Sicurezza delle Macchine

Automatisation Sicurezza delle Macchine Indicazioni per l applicazione delle norme EN 62061 ed EN ISO 13849-1

SIGLA EDITORIALE Sicurezza delle macchine Indicazioni per l applicazione delle norme EN 62061 ed EN ISO 13849-1 ZVEI - Zentralverband Elektrotechnik und Elektronikindustrie e. V. Lyoner Straße 9 60528 Francoforte Associazione di Categoria - Automazione Divisione dispositivi di controllo Impianti industriali, Sistemi per l Industria Comitato Tecnico Sistemi di sicurezza nell automazione Autore: Dr. Markus Winzenick Fon: 069 6302-426 Fax: 069 6302-386 Mail: winzenick@zvei.org www.zvei.org/automation Nonostante l estrema accuratezza e attenzione prestata, ZVEI non si assume alcuna responsabilità per il contenuto Aprile 2008

Sicurezza delle Macchine Indicazioni per l applicazione delle norme EN 62061 ed EN ISO 13849-1 Siete costruttori di macchine, system integrator oppure vi occupate del revamping di macchine? Ecco quello che dovete sapere sulla sicurezza funzionale per il futuro! 1. Principali procedure per soddisfare i requisiti della Direttiva Macchine Cosa è necessario fare per immettere in commercio una macchina che sia conforme alle direttive in vigore? La Direttiva Macchine CE presuppone che le macchine non debbano presentare rischi (valutazione dei rischi secondo EN 1050 ovvero EN ISO 14121-1). Poiché l impiego della tecnologia, in realtà, non permette di garantire la totale assenza di rischio, è necessario raggiungere un livello accettabile di rischio residuo. Se la sicurezza dipende dai sistemi di controllo, questi devono essere costruiti in modo da garantire una probabilità sufficientemente bassa di anomalie funzionali. Quando questo non è possibile, è necessario garantire che le eventuali anomalie non portino alla perdita della funzione di sicurezza. Per soddisfare questo requisito è opportuno seguire le indicazioni delle norme armonizzate, concepite dietro mandato della Commissione europea e pubblicate nella Gazzetta Ufficiale (effetto di presupposizione). In questo modo si evitano costi maggiori per ottenere la conformità in seguito ad eventuali incidenti. Di seguito si fornisce una comparazione tra la norma EN 62061 e la norma EN ISO 13849-1. 2. Perché l attuale EN 954-1 in futuro non sarà più sufficiente? In passato, i dispositivi di sicurezza di una macchina venivano progettati secondo la EN 954-1. La base di partenza era il rischio rilevato (categoria di rischio), l obiettivo era contrapporre alla categoria identificata (approccio deterministico), un adeguata reazione del sistema ( classe di controllo ). In seguito all introduzione dell elettronica e soprattutto dell elettronica programmabile nella automazione sicura, non è stato più possibile garantire la sicurezza unicamente tramite il semplice sistema di categorie previsto dalla EN 954-1. Inoltre, non era più possibile fornire alcun tipo di indicazione rela- 3

tiva alle probabilità di guasto del macchinario (approccio probabilistico). La soluzione è arrivata con l introduzione delle norme EN 62061 ed EN ISO 13849-1, successive alla EN 954-1. 3. Campi applicativi e scopi di entrambe le norme EN ISO 13849-1: Parti dei sistemi di comando correlati con la sicurezza- Parte 1 Principi generali di progettazione Questa norma può essere utilizzata per gli SRP/CS (Safety Related Parts of Control Systems) relativamente a tutti i tipi di macchine, indipendentemente dalla tecnologia e dall energia utilizzata (elettrica, idraulica, pneumatica, meccanica, ecc.). La EN ISO 13849-1 indica anche requisiti specifici per SRP/CS con sistemi elettronici programmabili. EN 62061: Sicurezza funzionale di sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati con la sicurezza Questa norma stabilisce i requisiti e fornisce indicazioni per la realizzazione, l integrazione e la validazione di sistemi di comando e controllo di sicurezza elettrici, elettronici ed elettronici programmabili (SRECS) per le macchine. La norma non indica alcun requisito relativo alle prestazioni di dispositivi di controllo di sicurezza non elettrici (ad es. idraulici, pneumatici, elettromeccanici) per le macchine. 4. Breve descrizione EN ISO 13849-1 La EN ISO 13849-1 si basa sulle categorie come già indicate nella EN 954-1:1996. La nuova norma riguarda le funzioni di sicurezza nella loro interezza, includendo tutti i componenti coinvolti nella loro progettazione. Oltre alle indicazioni della EN 954-1, la EN ISO 13849-1 prevede anche una valutazione quantitativa delle funzioni di sicurezza. Questa è fondata sui Performance Level (PL), realizzata sulla base delle Categorie. Per i componenti o dispositivi vengono utilizzati i seguenti parametri relativi alla tecnica della sicurezza: categoria (requisito strutturale) PL: Performance Level MTTFd: tempo medio prima di un guasto pericoloso (en: mean time to dangerous failure) 4

B10d: numero di cicli entro cui, in un controllo campione, il 10% dei componenti soggetti ad usura presi in esame subisce guasti o anomalie pericolose DC: CCF: TM: grado di copertura diagnostica (en: diagnostic coverage) guasti per cause comuni (en: common cause failure) Durata dell utilizzo (Mission Time) La norma illustra l individuazione del Performance Level (PL) per le parti di sicurezza dei sistemi sulla base di architetture predefinite (designated architectures) per la durata d utilizzo prevista TM. In caso di divergenze rispetto a quanto prescritto, la EN ISO 13849-1 rimanda alla IEC 61508. Nel caso della combinazione di più parti di sicurezza in un unico sistema, la norma fornisce indicazioni per l individuazione del PL raggiungibile. Per ulteriori indicazioni relative alla validazione, la EN ISO 13849-1 rimanda alla Parte 2, pubblicata alla fine del 2003. In questa sezione vengono fornite indicazioni relative alla valutazione di guasti e anomalie, alla manutenzione, alla documentazione tecnica e all utilizzo. Il termine per la transizione dalla EN 954-1 alla EN ISO 13849-1 sarà il 29 Novembre 2009. Fino ad allora sarà possibile utilizzare una o l altra norma, a scelta. 5. Breve descrizione EN 62061 La EN 62061 rappresenta una norma specifica di settore all interno della IEC 61508. Essa descrive la realizzazione di sistemi di comando e controllo di sicurezza elettrici ed elettronici di macchine e impianti, e ne prende in considerazione l intero ciclo di vita, dalla progettazione alla dismissione. La norma si basa sulle valutazioni qualitative e quantitative delle funzioni di controllo relative alla sicurezza. Le prestazioni dei sistemi vengono indicate con il Safety Integrity Level (SIL). Dopo aver identificato le funzioni di sicurezza mediante l analisi del rischio, queste vengono suddivise secondo funzioni di sicurezza più elementari, per poi venire correlate a dispositivi, parti ed elementi di sistemi reali. Questo include sia la parte hardware sia quella software. Un sistema di controllo di sicurezza si compone in diverse sottosistemi, descritti a livello tecnico e di sicurezza secondo i parametri nominati in precedenza (limite di SIL richiesto e PFHD). 5

sottosistema 1 elemento del sottosistema 1.1,T1 elemento del sottosistema 1.2,T1 DC, T2, sottosistema 1 (sensore A) SIL CL, PFH D, T1 sottosistema 2 (sensore B) SIL CL, PFH D, T1 sottosistema 3 (... IEC 61508) SIL CL, PFH D, T1 sottosistema 4 (attuatore) SIL CL, PFH D, T1 SIL Parametri relativi alla tecnica della sicurezza per sottosistemi: SILCL: PFHD: T1: limite SIL richiesto (idoneità: SIL claim limit) probabilità di guasti pericolosi/ora (en: probability of dangerous failure per hour) ciclo di vita (en: lifetime) Questi sottosistemi possono essere composti a loro volta da ulteriori sottoelementi (dispositivi) interconnessi, con parametri per calcolare il valore PFHD relativo al sottosistema stesso. Parametri relativi alla tecnica della sicurezza per gli elementi di sottosistemi (dispositivi): : SFF: tasso di guasto/anomalia (en: failure rate); per elementi soggetti ad usura: oltre il valore frazione di guasto/anomalia in sicurezza (en: Safe Failure Fraction) Nel caso di dispositivi elettromeccanici, il costruttore indica la percentuale di guasti/anomalie come valore e si riferisce al un numero dei cicli di commutazione. La percentuale di guasti/anomalia relative al tempo e al 6

ciclo di vita deve essere determinata sulla base della frequenza di commutazione relativa all applicazione specifica. Nella realizzazione/costruzione di un sottosistema, i parametri interni da definire devono includere quelli di tutti gli elementi del sottosistema: T2: intervallo di test diagnostico (en: diagnostic test interval) : suscettibilità ai guasti di causa comune (en: susceptibility to common cause failure) DC: grado di copertura diagnostica (en: diagnostic coverage) PFHD: il valore PFHD del sistema di controllo di sicurezza è dato dalla somma dei singoli valori PFHD dei sottosistemi. Nella progettazione di un sistema di controllo di sicurezza, gli utilizzatori hanno le seguenti opzioni: utilizzare dispositivi e sottosistemi già conformi alla EN 954-1 ed IEC 61508 o alla EN 62061. La norma fornisce indicazioni su come integrare dispositivi certificati nella realizzazione delle funzioni di sicurezza. sviluppare sottosistemi propri. sottosistemi elettronici programmabili, sottosistemi complessi: applicare la IEC 61508. dispositivi e sottosistemi semplici: applicare la EN 62061. La norma rappresenta un sistema completo per la realizzazione di sistemi di controllo di sicurezza elettrici, elettronici ed elettronici programmabili. La EN 62061 è stata armonizzata nel dicembre 2005. Per i sistemi non elettrici è necessario utilizzare la EN 954-1 oppure la EN ISO 13849-1. 6. La sicurezza passo per passo Procedura base Fase 1 Valutazione del rischio secondo EN 1050 / EN ISO 14121 Se non si impiegano misure di sicurezza, è prevedibile che prima o poi un eventuale pericolo presente su una macchina porti a danni/incidenti. Le misure di sicurezza sono una combinazione delle misure previste dal costruttore e quelle integrate dall utilizzatore. E preferibile prevedere le misure di sicurezza già in fase di progettazione, piuttosto che integrarle successivamente (da parte dell utilizzatore); in generale, le prime sono anche più efficaci delle seconde. 7

Il costruttore deve seguire la sequenza sotto riportata, tenendo in considerazione sia l esperienza acquisita da utilizzatori di macchine simili, sia le informazioni emerse dalle discussioni con potenziali utenti (quando questo è possibile): stabilire i limiti e l utilizzo previsto della macchina; identificare i pericoli e ogni tipo di situazione pericolosa; stimare il rischio per ogni pericolo o situazione pericolosa identificata; valutare il rischio e decidere la reale necessità di ridurlo. Fase 2 Definizione delle misure per ridurre il rischio calcolato L obiettivo è ridurre il rischio quanto più possibile, tenendo in considerazione diversi fattori. Il processo è iterativo; pur utilizzando nel miglior modo possibile le tecnologie disponibili, infatti, può comunque essere necessario ripetere il processo più volte fino a raggiungere il livello di riduzione del rischio desiderata. Nell eseguire questo processo è necessario osservare le seguenti priorità: 1. sicurezza della macchina in ogni fase del suo ciclo di vita; 2. potenzialità della macchina nello svolgere le funzioni a cui è preposta; 3. la macchina deve essere user-friendly. Solo così è possibile valutare i costi di costruzione, funzionamento e dismissione della macchina. 8

L analisi del rischio e il processo di riduzione del rischio prevedono che il rischio venga eliminato o ridotto mediante una serie gerarchica di misure specifiche: eliminazione dei pericoli o riduzione del rischio già in fase di progettazione riduzione del rischio tramite dispositivi di sicurezza tecnici e misure aggiuntive di protezione riduzione del rischio grazie alla disponibilità di informazioni dell utilizzatore relative al rischio residuo Fase 3 Riduzione del rischio tramite misure di controllo Se i dispositivi di controllo preposti alla sicurezza vengono utilizzati come misura protettiva per ottenere la riduzione del rischio necessaria, la progettazione di questi dispositivi di controllo deve essere parte integrante dell intera procedura relativa alla macchina. Il sistema di controllo di sicurezza definisce un SIL o un PL per le funzioni di sicurezza, per ottenere la riduzione del rischio necessaria. 9

Fase 4 Implementazione di misure di controllo secondo EN ISO 13849-1 o EN 62061 1) Determinazione del Performance Level richiesto (PL) EN ISO 13849-1 Determinazione del performance level richiesto (PL) S Gravità della lesione S1 = Lesione lieve (normalmente reversibile) S2 = Lesione grave (normalmente irreversibile inclusa la morte) F Frequenza e/o tempo di esposizione al pericolo F1 = Da raramente ad abbastanza spesso e/o tempo di esposizione breve F2 = Da frequente a continuo e/o tempo di esposizione lungo P Possibilità di evitare il pericolo P1 = Possibile in determinate condizioni P2 = Scarsamente possibile Punto di partenza per la stima del rischio per le parti del sistema di comando legate alla sicurezza. EN ISO 13849-1 Bassa contribuzione alla riduzione del rischio Performance level (PL) richiesto Alta contribuzione alla riduzione del rischio EN IEC 62061 Valutazione del rischio e misure de sicurezza Consequenze Gravià Fréquenza Probabilita del- Evitabilità Classe C Se durata Fr ievento pericoloso Pr Av 3-4 5-7 8-10 11-13 14-15 Morte, perdita di occhio 4 1 h 5 Molto alta 5 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3 un braccio Permanente: 3 >1 h a 1 giorno 5 Probabile 4 QM SIL 1 SIL 2 SIL 3 perdita di dita Reversibile: 2 > 1 giorno a 2 sett. 4 Possibile 3 Impossibile 5 QM SIL 1 SIL 2 intervento medico Reversibile: pronto soccorso > 2 sett. a 1 anno 3 Scarsa 2 Possibile 3 QM SIL 1 > 1 anno 2 Trascurabile 1 Probabile 1 EN 62061 2) Specifiche Le specifiche dei requisiti funzionali descrivono ogni singola funzione di sicurezza da eseguire. E necessario definire eventuali interfacce con altre funzioni di controllo, e stabilire le appropriate reazioni all errore. E inoltre necessario definire il SIL o il PL richiesti. 3) Progettazione dell architettura di controllo Parte del processo di riduzione del rischio riguarda la definizione delle funzioni di sicurezza della macchina. Queste comprendono anche le funzioni di sicurezza del sistema di controllo, deputate ad impedire un avvio imprevisto. Nella definizione delle funzioni di sicurezza è sempre importante ricordare il fatto che una macchina è dotata di diverse modalità operative (ad es. funzionamento automatico e modalità set-up), e quindi che le misure di sicurezza possono essere totalmente diverse fra loro a seconda della modalità operativa (ad es. velocità di discesa lenta durante il funzionamento in modalità set-up <-> bimanuale durante la modalità automatica). Una funzione di sicurezza può essere realizzata mediante uno o più dispositivi di controllo di sicurezza, e più funzioni di sicurezza possono essere suddivise tra uno o più dispositivi di controllo di sicurezza (ad es. moduli logici, elementi di trasmissione dell energia). 10

4) Determinazione del Performance Level raggiunto EN ISO 13849-1 EN IEC 62061 necessario determinare il PL per ogni SRP/CS selezionato o per ogni combinazione di SRP/CS dedicata alla gestione di una funzione di sicurezza. IL PL dell SRP/CS deve essere determinato partendo dalla valutazione dei seguenti parametri: il valore MTTFd dei singoli componenti il DC il CCF la struttura (categoria) la reazione della funzione di sicurezza a condizioni anomale (guasti/errori) software di sicurezza guasti sistematici capacità di eseguire una funzione di sicurezza in condizioni ambientali prevedibili. La selezione o la progettazione dell SRECS devono sempre soddisfare i requisiti minimi seguenti: Requisiti per l integrità della sicurezza hardware, comprendenti le limitazioni architetturali per l integrità della sicurezza hardware i requisiti relativi alla probabilità di anomalie e guasti hardware pericolosi casuali e anche i requisiti relativi all integrità sistematica della sicurezza, incluso i requisiti per evitare le anomalie e i requisiti per il controllo dei guasti sistematici. La EN 62061 descrive anche i requisiti relativi alla realizzazione di programmi applicativi. Parametri di sicurezza per sottosistemi: SILCL: limite SIL richiesto (en: SIL claim limit) PFHd: T1: probabilità di guasti pericolosi/ora ciclo di vita 11

EN ISO 13849-1 EN IEC 62061 Performance Probabilità di guasti levela pericolosi/ora 10-5 < PFH / ora [1/h] < 10-4 b 3 10-6 < PFH < 10-5 a 10-5 < c 10-6 PFH < 10-4 b 3 10-6 < PFH < 3 10-6 d 10-7 < PFH < 10-5 c 10-6 < PFH < PFH < 3 10 < 10-6 d e 10-7 10< -8 PFH < PFH < < 10-6 10-7 e 10-8 < PFH < 10-7 Relazione tra categorie, DC, MTTFd e PL Probabilità di guasti pericolosi/ora / ora [1/h] SIL Level 10-6 < PFH < 10-5 SIL 1 10-6 10 < PFH -7 < < PFH 10-5 < 10 SIL -6 1 SIL 2 10-7 < 10 PFH -8 < < PFH 10-6 < 10 SIL -7 2 SIL 3 10-8 < PFH < 10-7 SIL 3 Safety-related parameters for subsystem Safety-related Parametri elements di parameters sicurezza (devices): per for elementi subsystem di elements sottosistemi : (devices): Failure (dispositivi): rate : Failure rate λ: B 10 value: tasso for di wearing guasto elements B 10 value: for wearing elements T valore T 1 : B10: Lifetime per elementi suscettibili di usura 1 : Lifetime T 2 : T1: TDiagnostic 2 : Diagnostic ciclo test di interval vitatest interval : : Susceptibility Susceptibility to common to common cause cause T2: failure intervallo di test diagnostico failure DC: β: DC: Diagnostic Diagnostic suscettibilità coverage coverage a guasti per causa SFF: SFF: Safe comune failure Safe fraction failure fraction DC: grado di copertura diagnostica SFF SFF HFT 0 HFT 0 HFT 1 HFT 12 HFT 2 Note: Note: < 60% SFF: < 60% Not frazione allowed Not anomalie allowed SIL 1 di sicurezza SIL 1 2 SIL 2 The The PFH PFH D comparisons (en: Safe failure Fraction) D comparisons are are an essential 60% to < 90% SIL 1 SIL 2 SIL 3 an essential 60% to < 90% SIL 1 SIL 2 SIL 3 requirement for determining the performance 90% to < 99% SIL 2 SIL 3 SIL 3 requirement for determining the performance HTF: 90% to < 99% tolleranza SIL ai 2 guasti hardware SIL SIL 3 >=99% SIL 3 SIL 3 SIL 3 level. To complete the determination of the >=99% SIL 3 SIL SIL 3 PL, level. CCF, To category complete and the DC determination shall also be of the considered. PL, CCF, category and DC shall also be HFT: Hardware fault tolerance considered. HFT: Hardware fault tolerance SFF HTF 0 HTF 1 HTF 2 < 60 % Inacceptable SIL 1 SIL 2 60 % à SIL 1 SIL 2 SIL 3 Performance level < 90 SIL % Level 90 % à SIL 2 SIL 3 SIL 3 Performance level SIL Level a < 99 % -- b > = 99 % SIL 1 SIL 3 SIL 3 SIL 3 a -- c SIL 1 b SIL 1 d SIL 2 e c SIL 3 SIL 1 Note: d SIL 2 The illustration describes the relationship e between the standards two SIL concepts 3 (PL and SIL), based Note: Nota Bene: on probability of failure. The illustration describes the relationship between the standards two concepts (PL and SIL), I based parametri on PFHD probability rappresentano of failure. un requisito 5) Verification essenziale per la determinazione del For each individual safety function, the PL of the corresponding SRP/CS must match the Required Performance Performance Level. Per completare Level. Where la determinazione del PL è necessario tenere in consider- various 5) SRP/CS Verification from part of a safety function, their PLs For shall each be individual equal to or safety greater function, than the performance the PL of the level corresponding required for this SRP/CS function. must match the Where azione anche CCF, categoria e DC. Required several Performance SRP/CS are connected Level. Where in series, various the final SRP/CS PL can from be determined part of a safety using Table function, 11 their from PLs the shall standard. be equal to or greater than the performance level required for this function. Where several SRP/CS are connected in series, the final PL can be determined using Table 11 from the standard. 12

Note: The PFH D comparisons are an essential requirement for determining the performance level. To complete the determination of the PL, CCF, category and DC shall also be considered. failure DC: Diagnostic coverage SFF: Safe failure fraction SFF HFT 0 HFT 1 HFT 2 < 60% Not allowed SIL 1 SIL 2 60% to < 90% SIL 1 SIL 2 SIL 3 90% to < 99% SIL 2 SIL 3 SIL 3 >=99% SIL 3 SIL 3 SIL 3 HFT: Hardware fault tolerance EN ISO 13849-1 EN IEC 62061 Performance level SIL Level a -- b SIL 1 c SIL 1 d SIL 2 e SIL 3 Note: The illustration Nota Bene: describes the relationship between the standards two concepts (PL and SIL), based on L illustrazione probability descrive of failure. la relazione tra i due concetti dello standard (PL e SIL) sulla base della probabilità di anomalie. 5) Verification For each individual safety function, the PL of the corresponding SRP/CS must match the Required Performance Level. Where various SRP/CS from part of a safety function, their PLs shall be equal to or greater than the performance level required for this function. Where several SRP/CS are connected in series, 5) Verifica the final PL can be determined using Table 11 from the standard. Per ogni singola funzione di sicurezza, il PL dello SRP/CS (en) deve corrispondere al Performance Level richiesto. I PLs di più SRP/CS, che sono parte di una funzione di sicurezza, devono essere uguali o maggiori del Performance Level richiesto per questa funzione. In caso di più SRP/CS collegati in serie, il PL definitivo può essere determinato utilizzando la Tabella 11 prevista dalla norma. La probabilità di guasti pericolosa di ogni funzione di controllo di sicurezza (SRCF) causata da guasti hardware casuali deve essere uguale o inferiore al valore limite stabilito nelle specifiche dei requisiti di sicurezza. Il SIL raggiunto grazie allo SRECS sulla base delle limitazioni architetturali deve essere inferiore o uguale al SILCL più basso di qualsiasi sottosistema coinvolto nell esecuzione della funzione di sicurezza. 6) Validazione La progettazione di una funzione di comando e controllo di sicurezza deve essere validata. La validazione deve dimostrare che la combinazione di ciascuna funzione di sicurezza dei dispositivi di sicurezza soddisfa i requisiti relativi. 13

7. Glossario Abbreviazione Definizione in inglese Descrizione in italiano B10d Numero di cicli a cui il 10% dei componenti pericolosi si guasta λ Failure rate Tasso di anomalia/guasto λs λd Tasso di guasto guasti non pericolosi Tasso di guasto guasti pericolosi CCF Common Cause Failure Guasto per causa comune DC Diagnostic Coverage Grado di copertura diagnostico DCmoy Average Diagnostic Coverage Copertura diagnostica in media Designated Architecture Architettura prevista di un SRP/CS HFT Hardware Fault Tolerance Tolleranza guasti hardware MTBF Mean Time Tempo medio che intercorre normalmente Between Failures prima del verificarsi di un guasto MTTF Mean Time to Failure Tempo medio al guasto MTTFd Mean Time to Tempo medio prima di un guasto Dangerous Failure pericoloso MTTR Mean Time to Repair Tempo medio di riparazione (sempre decisamente inferiore al MTTF) PFH Probability of Failure Probabilità che si verifichi un guasto per Hour all ora PFHd Probability of Dangerous Probabilità che si verifichi un guasto Failure per Hour pericoloso all ora PL Performance Level Capacità delle parti di sicurezza di svolgere una funzione di sicurezza in condizioni prevedibili, per garantire la riduzione del rischio prevista PLr Performance Level Required Performance Level richiesto SIL Safety Integrity Level Livello di integrità della sicurezza SILCL Safety Integrity Limite SIL richiesto SIL Claim Limit (idoneità) 14

Abbreviazione Definizione in inglese Descrizione in italiano SRP/CS Safety Related Parts Parte di sicurezza di of a Control System un sistema di comando e controllo SRECS Safety Related Sistema di comando e controllo Electrical Control Systems elettrico di sicurezza T1 Lifetime Ciclo di vita del sistema di sicurezza T2 Diagnostic Test Interval Intervallo di test diagnostico Tm Mission Time Durata dell utilizzo β Susceptibility to Suscettibilità ai guasti per Common Cause Failure causa comune C Duty Cycle Ciclo di vita (ore) di un componente elettromeccanico SFF Safe Failure Fraction Frazione guasti non pericolosi Security Termine comune per ripari di protezione. Il controllo consente di proteggere cose o persone. Safety Termine comune per la sicurezza funzionale e la sicurezza delle macchine Safety of Machinery Stato raggiunto quando sono state intraprese misure di sicurezza per la riduzione del rischio con rischio residuo accettabile in seguito all analisi del rischio Functional Safety Parte di sicurezza di una macchina e del sistema di controllo di una macchina che dipende dal corretto funzionamento dell SRECS, dei sistemi di sicurezza e di dispositivi esterni per la riduzione del rischio 15

8. FAQ Le elettrovalvole / contattori sottostanno a requisiti SIL o PL? No. Il SIL e il PL non sono applicabili a componenti singoli. Qual è la differenza tra SIL e SILCL? Il SIL si riferisce sempre a una funzione di sicurezza completa, mentre il SILCL si riferisce al sottosistema. Ci sono analogie tra PL e SIL? Tramite il valore PFH è possibile stabilire una relazione tra PL e SIL. (v. Fase 4: Determinazione del Performance Level raggiunto ). Performance Probabilità di SIL Level Level guasti pericolose secondo EN (EN 13849-1) per ora [1/h] IEC 62061 b 3 10-6 PFHD < 3 10-5 SIL 1 c 3 10-6 PFHD < 3 10-6 SIL 1 d 3 10-7 PFHD < 3 10-6 SIL 2 e 3 10-8 PFHD < 3 10-7 SIL 3 Quale grado di copertura diagnostica è possibile prevedere per contattori e relè con apertura guidata dei contatti elettrici? In conformità a entrambe le norme, è possibile prevedere un DC del 99% in considerazione dei contatti con apertura guidata. Una funzione diagnostica con appropriata reazione al guasto rappresenta un prerequisito. 16

E possibile raggiungere una tolleranza al guasto pari a 1 con un singolo dispositivo di controllo (ripari mobili)? No, una sola anomalia causerebbe il guasto del circuito. E prevista una probabilità di anomalia/guasto o un valore PFHD per componenti soggetti ad usura? No, l utilizzatore può determinare un valore PFH per componenti soggetti ad usura sulla base dell applicazione specifica utilizzando il valore B10 in relazione al numero di cicli di lavoro. Qual è la differenza tra MTBF e MTTF? L MTBF descrive il tempo che intercorre tra 2 guasti, a differenza dell MTTF che invece descrive l intervallo di tempo prima che si verifichi il primo guasto. Cosa significa la lettera d in MTTFd? d sta per dangerous > l MTTFd descrive l intervallo di tempo prima che si verifichi il primo guasto pericoloso. Posso applicare la EN 13849-1 nell integrazione di dispositivi elettronici programmabili complessi? Sì. Tuttavia, per il software del sistema operativo e per le funzioni di sicurezza secondo il PL e, è necessario tenere in considerazione i requisiti della IEC 61508-3. Cosa si può fare se il costruttore non fornisce alcun dato tecnico relativo ai componenti? La EN ISO 13849-1 e la EN 62061 includono entrambe valori di riferimento per i componenti di utilizzo comune. Dove possibile, è comunque preferibile utilizzare sempre i dati forniti dal costruttore dei componenti stessi. 17

E possibile applicare la EN ISO 13849-1 per calcolare l MTTF in processi con valvole/armature utilizzate solo una o due volte all anno (Low Demand)? No, la EN ISO 13849-1 prevede unicamente la modalità High Demand. E quindi possibile effettuare una valutazione dell MTTF solo mediante misure aggiuntive, quali ad es. la dinamizzazione forzata. E possibile applicare la EN 62061 per calcolare il tasso di anomalia/guasto in processi valvole/armature utilizzate solo una o due volte all anno (Low Demand)? V. domanda precedente. I software applicativi devono essere certificati? Se sì, secondo quale norma? No. Non è obbligatoria nessuna certificazione secondo entrambi gli standard. Tuttavia, è possibile che sia necessario certificare le macchine (ad es. presse) secondo l Allegato IV della Direttiva Macchine. I requisiti relativi alla produzione di software sono riportati sia nella EN 62061 sia nella EN ISO 13849-1. 18

ZVEI - Zentralverband Elektrotechnik und Elektronikindustrie e. V. Lyoner Straße 9 60528 Francoforte Germania Associazione di Categoria - Automazione Divisione dispositivi di controllo Impianti industriali, Sistemi per l Industria Comitato Tecnico Sistemi di sicurezza nell automazione