Safety Standard NEWS 2016

Safety Standard NEWS 2016 A.C. & E. S.r.l. siemens.com/answers

Aggiornamento Legislativo e Normativo Le direttive Direttive Riferimenti superati Riferimenti Attuali Riferimenti futuri In vigore da (data di abrogazione delle precedenti) Direttiva Macchine 98/37/CE 2006/42/CE Bassa tensione 73/23/CEE 2006/95/CE 2014/35/UE 20 aprile 2016 EMC 89/336/CEE 2004/108/CE 2014/30/UE 20 aprile 2016 PED 97/23/CE 97/23/CE 2014/68/UE 18 luglio 2016 ATEX 94/9/CE 94/9/CE 2014/34/UE 20 aprile 2016

Aggiornamento Legislativo e Normativo Le norme Standard di riferimento Nuova edizione ISO 13849-1: Safety of machinery Safety related parts of control system Part 1: General principles for design ISO 13849-2: 2013 Safety of machinery Safety related parts of control system Part 2: Validation ISO/TR 24119:2015 Safety of machinery Evaluation of fault masking series connection of interlocking devices associated with guards with potential free contacts 2015 12-15 2012 10-15 2015 11-15

Contenuti trattati ISO 13849-1 ed. 2015: le principali novità Fault masking ISO/TR 24119 ed. 2015 Validazione: ISO 13849-2 ed. 2012 Domande e discussioni finali

ISO 13849-1: World-wide Standard Un unico Standard per il mondo! RTUD

ISO 13849-1: World-wide Standard

ISO 13849-1: Evoluzione normativa 2015

ISO/IEC 17305 ISO/AWI 17305 ISO 13849-1 & IEC 62061 Safety of machinery - Safety functions of control systems ISO attraverso il Comitato Tecnico TC 199 (Sicurezza macchine) ha portato allo stato di AWI (Approved Work Item) i lavori sulla norma congiunta ISO IEC 17305 (ISO 13849-1 e IEC 62061) con proposta di inizio lavori tra ISO TC 199 e IEC TC 44 dal 25.09.2013. ISO/TC 199/JWG 01 "Joint ISO/TC 199 - IEC/TC 44; Merging of ISO 13849-1 and IEC 62061" 6 meeting 25.09.2013-27.09.2013 - Proposta Las Vegas USA SICUREZZA DEI SISTEMI DI COMANDO Nuovo progetto di standardizzazione congiunto di ISO/IEC 17305 Come da precedente notizia, i gruppi di lavoro di ISO TC199 e IEC TC 44, hanno creato un gruppo di lavoro congiunto JWG1 per affrontare una possibile unificazione delle norme ISO 13849 e IEC 62061 al fine di creare uno standard convergente in una norma ISO/IEC 17305 sulla Sicurezza dei Sistemi di comando. Il VDMA, (Verband Deutscher Maschinen- und Anlagenbau e.v.) associazione di costruttori tedeschi di macchine, partecipa attivamente a questo progetto, ed ha, sin dalla creazione del Gruppo di lavoro, reso disponibili documenti inerenti workshop e realizzato un questionario online per favore lo scambio di informazioni tra l'industria (utenti standard) e gli esperti di normalizzazione ed avere elementi di analisi in merito.

ISO/IEC 17305

ISO 13849-1: Evoluzione normativa 2016 ISO 13849-1 ed. 2015

ISO 13849-1 ed. 2015: le principali novità

ISO 13849-1 ed. 2015: Principali novità Aggiornamento dei requisiti di categoria: focus specifico sulla Categoria 2; Descrizione e requisiti minimi degli SRP/CS output in funzione delle specifiche di categoria; Nuova definizione: Proven in use ; Update Annex C: MTTFd values for single components ; Riferimenti normativi aggiornati (ISO 14119:2014, ).

La DIRETTIVA MACCHINE 1.2. SISTEMI DI COMANDO 1.2.1. Sicurezza ed affidabilità dei sistemi di comando I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che: resistano alle previste sollecitazioni di servizio e agli influssi esterni, un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose, errori della logica del sistema di comando non creino situazioni pericolose, errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose.

ISO/TR 22100-2

ISO 13849-1: Performance Level PL Più il sistema è sicuro più è improbabile che capiti un guasto pericoloso. E questo il concetto che sta alla base della EN ISO 13849-1 con la quale viene introdotto un parametro oggettivo di valutazione, il PL (Performance Level) e le relative grandezze ad esso associato e da cui dipende, ossia architettura di comando (categoria di sicurezza), tempo medio al guasto pericoloso MTTFd, copertura diagnostica (DC) e guasti per cause comuni (CCF).

ISO 13849-1: Struttura I-L-O I - Ingresso: parte del sistema legato alla sicurezza in grado di ricevere l evento di avvio della funzione di sicurezza L - Logica: parte del sistema legato alla sicurezza in grado di attivare le misure di sicurezza definite per quell evento O - Uscita: parte del sistema legato alla sicurezza in grado di attuare le misure di sicurezza definite per quell evento i i : mezzi di interconnessione (elettrici, ottici, elettromagnetici, ) 1: avvio dell evento (per esempio azionamento manuale di un pulsante apertura dei un riparo) 2: Azionatore della macchina (per esempio freni motore)

ISO 13849-1: Fattori di scelta dell architettura 1. La riduzione del rischio da conseguire 2. Livello di prestazione richiesto 3. Le tecnologie utilizzate 4. Il rischio in caso di una o più avarie in quella parte 5. La possibilità di evitare la(e) avaria(e) in quella parte 6. La probabilità che si verifichino avarie in quella parte e i parametri pertinenti 7. Il tempo medio di guasto (MTTFd) 8. La copertura diagnostica (DC) 9. I guasti da causa comune (CCF) nel caso delle categorie 2,3 e 4

ISO 13849-1: Grafico di stima del PL

ISO 13849-1: Categoria 2 Autocontrollo Le SRP/CS di categoria 2 devono essere progettate in modo che la loro funzione sia controllata a intervalli opportuni tramite il sistema di comando della macchina. Il controllo della funzione di sicurezza deve essere effettuato: all avvio della macchina; e prima dell inizio di qualsiasi situazione pericolosa L'avvio di tale controllo può essere automatico. Qualsiasi controllo della funzione di sicurezza devono alternativamente: - Consentire il funzionamento se non sono stati rilevati errori, o; - Generare una uscita (OTE) che avvia appropriata azione di controllo, se viene rilevato un errore.

ISO 13849-1: Categoria 2 Autocontrollo Per PLr = d l'uscita (OTE) avvia uno stato di sicurezza che viene mantenuto fino a quando viene eliminato il guasto. Per PLr fino al PLr = c, quando possibile l'uscita (OTE) avvia uno stato sicuro che viene mantenuta fino a quando viene eliminato il guasto. Quando ciò non è possibile (ad esempio la saldatura del contatto in finale dispositivo di commutazione) può essere sufficiente per l'uscita dell'apparecchiatura di prova OTE per fornire un avvertimento. Il calcolo di MTTFd e DCavg dovrebbe tenere conto solo dei blocchi nel canale funzionale (cioè I, L e O) e non dei blocchi nel canale diagnostico (cioè TE e OTE). Il controllo in sé non può determinare una situazione di pericolo (ad esempio a causa di un aumento del tempo di reazione). L'attrezzatura di prova può essere integrata con la parte relativa alla sicurezza compone la funzione di sicurezza.

ISO 13849-1: Categoria 2 Autocontrollo Il PL massimo raggiungibile con la categoria 2 è PL = d. Devono essere verificate inoltre le seguenti ipotesi tipiche: - Tempo di missione, 20 anni ; - Tassi di guasto costanti entro il tempo della missione; - Per la categoria 2, MTTF del canale test è maggiore di metà fuori MTTF del canale funzionale; - Per la categoria 2, tasso di richiesta 1/100 tasso di test (si veda anche la nota in allegato K); o test avviene immediatamente su richiesta della funzione di sicurezza e il tempo complessivo per rilevare il guasto e per portare la macchina ad una condizione non pericolosa (di solito per arrestare la macchina) è più breve del tempo per raggiungere il pericolo (vedi anche ISO 13855).

ISO 13849-1: Categoria 2 Autocontrollo 1. tasso di richiesta 1/100 tasso di test 2. test avviene immediatamente su richiesta della funzione di sicurezza e il tempo complessivo per rilevare il guasto e per portare la macchina ad una condizione non pericolosa è più breve del tempo per raggiungere il pericolo

ISO 13849-1: Categoria 2 Autocontrollo NOTA 1 In alcuni casi, la categoria 2 non è applicabile in quanto il controllo della funzione di sicurezza non può essere applicata a tutti i componenti (ad esempio i contattori di una SRP/CS). NOTA 2 il comportamento del sistema di categoria 2 è caratterizzato da Il verificarsi di un guasto può portare alla perdita della funzione di sicurezza tra i controlli, La perdita della funzione di sicurezza viene rilevata dal controllo.

ISO 13849-1: Categoria 2 Autocontrollo Quale finecorsa per una Architettura in categoria 2?

ISO 13849-1: Le mode 2012

ISO 13849-1: Categoria 3 Ridondanza e/o Diversità

ISO 13849-1: Categoria 3 Ridondanza e/o Diversità Si devono seguire anche i principi di sicurezza ben provati, inoltre si applica quanto segue. La SRP/CS di categoria 3 deve essere progettata in modo che una singola avaria in una di queste parti non porti a una perdita della funzione di sicurezza. Quando ragionevolmente realizzabile, la singola avaria deve essere rilevata durante o prima della successiva richiesta della funzione di sicurezza. La copertura diagnostica (DC avg ) di tutta la SRP/CS, il rilevamento delle avarie incluso, deve essere bassa. Il MTTF d di ciascuno dei canali ridondanti deve essere da basso ad alto, in funzione del PL r. Si devono applicare misure contro i CCF. Il requisito del rilevamento di una singola avaria non significa che tutte le avarie siano rilevate. Di conseguenza, l accumulo delle avarie non rilevate può portare ad un uscita accidentale e a una situazione pericolosa nella macchina.

ISO 13849-1: Categoria 3 Ridondanza e/o Diversità Domanda classica... Per un riparo in categoria 3 devo utilizzare un finecorsa a due contatti? o due finecorsa ad un solo contatto?

ISO 13849-1: Categoria 3 Ridondanza e/o Diversità

ISO 14119 Requisiti di installazione dei dispositivi Tab. 3 EN ISO 14119 - Requisiti aggiuntivi che devono essere soddisfatti per la scelta e l'installazione dei dispositivi Interruttori di sucurezza tradizionali Dispositivi di tipo 1 Interruttori di sicurezza a cerniera Dispositivi di tipo 2 e di tipo 4 (codifica bassa) Dispositivi di tipo 2 e di tipo 4 (codifica alta) Principi e misure per evitare l'elusione Montaggio fuori portata Schermatura, ostruzione Montaggio in posizione nascosta Test da circuito di comando Fissaggio non rimovibile del dispositivo e attuatore X X Fissaggio non rimovibile del dispositivo Fissaggio non rimovibile dell'attuatore M M M Secondo dispositivo di interblocco e verifica plausibilità R R X: obbligo di applicare almeno una delle misure elencate M: misura obbligatoria R: misura raccomandata M

ISO 14119 Requisiti di installazione dei dispositivi

ISO 13849-1: Fault exclusion

ISO 13849-1: Fault exclusion ISO 14119

ISO 13849-1: Fault exclusion

ISO 13849-1: Categoria 4 Ridondanza e Autocontrollo

ISO 13849-1: Categoria 4 Ridondanza e Autocontrollo Le SRP/CS di categoria 4 devono essere progettate in modo che: una singola avaria in una di queste parti legate alla sicurezza non porti a una perdita della funzione di sicurezza; e la singola avaria sia rilevata durante o prima della successiva richiesta delle funzioni di sicurezza, per esempio immediatamente, all accensione o alla fine del ciclo operativo della macchina; ma se questo rilevamento non è possibile, l accumulo di avarie non rilevate non deve portare alla perdita della funzione di sicurezza. La copertura diagnostica (DC avg ) di tutta la SRP/CS, incluso l accumulo delle avarie, deve essere alta. Il MTTF d di ciascuno dei canali ridondanti deve essere alto. Si devono applicare misure contro i CCF.

ISO 13849-1: Categoria 4 Ridondanza e Autocontrollo Da notare che: Il comportamento dei sistemi di categoria 4 consente che: quando si verifica una singola avaria la funzione di sicurezza sia sempre eseguita; le avarie siano rilevate in tempo per prevenire la perdita della funzione di sicurezza; sia considerato l accumulo di avarie non rilevate. La differenza tra la categoria 3 e la categoria 4 è una DCavg più alta nella categoria 4 e un MTTFd richiesto di ogni canale solo "alto". In pratica, considerare una combinazione di due avarie può essere sufficiente.

ISO 13849-1: Calcolo semplificato Se non dispongo di un valore affidabilistico (MTTFd o B10d) come faccio?

ISO 13849-1: Calcolo semplificato CONDIZIONI DI APPLICABILITÀ Il nuovo metodo di calcolo semplificato consente di stimare il livello di PL e il valore di PFHd degli output senza calcolare MTTFd. È applicabile se sono verificate Ai soli dispositivi di uscita delle SRP/CS Per i dispositivi di natura meccanica, pneumatica o idraulica che non dispongono di un dato di affidabilità per l applicazione specifica (MTTFd o B10d indifferentemente).

ISO 13849-1: Calcolo semplificato NUOVA DEFINIZIONE L analisi deve dimostrare che è possibile escludere i guasti sistematici a cui il dispositivo di uscita è assoggettato nella specifica applicazione prevista

ISO 13849-1: Calcolo semplificato TABELLA 7

ISO 13849-1: Calcolo semplificato CONDIZIONI SUPPLEMENTARI Per Categoria 1: il valore di T10d viene calcolato sulla base della dimostrazione del componente "proven in use ". Questo è applicabile solo quando il guasto del componente non si verifica durante il processo. Per Categoria 2, 3, e 4: In mancanza del valore di MTTFd, per calcolo della DCavg si considera la media dei DC che compongono la SRP/CS e non attraverso la formula F.1.

ISO 13849-1: Calcolo semplificato CONDIZIONI SUPPLEMENTARI CONDIZIONI SUPPLEMENTARI CAT. 1 CAT. 2 CAT. 3 CAT. 4 Well-tried components and well-tried safety principles X X X X MTTFd of TE channel 10 years X Well-tired components or proven in used demonstration X X X X Measures against CCF X X X DCavg low X X DCavg = high X X X

ISO 13849-1: Update of Annex C Estratto ANNEX C: 1/2 Componenti meccanici, idraulici e pneumatici

ISO 13849-1: Update of Annex C Estratto ANNEX C: 2/2 - Componenti elettrici

ISO 13849-1: Connessione in serie

ISO 13849-1: Connessione in serie ISO/TR 24119:2015

ISO/TR 24119 ed. 2015: Fault masking

ISO/TR 24119 ed. 2015: Fault masking Definizione di Fault Masking; Differenti modalità di cablaggio in serie; Metodologie di stima della DCavg; Esclusione Fault Masking.

ISO/TR 24119: Obiettivo della norma OBIETTIVO DELLA NORMA In riferimento ai SRP/CS caratterizzate da connessione in serie dei dispositivi di interblocco dei ripari con contatti puliti, la norma ha come obiettivo quello di Indicare un metodo per la definizione della DC massima dichiarabile; Aiutare alla progettazione al fine di garantire il raggiungimento del PLr dell analisi dei rischi. Viene quindi definito un metodo di stima della probabilità che si verifichi un fault masking. Cosa significa FAULT MASKING?

ISO/TR 24119: Definizione DEFINIZIONE Fault masking diretto Sequenza di apertura dei ripari In che condizioni si verifica? Reset involontario del fault Guasto meccanico Reset involontario del fault Guasto elettrico

ISO/TR 24119: Tipologie di Fault Masking FAULT MASKING DIRETTO A A A A A A B B B B B B

ISO/TR 24119: Tipologie di Fault Masking RESET INVOLONTARIO DEL FAULT GUASTO MECCANICO A A A A A A A B B B B B B B

ISO/TR 24119: Tipologie di Fault Masking RESET INVOLONTARIO DEL FAULT GUASTO ELETTRICO A A A A A A A B B B B B B B

ISO/TR 24119: Tipologie di cablaggio CONFIGURAZIONE SINGOLA Utilizzo di due differenti contatti di un singolo dispositivo di interblocco in una architettura di comando e controllo ridondante per ciascun riparo mobile. CONFIGURAZIONE RIDONDANTE Utilizzo di singolo dei contatti di due dispositivi di interblocco in una architettura di comando e controllo ridondante e diversificata per ciascun riparo mobile.

ISO/TR 24119: Tipologie di cablaggio CABLAGGIO A STELLA Struttura di cablaggio dove ogni contatto di ogni dispositivo di interblocco è cablato con un solo cavo al quadro elettrico

ISO/TR 24119: Tipologie di cablaggio CABLAGGIO A RAMO Struttura di cablaggio dove un singolo cavo da quadro elettrico è collegato al primo dispositivo di interblocco e da questo a quello successivo, e così via. I contatti dell ultimo dispositivo di interblocco ritornano al quadro elettrico attraverso lo stesso cavo di partenza.

ISO/TR 24119: Tipologie di cablaggio CABLAGGIO AD ANELLO Struttura di cablaggio dove un singolo cavo da quadro elettrico è collegato al primo dispositivo di interblocco e da questo al successivo, e così via. I contatti dell ultimo dispositivo di interblocco ritornano al quadro elettrico in un cavo separato.

ISO/TR 24119: Limiti di DC e PL Cap. 6.1 della ISO/TR 24119 Possibili mascheramenti di fault possono comportare accumulo di fault non rilevati, quindi, il massimo valore di DC raggiungibile deve essere definito utilizzando uno dei metodi seguenti: - Metodo semplificato ( 6.2 della ISO/TR 24119); - Metodo rigoroso ( 6.3 della ISO/TR 24119) In ogni caso, se non si possono escludere i mascheramenti dei fault: - Il massimo valore di DC è fissato a MEDIO; - Pertanto, il livello di PL raggiungibile è fissato a PL d Ricordiamo che: Per la Categoria 4 è necessario una DCavg ALTA

ISO/TR 24119: Metodo semplificato METODO SEMPLIFICATO Dove: Il numero di utilizzatori della macchina viene incrementato di uno se: - Più di un operatore può accedere alla macchina contemporaneamente; - La frequenza di apertura è maggiore di una volta all ora.

ISO/TR 24119: Metodo semplificato METODO SEMPLIFICATO Dove: Il numero di ripari mobili addizionali, viene diminuito di una unità se: - La distanza minima tra i ripari mobili è maggiore di 5 metri; - Se nessuno dei ripari addizionali è direttamente raggiungibile

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO È necessario innanzitutto definire il livello di probabilità di accadimento del fenomeno di fault masking.

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO Dove: Il numero di ripari mobili addizionali, viene diminuito di una unità se: - La distanza minima tra i ripari mobili è maggiore di 5 metri; - Se nessuno dei ripari addizionali è direttamente raggiungibile

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO Dove: Il numero di utilizzatori della macchina viene incrementato di uno se: - Più di un operatore può accedere alla macchina contemporaneamente; - La frequenza di apertura è maggiore di una volta all ora.

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO Da cui si determina il livello di probabilità di accadimento del fault masking

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 1. Che cavo utilizzo per il collegamento della serie dei dispositivi di interblocco? - Cavo multicorda non schermato senza riferimento di tensione positivo (tabella 3) - Cavo multicorda non schermato con riferimento di tensione positivo (tabella 4) - Cavo multicorda schermato (tabella 5)

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 2. Che architettura ho scelto per la gestione dei ripari mobili? - CONFIGURAZIONE SINGOLA Due contatti NC dello stesso dispositivo di interblocco per ciascun riparo - CONFIGURAZIONE RIDONDANTE Un contatto NC e un contatto NO di due dispositivi di interblocco differenti per ogni riparo mobile

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 3. Che tipo di connessione ho scelto per realizzare la serie dei dispositivi di interblocco? - Connessione a stella - Connessione a ramo - Connessione ad anello

ISO/TR 24119: Metodo rigoroso METODO RIGOROSO 4. Ricercare da tabella il valore di DC massimo raggiungibile

ISO/TR 24119: Esempio Considerando la linea con protezioni perimetrali indicate in figura. Sono presenti le porte interbloccate A, B, C, D ed F È presente un accesso controllato da dispositivo fotoelettrico E.

ISO/TR 24119: Esempio Metodo rigoroso IPOTESI: - Configurazione singola (2 contatti NC di 1 unico dispositivo); - Serie dei dispositivi di interblocco cablati ad anello - Apertura del riparo A con frequenza 10 volte al giorno; - Altri ripari mobili aperti con frequenza pari a 10 volte l anno; - Solo un operatore è richiesto per il funzionamento della linea; - Cavo non schermato senza riferimento di tensione positivo (tabella 3).

ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso Verifica Tabella 2 - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso - Configurazione singola (2 contatti NC di 1 unico dispositivo); - Serie dei dispositivi di interblocco cablati ad anello - Cavo non schermato senza riferimento di tensione positivo - Verifica tramite test dinamici VERIFICHIAMO LA TABELLA 3

ISO/TR 24119: Esempio Metodo rigoroso Applichiamo il metodo rigoroso RISULTATO : - PL max PLd - DC max = medio

ISO/TR 24119: Esempio Metodo semplificato Applichiamo il metodo semplificato Stesse ipotesi di progetto precedenti - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

ISO/TR 24119: Esempio Metodo semplificato Applichiamo il metodo rigoroso Verifica Tabella 1 - Numero di ripari mobili utilizzati frequentemente 1 Non si applica l incremento descritto in nota B - Numero di ripari mobili addizionali 4 Non si applica il decremento in quanto il riparo B è entro i 5 metri

ISO/TR 24119: Esempio Metodo semplificato Applichiamo il metodo semplificato RISULTATO : - PL max PLd - DC max = basso

ISO/TR 24119: Confronto metodi RISULTATI METODO SEMPLIFICATO METODO RIGOROSO PL max PL d PL d DC max Basso Medio

ISO/TR 24119: Eliminazione Fault Masking ALCUNI METODI POSSIBILI - Uso di contatti addizionali connessi direttamente al dispositivo di monitoraggio in combinazione con le appropriate procedure di diagnostica per eliminare il fault masking; - Eliminare le connessioni in serie dei dispositivi di interblocco e utilizzare ingressi safety dedicati per ciascun riparo (architettura in conformità con la Categoria 4) - Utilizzare dispositivi di interblocco con diagnostica interna e uscite di monitoraggio (dispositivi conformi alla definizione di Type 3 e Type 4 secondo al ISO 14119:2013).

ISO 13849-2 ed. 2012: Validazione

ISO 13849-2: Validazione Alla fine della mia programmazione che cosa devo ancora fare?

ISO 13849-2: Validazione Risk assessment Describe machine Identify hazards Assess risks Risk reduction Define and evaluate safety measures (3-step method) Design architecture of safety functions Implement and commission safety concept Conformity Document measures Perform validation Issue declaration of conformity Apply CE marking

Quale norma devo considerare per la validazione?

Safety Life Cycle (IEC 61508)

Design and development Verification Validation Safety Life Cycle (ISO 12100) Start Risk assessment of machine acc. to EN ISO 12100 Machine validation End Validated machine Safety specification SRS* Test of specification SRS Architecture HW and SW Integration test HW and SW HW design HW test SW design SW test Realization * SRS = Safety Requirement Specification Verification/Validation Result

ISO 13849-2: Validazione

La validazione mediante calcolo del PL Siemens Safety Evaluation Tools SISTEMA

La Validazione del Performance Level La validazione riguarda in particolare la validazione dei valori di MTTFd e della copertura diagnostica media (DCavg); la validazione delle misure adottate contro i guasti di causa comune (CCF); la validazione delle misure adottate contro i guasti sistematici; la validazione del software avente funzioni di sicurezza; la validazione dei PL raggiunti. La norma EN ISO 13849-2:2012 (punto 4.1) prescrive inoltre esplicitamente l'obbligo di sottoporre a prove di guasto (validazione mediante prove) le parti dei circuiti di comando legate alla sicurezza in categoria 2, 3 oppure 4: For Categories 2, 3 and 4 the validation of the safety function shall also include testing under fault conditions.

Ma devo validare un software Safety?

SW incorporato vs SW applicativo (ISO 13849-1) SRESW Safety-related Embedded SW SRASW Safety-related Application SW

Requisiti di sicurezza del software

Requisiti di sicurezza del software applicativo

La validazione deve essere pianificata rispetto i requisiti dell applicazione

La validazione si svolge in team (ISO 13849-1)

Quale documentazione devo raccogliere?

Documentare la validazione (ISO 13849-1)

Lista delle funzioni di sicurezza

Come rappresento l architettura?

Safety Layout

Mappatura SRP/CS

Componenti SRP/CS

Architettura HW Architettura SW

Configurazione Schede - Ingressi Triggerati

Configurazione I/O

Devo usate i blocchi certificati? IEC 61508-3 Requisiti del Software

Alcuni esempi È importante documentare la configurazione di ciascun blocco implementato

Registrazione e archiviazione validazione

Signature / Checksum

La validazione delle funzioni di Safety degli Inverter e drive Nella norma EN 61800-5-2 sono presenti le definizioni di numerose funzioni di sicurezza. Un convertitore di frequenza può essere dotato di una o più di tali funzioni. Di seguito sono riportati alcuni esempi: STO (Safe Torque Off) SS1 (Safe Stop 1) SS2 (Safe Stop 2) SOS (Safe Operating Stop) SLS (Safely-Limited Speed) SDI (Safe Direction) SBC (Safe Brake Control) SSM (Safe Speed Monitor

Come le Valido?

A.C.&E. in the world U S A N e w Y o r k I T A L I A V e r o n a R U S S I A M o s c a B R A S I L E San Paolo

GRAZIE PER L ATTENZIONE! A.C. & E. S.r.l. Via Del Perlar, 37/A 37135 Verona Tel. +39 045 8200894 FAX +39 045 8277174 Vania Vicentini vania.vicentini@aceconsulting.it Andrea Mazza andrea.mazza@aceconsulting.it