella norma EN sono presenti le definizioni di numerose funzioni di sicurezza. Un convertitore di frequenza può essere dotato di una o più di tali funzioni. Di seguito sono riportati alcuni esempi: STO (Safe Torque Off) SS1 (Safe Stop 1) SS2 (Safe Stop 2) SOS (Safe Operating Stop) SLS (Safely-Limited Speed) SDI (Safe Direction) SBC (Safe Brake Control) SSM (Safe Speed Monitor