03.01.2015 Views

Sicurezza macchine

Sicurezza macchine

Sicurezza macchine

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

La valutazione dei rischi e la progettazione dei circuiti di<br />

comando delle <strong>macchine</strong> aventi funzioni di sicurezza<br />

Applicazione pratica delle norme UNI EN ISO 13849-1 1 & CEI EN 62061<br />

28 Settembre 2009<br />

QUADRA S.R.L. — CORNATE D’ADDA (MI)<br />

TEL. 0396060383 – 0396060351<br />

WWW.QUADRASRL.NET<br />

Applicazione pratica 138491 & 62061/0 - 1


La direttiva 2006/42/CE<br />

A partire dal 29 dicembre 2009 verrà attuata la nuova direttiva <strong>macchine</strong><br />

2006/42/CE, che andrà a sostituire l’attuale direttiva 98/37/CE<br />

Tra le principali novità introdotte dalla nuova direttiva vi è:<br />

l’esplicito riferimento alla necessità di eseguire una valutazione dei<br />

rischi sulla macchina prima di immetterla sul mercato o di metterla in<br />

servizio<br />

l’obbligo di integrare tale valutazione all’interno del fascicolo tecnico<br />

per le <strong>macchine</strong> previsto dall’allegato VII parte A o della<br />

documentazione tecnica pertinente per le quasi-<strong>macchine</strong> prevista<br />

dall’allegato VII parte B:<br />

…dalla documentazione relativa alla valutazione dei rischi che deve<br />

dimostrare la procedura seguita, inclusi:<br />

un elenco dei requisiti essenziali di sicurezza e di tutela della salute applicabili<br />

alla macchina,<br />

le misure di protezione attuate per eliminare i pericoli identificati o per ridurre i<br />

rischi e, se del caso, l'indicazione dei rischi residui connessi con la macchina<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 2


Direttiva 2006/42/CE<br />

Considerando<br />

(23) Il fabbricante o il suo mandatario dovrebbe inoltre garantire<br />

che sia effettuata una valutazione dei rischi per la macchina<br />

che intende immettere sul mercato. A tal fine egli dovrebbe<br />

stabilire quali siano i requisiti essenziali di sicurezza e di tutela<br />

della salute applicabili alla sua macchina e per i quali dovrà<br />

adottare provvedimenti.<br />

(24) È indispensabile che il fabbricante o il suo mandatario<br />

stabilito nella Comunità, prima di redigere la dichiarazione «CE»<br />

di conformità, costituisca un fascicolo tecnico della<br />

costruzione. Tuttavia non è indispensabile che tutta la<br />

documentazione sia materialmente disponibile in permanenza:<br />

basta che sia disponibile su richiesta. Essa può non<br />

comprendere i disegni dettagliati dei sottoinsiemi utilizzati per la<br />

fabbricazione delle <strong>macchine</strong>, salvo se la loro conoscenza è<br />

indispensabile alla verifica della conformità ai requisiti essenziali<br />

di sicurezza e di tutela della salute.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 3


Scopo del fascicolo tecnico<br />

(e della documentazione tecnica pertinente)<br />

Il fascicolo tecnico, o la documentazione tecnica<br />

pertinente, deve essere visto come un «mezzo»<br />

attraverso il quale è possibile realizzare una<br />

macchina sicura e conforme ai requisiti della direttiva<br />

<strong>macchine</strong>, alla stregua di uno schema elettrico per la<br />

realizzazione dell'equipaggiamento elettrico della<br />

macchina o di un disegno meccanico per la<br />

fabbricazione di un determinato pezzo<br />

Il «fine fine» della direttiva <strong>macchine</strong> è l'avere nel territorio<br />

dell'unione europea solamente <strong>macchine</strong> sicure e non<br />

certo quello di costringere i fabbricanti a realizzare<br />

collezioni di documenti inutili<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 4


Criteri per la redazione della<br />

documentazione<br />

Bisogna tenere conto del fatto che il fascicolo tecnico e la<br />

documentazione tecnica pertinente dovranno potere essere letti e<br />

utilizzati da persone diverse da quelle che li hanno redatti e che tale<br />

utilizzo può avvenire anche molto tempo dopo la redazione (ad esempio<br />

da parte di autorità nazionali nell'ambito delle attività di sorveglianza del<br />

mercato oppure di organi giudiziari in caso di incidente)<br />

Non utilizzare espressioni gergali e spiegare il significato di tutti i<br />

termini e le locuzioni usate<br />

Commentare i documenti (ad esempio spiegazione del funzionamento<br />

dei circuiti elettrici aventi funzioni di sicurezza)<br />

Spiegare il ragionamento fatto per decidere le misure di sicurezza<br />

adottate (ad esempio indicare il non rispetto di una norma illustrando<br />

le misure alternative prese)<br />

Il fascicolo tecnico viene lasciato «in eredità»<br />

ad altri progettisti o ad altre<br />

persone non facenti parte della stessa organizzazione<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 5


Norme<br />

Una norma tecnica è un documento formale che stabilisce criteri tecnici<br />

uniformi o di ingegneria, metodi, processi e pratiche.<br />

La direttiva 98/34/CE definisce:<br />

‘norma’: una specifica tecnica approvata da un organismo<br />

riconosciuto ad attività normativa per applicazione ripetuta o continua,<br />

la cui osservanza non è obbligatoria, e che è uno dei seguenti:<br />

norma internazionale: norma adottata da una organizzazione di<br />

standardizzazione internazionele (per esempio ISO) e quindi resa<br />

disponibile al pubblico<br />

norma europea: norma adottata da un ente di standardizzazione europeo<br />

(per esempio CEN) e quindi resa disponibile al pubblico<br />

norma nazionale: norma adottata da un ente di standardizzazione<br />

nazionale (per esempio UNI) e quindi resa disponibile al pubblico<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 6


Enti di normalizzazione nel mondo<br />

Elettrotecnica<br />

Elettronica<br />

Altre aree<br />

Internazionale IEC ISO<br />

Europeo CENELEC CEN<br />

Italia<br />

Francia<br />

Germania<br />

Inghilterra<br />

CEI<br />

www.ceiweb.it<br />

UTE<br />

www.ute-fr.com<br />

DKE<br />

www.dke.de<br />

BEC-BSI<br />

www.bsigroup.com<br />

UNI<br />

www.uni.com<br />

AFNOR<br />

www.afnor.org<br />

DIN<br />

www.din.de<br />

BSI<br />

www.bsigroup.com<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 7


L’ISO è composta da 161 membri:<br />

Membri dell’ISO<br />

Afghanistan, Albania, Algeria, Antigua and Barbuda, Argentina, Armenia Australia, Austria,<br />

Azerbaijan, Bahrain, Bangladesh, Barbados, Belarus, Belgium, Bhutan, Bolivia, Bosnia and<br />

Herzegovina, Botswana, Brazil, Brunei, Darussalam, Bulgaria, Burkina Faso, Burundi,<br />

Cambodia, Cameroon, Canada, Chile, China, Colombia, Congo, The Democratic Republic of<br />

the Congo, Costa Rica, Croatia, Cuba, Cyprus, Czech Republic, Côte-d'Ivoire, Denmark,<br />

Dominica, Dominican Republic, Egypt, El Salvador, Eritrea, Estonia, Ethiopia, Fiji, Finland,<br />

France, Gabon, Gambia, Georgia, Germany, Ghana, Greece, Guatemala, Guinea, Guyana,<br />

Honduras, Hong Kong, China, Hungary, Iceland, India, Indonesia, Iran Islamic Republic of,<br />

Iraq, Ireland, Israel, Italy, Jamaica, Japan, Jordan, Kazakhstan, Kenya, Korea, Democratic<br />

People's Republic Korea, Republic of Kuwait, Kyrgyzstan, Lao People's Democratic Rep.,<br />

Latvia, Lebanon, Lesotho, Liberia, Libyan, Arab, Jamahiriya, Lithuania, Luxembourg, Macau,<br />

Madagascar, Malawi, Malaysia, Malta, Mauritania, Mauritius, Moldova, Republic of Mongolia,<br />

Montenegro, Morocco, Mozambique, Myanmar, Namibia, Nepal, Netherlands, New Zealand,<br />

Norway, Oman, Pakistan, Palestine, Panama, Papua, New Guinea, Paraguay, Peru,<br />

Philippines, Poland, Portugal, Qatar, Romania, Russian Federation, Rwanda, Saint Lucia,<br />

Saint Vincent and the Grenadines, Saudi Arabia, Senegal, Serbia, Seychelles, Sierra Leone,<br />

Singapore, Slovakia, Slovenia, South Africa, Spain, Sri Lanka, Sudan, Suriname, Swaziland,<br />

Sweden, Switzerland, Syrian Arab Republic, Tajikistan, Tanzania, United Republic of,<br />

Thailand, Macedonia, Trinidad and Tobago, Tunisia, Turkey, Turkmenistan, USA, Uganda,<br />

Ukraine, United Arab Emirates, United Kingdom, Uruguay, Uzbekistan, Venezuela, Viet<br />

Nam, Yemen, Zambia, Zimbabwe<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 8


L’ISO è composta da 76 membri:<br />

Membri dell’IEC<br />

Albania, Algeria, Argentina, Australia, Austria, Bahrain, Belarus,<br />

Belgium, Bosnia & erzegovina, Brazil, Bulgaria, Canada, China,<br />

Colombia, Croatia, Cuba, Cyprus, Czech epublic, Democratic<br />

People's Republic of Korea, Denmark, Egypt, Estonia, Finland,<br />

France, Germany, Greece, Hungary, Iceland, India, Indonesia, Iran,<br />

Iraq, Ireland, Israel, Italy, Japan, Kazakhstan, Kenya, Korea, Republic<br />

of, Latvia, Libyan Arab Jamahiriya, Lithuania, Luxembourg, Malaysia,<br />

Malta, Mexico, Montenegro, Netherlands, New Zealand, Nigeria,<br />

Norway, Pakistan, Philippines, Rep. of the, Poland, Portugal, Qatar,<br />

Romania, Russian federation, Saudi Arabia, Serbia, Singapore,<br />

Slovakia, Slovenia, South Africa, Spain, Sri Lanka, Sweden,<br />

Switzerland, Thailand, The Former Yugoslav Rep. of Macedonia,<br />

Tunisia, Turkey, Ukraine, United Kingdom, United States of America,<br />

Vietnam<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 9


Le norme si dividono in:<br />

Norme<br />

norme di tipo A (norme generali di sicurezza): contengono i concetti fondamentali, i<br />

principi di progettazione e gli aspetti generali applicabili a tutte le <strong>macchine</strong> (per<br />

esempio UNI EN ISO 12100-2:2005, UNI EN ISO 14121-1:2007)<br />

norme di tipo B (norme di sicurezza comuni a gruppi): trattano un aspetto della<br />

sicurezza o un tipo di dispositivo di sicurezza, applicabili a numerosi tipi di <strong>macchine</strong>,<br />

che a sua volta si distinguono in:<br />

norme di tipo B1, che riguardano aspetti particolari della sicurezza, quali distanze di sicurezza,<br />

temperature delle superfici raggiungibili, rumore (per esempio UNI EN ISO 13857:2008, UNI EN<br />

ISO 13732-1:2007)<br />

norme di tipo B2, che riguardano dispositivi di sicurezza, quali comandi a due mani, dispositivi di<br />

interblocco, dispositivi sensibili alla pressione, ripari (per esempio UNI EN ISO 13850:2007, UNI<br />

EN 574:1998)<br />

norme di tipo C (norme di sicurezza per <strong>macchine</strong>): contengono i requisiti di<br />

sicurezza di dettaglio per una macchina o per un gruppo di <strong>macchine</strong> particolari (per<br />

esempio UNI EN 692:2006, UNI EN 201:2001)<br />

Se esiste quindi una norma di tipo C applicabile alla specifica macchina il costruttore ha<br />

indicazioni particolareggiate sulle possibili soluzioni da adottare per garantire la sicurezza<br />

della macchina stessa.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 10


Le norme<br />

Il principio generale enunciato chiaramente nel diritto comunitario, ed in<br />

particolare nella risoluzione del 7 maggio 1985, e nelle direttive di nuovo<br />

approccio è che le norme tecniche sono sempre facoltative: la mancata<br />

conformità non è mai un’inadempienza in sé, s in quanto il concetto di<br />

inadempienza comporta sempre l’esistenza di un obbligo.<br />

Il mancato rispetto della norma non consente di trarre la conclusione<br />

che il prodotto non sia conforme alla regolamentazione: il fabbricante è<br />

infatti libero di prendere provvedimenti diversi da quelli stabiliti dalla<br />

norma.<br />

Va infatti sottolineato che le norme non sono infallibili: tutte comportano<br />

i rischi caratteristici a tutti i documenti oggetto di lunghe trattative o di<br />

compromessi.<br />

Per rifiutare una macchina munita di marcatura CE, è necessario<br />

dimostrare il mancato rispetto di almeno un requisito essenziale. La<br />

semplice mancata conformità a una norma e, a maggior ragione, a una<br />

norma nazionale non è sufficiente a giustificare l’applicazione di un<br />

divieto.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 11


Le norme<br />

Le norme assumono carattere vincolante solo in tre casi:<br />

quando la norma è imposta da una normativa: non è il<br />

caso, ad esempio, delle direttive di nuovo approccio,<br />

tranne poche eccezioni, dove le disposizioni contenute<br />

nella norma diventano disposizioni di legge a tutti gli<br />

effetti;<br />

quando la norma è inserita in un contratto privato o<br />

pubblico: in tal caso la conformità diventa un obbligo<br />

contrattuale che, come qualsiasi impegno di questo tipo,<br />

è liberamente negoziabile;<br />

quando la norma codifica lo stato dell’arte<br />

arte.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 12


Stato dell’arte<br />

Stato dell’arte (UNI CEI EN 45020:2007): stadio dello sviluppo, raggiunto in un<br />

determinato momento, dalle capacità tecniche relative a prodotti, processi e<br />

servizi basato su pertinenti scoperte scientifiche, tecnologiche e sperimentali<br />

Solo gli usi dimostrati rientrano nelle regole dell’arte, il che presuppone il<br />

concetto di ripetitività nel tempo, costanza, notorietà e generalità<br />

Un uso rientra nello stato dell’arte quando:<br />

è «conosciuto» dai professionisti ed è possibile attestarne l’esistenza con certezza<br />

è un uso costante che presenta una certa stabilità nel tempo<br />

è un uso generale, che non può essere limitato ad un’unica persona<br />

fa parte di tecniche «attuali», applicate quotidianamente nella prassi industriale, da non<br />

confondere con le tecniche potenziali o sperimentali né con quelle ormai superate<br />

Lo stato dell’arte contempla tutti gli ostacoli, compresi i vincoli economici insiti<br />

nella fabbricazione e nell’impiego di una macchina<br />

I mezzi impiegati in un momento determinato per rispettare gli obblighi di<br />

sicurezza secondo lo stato dell’arte possono non essere più accettabili se<br />

l’evoluzione tecnologica consente di realizzare <strong>macchine</strong> più sicure o di<br />

progettare una macchina diversa e al contempo più sicura per raggiungere lo<br />

stesso obiettivo<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 13


Direttiva 2006/42/CE<br />

Presunzione di conformità & norme armonizzate<br />

Art. 7 § 2<br />

Le <strong>macchine</strong> costruite in conformità di una norma<br />

armonizzata, il cui riferimento è stato pubblicato nella<br />

Gazzetta ufficiale dell'Unione europea, sono presunte<br />

conformi ai requisiti essenziali di sicurezza e di tutela<br />

della salute coperti da tale norma armonizzata.<br />

Art. 7 § 3<br />

La Commissione pubblica nella Gazzetta ufficiale<br />

dell'Unione europea i riferimenti delle norme<br />

armonizzate.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 14


Pubblicazione dei riferimenti alle norme<br />

armonizzate<br />

Sito ufficiale Comunità<br />

Europea sulle direttive<br />

di prodotto che<br />

richiedono la marcatura<br />

CE<br />

www.newapproach.org<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 15


Definizioni<br />

(UNI EN ISO 14121-1:2007 1:2007 & UNI EN ISO 12100-1:2005)<br />

1:2005)<br />

Danno: lesione fisica o danno alla salute<br />

Pericolo: fonte di possibili lesioni fisiche o danni alla salute; il pericolo<br />

considerato in questa definizione:<br />

è presente in modo permanente durante l'uso previsto della macchina<br />

(movimento degli elementi mobili pericolosi, arco elettrico durante la<br />

fase di saldatura, ecc.), o<br />

può manifestarsi in modo inatteso (avviamento imprevisto/inatteso,<br />

ecc.)<br />

Rischio: combinazione di probabilità e di gravità di possibili lesioni o<br />

danni alla salute in una situazione pericolosa<br />

Rischio residuo: rischio che sussiste dopo aver adottato delle misure di<br />

protezione; è possibile distinguere:<br />

rischi residui dopo le misure di protezione realizzate in fase di<br />

progettazione<br />

rischi residui dopo l’attuazione di tutte le possibili misure di protezione<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 16


Definizioni<br />

(UNI EN ISO 14121-1:2007 1:2007 & UNI EN ISO 12100-1:2005)<br />

1:2005)<br />

Uso previsto di una macchina: uso al quale la macchina è destinata in<br />

conformità con le indicazioni fornite dal fabbricante, o che è ritenuto usuale in<br />

relazione alla sua progettazione, costruzione e funzione; l'uso previsto implica<br />

anche il rispetto delle istruzioni tecniche contenute nelle istruzioni per l’uso e la<br />

presa in considerazione dell'uso scorretto che è ragionevole prevedere<br />

Uso ragionevolmente prevedibile: uso della macchina in modo non inteso dal<br />

progettista, ma che può essere facilmente prevedibile<br />

Misura di sicurezza: mezzo per ottenere una riduzione del rischio attuata:<br />

dal progettista della macchina (progettazione intrinsecamente sicura, ripari e<br />

dispositivi di protezione, informazioni per l’uso)<br />

dall’utilizzatore (organizzazione [procedure di lavoro, supervisione], misure di<br />

protezione addizionali, dispositivi di protezione individuali, addestramento)<br />

Informazioni per l'uso:<br />

Informazioni per l'uso: misure di protezione composte da comunicazioni e avvisi<br />

(per esempio testi, parole, segni, segnali, simboli, diagrammi) usati<br />

separatamente o in combinazione per trasmettere informazioni all'utilizzatore<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 17


Che cosa si può «ragionevolmente» prevedere<br />

Dal punto di vista giuridico, per persona «ragionevole» s’intende una<br />

persona dotata di buon senso e di una capacità di comprensione<br />

normale (media)<br />

L’esperienza del servizio di assistenza clienti può essere preziosa per<br />

stabilire il profilo dell’utilizzatore medio<br />

Il fabbricante è tenuto unicamente a prevedere situazioni «ragionevoli»,<br />

ovvero conformi alla razionalità, alla logica, agli usi e al buon senso e, in<br />

quest’ottica, deve rispettare un giusto equilibrio.<br />

Il concetto di «ragionevolmente» prevedibile deve impedire l’irrazionalità<br />

in materia tecnica e qualsiasi ipotesi estrema, del tipo “infilare il gatto<br />

nel forno a microonde”<br />

Le situazioni «ragionevolmente prevedibili» sono fortunatamente meno<br />

numerose di quelle «possibili» che, a loro volta, sono più limitate di<br />

quelle «immaginarie»<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 18


Direttiva 2006/42/CE<br />

Principi generali<br />

I requisiti essenziali di sicurezza e di tutela della<br />

salute elencati nel presente allegato sono<br />

inderogabili. Tuttavia, tenuto conto dello stato della<br />

tecnica, gli obiettivi da essi prefissi possono non<br />

essere raggiunti. In tal caso la macchina deve, per<br />

quanto possibile, essere progettata e costruita per<br />

tendere verso questi obiettivi.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 19


Direttiva 2006/42/CE<br />

Principi generali<br />

Il fabbricante di una macchina, o il suo mandatario, deve garantire che sia<br />

effettuata una valutazione dei rischi per stabilire i requisiti di sicurezza e di tutela<br />

della salute che concernono la macchina. La macchina deve inoltre essere<br />

progettata e costruita tenendo conto dei risultati della valutazione dei rischi.<br />

Con il processo iterativo della valutazione dei rischi e della riduzione dei rischi di<br />

cui sopra, il fabbricante o il suo mandatario:<br />

stabilisce i limiti della macchina, il che comprende l'uso previsto e l'uso<br />

scorretto ragionevolmente prevedibile,<br />

individua i pericoli cui può dare origine la macchina e le situazioni pericolose<br />

che ne derivano,<br />

stima i rischi, tenendo conto della gravità dell'eventuale lesione o danno alla<br />

salute e della probabilità che si verifichi,<br />

valuta i rischi al fine di stabilire se sia richiesta una riduzione del rischio<br />

conformemente all'obiettivo della presente direttiva,<br />

elimina i pericoli o riduce i rischi<br />

elimina i pericoli o riduce i rischi che ne derivano, applicando le misure di<br />

protezione nell'ordine indicato nel §1.1.2, lettera b)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 20


Direttiva 2006/42/CE<br />

Principi di integrazione della sicurezza (§1.1.2 b)<br />

Per la scelta delle soluzioni più opportune il fabbricante o il<br />

suo mandatario deve applicare i seguenti principi,<br />

nell'ordine indicato:<br />

eliminare o ridurre i rischi nella misura del possibile<br />

(integrazione della sicurezza nella progettazione e nella<br />

costruzione della macchina),<br />

adottare le misure di protezione necessarie nei confronti dei<br />

rischi che non possono essere eliminati<br />

informare gli utilizzatori dei rischi residui dovuti all'incompleta<br />

efficacia delle misure di protezione adottate, indicare se è<br />

richiesta una formazione particolare e segnalare se è<br />

necessario prevedere un dispositivo di protezione individuale.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 21


Requisiti essenziali di sicurezza<br />

e di tutela della salute<br />

Allegato I direttiva 2006/42/CE<br />

1. Requisiti essenziali di sicurezza e di tutela della salute<br />

2. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />

talune categorie di <strong>macchine</strong><br />

2.1. Macchine alimentari e <strong>macchine</strong> per prodotti cosmetici e farmaceutici<br />

2.2. Macchine portatili tenute e/o condotte a mano<br />

2.3. Macchine per la lavorazione del legno e di materie con caratteristiche fisiche<br />

simili<br />

3. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />

ovviare ai pericoli dovuti alla mobilità delle <strong>macchine</strong><br />

4. Requisiti essenziali di sicurezza e di tutela della salute per prevenire i<br />

pericoli dovuti ad operazioni di sollevamento<br />

5. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />

le <strong>macchine</strong> destinate ad essere utilizzate nei lavori sotterranei<br />

6. Requisiti essenziali supplementari di sicurezza e di tutela della salute per<br />

le <strong>macchine</strong> che presentano particolari pericoli dovuti al sollevamento di<br />

persone<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 22


Norma per la valutazione dei rischi<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 23


Processo iterativo per ottenere la sicurezza<br />

Avvio<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

Determinazione dei<br />

limiti della macchina<br />

Identificazione del<br />

pericolo<br />

Analisi del<br />

rischio<br />

Stima del rischio<br />

Processo di<br />

valutazione del<br />

rischio<br />

Valutazione del rischio<br />

Il rischio è stato<br />

adeguatamente<br />

ridotto<br />

No<br />

Riduzione del rischio<br />

(UNI EN ISO 12100-<br />

1:2005, punto 5)<br />

Sì<br />

Fine<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 24


Determinazione dei limiti della macchina<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

Limiti d’uso<br />

Diverse modalità di funzionamento e diverse procedure di intervento<br />

L’uso della macchina (ambito industriale o domestico) da parte di<br />

persone diverse (sesso, età,ecc.)<br />

Livello di formazione degli operatori che possono intervenire (operatori di<br />

produzione, manutentori, ecc.)<br />

Esposizione di altre persone ai rischi associati alla macchina, dove<br />

ragionevolmente prevedibile<br />

Operatori nelle vicinanze per altre mansioni<br />

Altro personale nelle vicinanze (poco attento ai possibili rischi)<br />

Limiti di spazio<br />

Posizione dei lavoratori<br />

Interazione e interfacce con la macchina<br />

Limiti di tempo<br />

Tempo di vita della macchina o di alcuni dei suoi componenti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 25


Identificazione dei pericoli<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 26


Identificazione dei pericoli<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 27


Stima del rischio<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 28


Possibilità di neutralizzare o eludere le misure di sicurezza<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

La stima dei rischi deve tener conto degli incentivi a neutralizzare o<br />

eludere le misure di sicurezza, per esempio:<br />

la misura di sicurezza rallenta la produzione, o interferisce con<br />

qualsiasi altra attività o preferenza dell'utilizzatore<br />

la misura di sicurezza è difficile da utilizzare<br />

sono coinvolte persone diverse dall’operatore<br />

La stima dei rischi deve considerare se è possibile mantenere le misure<br />

di sicurezza nella condizione necessaria per fornire il livello di<br />

protezione richiesto<br />

Se non è possibile mantenere facilmente una misura di sicurezza in<br />

un corretto stato di funzionamento, questo può incoraggiare la<br />

neutralizzazione o l’elusione della misura di sicurezza per consentire<br />

di continuare a utilizzare la macchina<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 29


Vincoli nella scelta delle misure di sicurezza da adottare<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

Vincoli tecnici:<br />

non sempre le misure di sicurezza che garantirebbero il massimo<br />

grado di protezione relativamente a un determinato rischio sono<br />

realizzabili sulla macchina in modo ragionevolmente facile<br />

Vincoli economici:<br />

non si può pretendere l'adozione di una misura di sicurezza il cui<br />

costo è spropositato in relazione al valore della macchina oppure che<br />

infici la produttività della macchina in modo da renderne l'utilizzo<br />

economicamente non vantaggioso<br />

Vincoli legati all'usabilit<br />

Vincoli legati all'usabilità della macchina:<br />

della macchina:<br />

le misure di sicurezza adottate devono tenere in considerazione le<br />

necessità dell'operatore di interagire con la macchina e consentire<br />

l'uso della macchina stessa in modo ragionevolmente semplice e<br />

veloce<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 30


Vincoli legati all'usabilità della macchina<br />

Se, per esempio, è necessario intervenire all'interno di una zona<br />

pericolosa racchiusa da protezioni perimetrali dotate di porte<br />

interbloccate a ogni cambio di lavorazione per effettuare le regolazioni<br />

e la messa a punto della macchina:<br />

è possibile consentire il movimento degli organi della macchina solamente con gli<br />

operatori all'esterno delle protezioni perimetrali, garantendo un livello di rischio molto<br />

basso, ma costringendo gli operatori a effettuare una regolazione approssimativa<br />

della macchina, uscire dalle protezioni perimetrali e richiudere le porte interbloccate,<br />

far partire la macchina per effettuare una prova di produzione, arrestare la<br />

macchina, entrare all'interno delle protezioni perimetrali, controllare l'esito della<br />

lavorazione e se non soddisfacente ricominciare da capo<br />

in alternativa è possibile dotare la macchina di una modalità di funzionamento<br />

utilizzabile per le operazioni di regolazione e messa a punto nella quale gli organi di<br />

lavorazione sono azionabili solamente mediante comandi ad azione mantenuta<br />

(ovvero in modo tale che gli elementi in movimento comandati si arrestino al rilascio<br />

degli attuatori di comando), in condizioni di sicurezza maggiorate (per esempio a<br />

velocità lenta) da una postazione di comando portatile che può essere azionata<br />

dall'operatore stesso che si trova all'interno delle protezioni perimetrali ed effettua le<br />

operazioni di regolazione della macchina; in questo modo sono sì presenti rischi<br />

residui dovuti al comando della macchina stando all'interno delle protezioni<br />

perimetrali, ma le operazioni di regolazione sono effettuabili “in tempo reale” facendo<br />

funzionare la macchina e verificando direttamente e immediatamente l'esito della<br />

regolazione e assicurando comunque un sufficiente livello di protezione<br />

dell'operatore che esegue tale operazione<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 31


Direttiva 2006/42/CE<br />

Considerando<br />

(14) I requisiti essenziali di sicurezza e di tutela<br />

della salute dovrebbero essere rispettati al fine di<br />

garantire che la macchina sia sicura; questi<br />

requisiti dovrebbero essere applicati con<br />

discernimento, tenendo conto dello stato dell'arte al<br />

momento della costruzione e dei requisiti tecnici ed<br />

economici<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 32


Raggiungimento di una adeguata riduzione dei rischi<br />

(UNI EN ISO 14121-1:2007)<br />

1:2007)<br />

Si è raggiunta una adeguata riduzione del rischio quando:<br />

tutte le condizioni operative e tutte le procedure di intervento<br />

sulla macchina sono state considerate<br />

i pericoli sono stati eliminati e i rischi ridotti al più basso livello<br />

fattibile<br />

ogni nuovo pericolo introdotto dall'adozione di misure di<br />

protezione è stato adeguatamente tenuto in considerazione<br />

gli utilizzatori siano sufficientemente informati a proposito dei<br />

rischi residui<br />

le varie misure di protezione sono compatibili tra di loro<br />

sono state sufficientemente considerate le conseguenze che<br />

possono derivare dall'uso di una macchina progettata per uso<br />

professionale/industriale in un contesto non professionale/non<br />

industriale<br />

le misure di protezione non influenzano negativamente le<br />

condizioni di lavoro dell'operatore o l'usabilità della macchina<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 33


Guida per la valutazione dei rischi<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 34


Metodi per la valutazione dei rischi<br />

La valutazione dei rischi legati alla macchina dovrebbe essere<br />

effettuata da un gruppo di persone<br />

Tale gruppo di persone deve:<br />

conoscere la macchina nei sui diversi aspetti (meccanici,<br />

elettrici, ecc.) e l’ambiente in cui viene utilizzata;<br />

avere la possibilità di recuperare dati ed informazioni tecniche;<br />

conoscere il ciclo di funzionamento della macchina, comprese<br />

le regolazioni e le manutenzioni previste;<br />

essere a conoscenza di eventuali incidenti (o quasi-incidenti)<br />

pregressi;<br />

saper usare la macchina (quindi conoscere eventuali<br />

comportamenti scorretti prevedibili degli operatori).<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 35


Registrazione delle informazioni<br />

Il processo di identificazione dei pericoli deve essere<br />

documentato utilizzando un sistema organico che comprenda<br />

perlomeno la registrazione delle seguenti informazioni:<br />

il pericolo e la sua collocazione (la zona pericolosa);<br />

la situazione pericolosa, indicando le persone che sono<br />

esposte al pericolo (operatori, manutentori, altre persone) e<br />

l'operazione che li espone al pericolo;<br />

come la situazione pericolosa provoca un danno come<br />

conseguenza di un evento pericoloso oppure di esposizione<br />

prolungata;<br />

eventualmente, la natura e la gravità del danno (conseguenze);<br />

eventualmente, le misure di protezione esistenti e la loro<br />

efficacia.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 36


Metodi per la valutazione dei rischi<br />

Le informazioni da reperire per eseguire l’analisi dei rischi possono essere<br />

molto differenti a seconda della tipologia di <strong>macchine</strong>, in base alla complessità e<br />

all’estensione della macchina e possono richiedere:<br />

Ricerche documentali<br />

Raccolta di dichiarazioni di conformità (per es. recipienti in pressione) e di istruzioni<br />

per l’uso di fornitori, di schede di sicurezza delle sostanze utilizzate, ecc.<br />

Analisi dei disegni di progetto, degli schemi elettrici, pneumatici ed idraulici<br />

Analisi del flusso dei materiali ed eventuali posizioni pericolose per gli operatori<br />

Analisi di <strong>macchine</strong> simili già in servizio<br />

Raccolta di foto e video già presenti in archivio<br />

Storico infortuni, errori di utilizzo, quasi-incidenti<br />

Sopralluoghi<br />

Visite presso il luogo in cui verrà utilizzata la macchina durante le operazioni di<br />

montaggio e messa a punto<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 37


Metodi per l’identificazione l<br />

dei pericoli<br />

Esistono fondamentalmente due possibili approcci al processo di<br />

identificazione dei pericoli:<br />

i metodi deduttivi (top-down) partono dalle possibili conseguenze (per<br />

esempio schiacciamento, taglio, ecc.) e stabiliscono se e cosa può<br />

causare un danno (andando a ritroso dall'evento pericoloso, alla<br />

situazione pericolosa e quindi al pericolo stesso); ogni possibile<br />

conseguenza viene applicata a ogni fase del ciclo di vita della<br />

macchina e a ogni sua parte o funzione e/o ogni operazione svolta su<br />

di essa;<br />

i metodi induttivi (bottom-up) partono dall'elenco dei possibili pericoli<br />

e identificano le possibili circostanze in cui tali pericoli possono<br />

causare un danno, cioè le possibili situazioni pericolose e i possibili<br />

eventi pericolosi; questo approccio può essere più comprensivo e<br />

scrupoloso rispetto ai metodi deduttivi, ma può anche richiedere un<br />

maggiore sforzo e tempo per essere portato a termine.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 38


Metodi per l’identificazione l<br />

dei pericoli<br />

top-down<br />

Danno<br />

Situazione<br />

pericolosa<br />

Evento pericoloso<br />

Zona pericolosa<br />

Presenza di<br />

persone<br />

Pericolo<br />

bottom-up<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 39


Metodi per la stima dei rischi<br />

I metodi per la stima dei rischi possono essere semplici<br />

metodi qualitativi oppure dettagliati metodi quantitativi<br />

La scelta del metodo da utilizzare è più un orientamento<br />

«culturale» che un'esigenza pratica; infatti i vari metodi<br />

sono spesso intercambiabili e combinabili tra di loro<br />

La maggior parte dei metodi per la stima dei rischi<br />

disponibili si basano su uno dei seguenti metodi:<br />

matrici di rischio<br />

grafici di rischio<br />

punteggi numerici<br />

quantificazione<br />

metodi ibridi<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 40


Matrici di rischio<br />

Le matrici di rischio sono tabelle multidimensionali che consentono di combinare classi<br />

di gravità del danno con classi di probabilità di accadimento del danno<br />

Nelle caselle di intersezione di ogni classe di gravità con ogni classe di probabilità<br />

sono contenute le stime del rischio per la situazione pericolosa presa in<br />

considerazione, normalmente espressa con un indice (per esempio da 1 a 6 oppure<br />

da A a D) o in modo qualitativo (per esempio “alto”, “medio” e “basso”)<br />

Un esempio di matrice di rischio è mostrato di seguito, dove le classi di gravità e<br />

probabilità di accadimento del danno possono essere determinate secondo i seguenti<br />

criteri:<br />

gravità del danno<br />

catastrofica: morte o lesione irreversibile (perdita della funzione di parte del corpo,<br />

amputazione)<br />

seria: lesione reversibile grave (recupero della funzione delle parti del corpo offese<br />

solo dopo lungo tempo, recupero non completo della loro funzione)<br />

moderata: lesione reversibile lieve (che richiede un intervento medico ma che<br />

consente il recupero della funzione delle parti del corpo offese dopo un tempo breve)<br />

minore: nessuna lesione oppure lesione reversibile molto lieve (che non richiede un<br />

intervento medico e consente la ripresa pressoché immediata del lavoro)<br />

probabilità di accadimento del danno<br />

molto probabile: quasi certo che accada<br />

probabile: può accadere<br />

poco probabile: è improbabile che accada<br />

remota: quasi impossibile che accada<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 41


Matrici di rischio<br />

Probabilità di<br />

accadimento<br />

dell'evento<br />

pericoloso<br />

Gravità del danno<br />

Catastrofica Seria Moderata Minore<br />

Molto probabile Alto Alto Alto Medio<br />

Probabile Alto Alto Medio Basso<br />

Poco probabile Medio Medio Basso Trascurabile<br />

Remota Basso Basso Trascurabile Trascurabile<br />

Stima del rischio<br />

Alto<br />

Medio<br />

Criterio di accettabilità<br />

Rischio intollerabile<br />

Rischio non desiderabile e tollerabile solamente se la riduzione del rischio non è praticamente<br />

realizzabile oppure se i suoi costi sono sproporzionati rispetto al miglioramento ottenuto<br />

Basso<br />

Rischio tollerabile se i costi della riduzione del rischio sono superiori al miglioramento ottenuto<br />

Trascurabile<br />

Rischio accettabile<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 42


Grafici di rischio<br />

I grafici di rischio sono alberi in cui ogni nodo rappresenta un parametro da cui partono<br />

rami che vengono seguiti a seconda del valore che assume il parametro; al termine<br />

dei rami sono indicate le classi di rischio normalmente espresse con un indice<br />

Un esempio di grafico di rischio è contenuto nella norma UNI EN ISO 13849-1:2008<br />

dove tale metodo viene utilizzato per la determinazione del livello di prestazione<br />

richiesto (PL r ), i criteri di attribuzione dei parametri possono essere i seguenti:<br />

gravità del danno<br />

S1: lesione reversibile di entità lieve (lacerazione, bruciatura, taglio superficiale)<br />

S2: lesione reversibile di entità grave (taglio profondo, frattura, …), lesione<br />

irreversibile (amputazione, …) oppure morte<br />

frequenza e tempo di esposizione al pericolo<br />

F1: frequenza bassa (meno di una volta alla settimana) e/o tempo di<br />

esposizione corto (meno di 30 minuti)<br />

F2: frequenza alta (una volta alla settimana o più) e/o tempo di esposizione<br />

lungo (più di 30 minuti)<br />

possibilità di evitare il pericolo<br />

P1: possibile in determinate condizioni (operazioni eseguite da personale<br />

esperto, velocità di manifestazione del pericolo bassa, pericolo evidente)<br />

P2: scarsamente possibile (operazioni eseguite da personale non specializzato,<br />

velocità di manifestazione del pericolo alta, pericolo non evidente)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 43


Grafici di rischio<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

P1<br />

P2<br />

S1<br />

S2<br />

F1 a b<br />

F2 b c<br />

F1 c d<br />

F2 d e<br />

Matrice di rischio equivalente<br />

al grafico di rischio<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 44


Punteggi numerici<br />

I metodi che si basano su punteggi numerici raggruppano i parametri da valutare<br />

in classi, in modo analogo a quanto accade per le matrici o i grafici di rischio; in<br />

questo caso però ai parametri vengono assegnati punteggi numerici (per<br />

esempio da 1 a 20) e non termini descrittivi; i punteggi dei vari parametri<br />

vengono quindi combinati tra di loro per ottenere la classificazione complessiva<br />

del rischio<br />

Un esempio di metodo che utilizza punteggi numerici può essere il seguente:<br />

punteggio di gravità (PG)<br />

catastrofica: morte o lesione irreversibile (perdita della funzione di parte del corpo)<br />

[PG ≥ 100]<br />

seria: lesione reversibile grave (recupero della funzione delle parti del corpo offese<br />

solo dopo lungo tempo oppure recupero non completo) [99 ≥ PG ≥ 90]<br />

moderata: lesione reversibile lieve (che richiede un intervento medico ma che<br />

consente il recupero della funzione delle parti del corpo offese dopo un tempo breve)<br />

[89 ≥ PG ≥ 30]<br />

minore: nessuna lesione oppure lesione reversibile molto lieve (che non richiede un<br />

intervento medico e consente la ripresa pressoché immediata del lavoro)<br />

[29 ≥ PG ≥ 0]<br />

punteggio di probabilità (PP)<br />

molto probabile: quasi certo che accada [PP ≥ 100]<br />

probabile: può accadere [99 ≥ PG ≥ 70]<br />

poco probabile: è improbabile che accada [69 ≥ PG ≥ 30]<br />

remota: quasi impossibile che accada [29 ≥ PG ≥ 0]<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 45


Punteggi numerici<br />

Il punteggio di rischio (PR) può essere ottenuto come somma dei due<br />

punteggi:<br />

PR = PG + PP<br />

Categoria<br />

Valore del punteggio di<br />

rischio<br />

Alto PR ≥ 160<br />

Medio 159 ≥ PR ≥ 120<br />

Basso 119 ≥ PR ≥ 90<br />

Trascurabile 89 ≥ PR ≥ 0<br />

Un vantaggio dei metodi basati sui punteggi numerici è la possibilità di<br />

pesare differentemente i vari parametri presi in considerazione, per<br />

esempio moltiplicando ogni parametro per un diverso fattore<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 46


Quantificazione<br />

La stima dei rischi quantitativa consiste nel calcolo<br />

matematico — il più accurato possibile tenendo conto dei dati<br />

disponibili — della probabilità dell'accadimento di un determinato<br />

evento in un periodo di tempo definito; la stima dei rischi<br />

quantitativa permette al rischio calcolato di essere confrontato<br />

con indici statistici quali il numero di incidenti per anno di un<br />

determinato tipo su una specifica macchina<br />

La principale difficoltà nell'effettuare una stima dei rischi<br />

quantitativa consiste nella scarsità dei dati di partenza su cui<br />

basare la stima, soprattutto in termini di dati divisi per gravità e<br />

probabilità di accadimento del danno; inoltre lo sforzo e il tempo<br />

richiesti per eseguire la stima sono estremamente elevati<br />

Un'altra criticità nell'applicazione di questo tipo di metodi<br />

consiste nella valutazione dell'incertezza associata ai dati di<br />

partenza e nella determinazione di come questa incertezza si<br />

propaga attraverso l'algoritmo di calcolo e quindi nei risultati<br />

ottenuti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 47


Metodi ibridi<br />

I metodi ibridi combinano due o più dei metodi esposti<br />

sopra, prendendo da ognuno di essi alcuni elementi<br />

che più si adattano al processo di stima dei rischi che<br />

si vuole seguire<br />

Per esempio si possono utilizzare matrici di rischio in<br />

cui ad alcuni parametri viene assegnato un punteggio<br />

numerico<br />

Un esempio di metodo ibrido è contenuto nella norma<br />

CEI EN 62061:2005 dove tale metodo viene utilizzato<br />

per la determinazione del livello di integrità della<br />

sicurezza richiesto (SILCL)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 48


Metodi ibridi<br />

CEI EN 62061:2005<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 49


Metodi ibridi<br />

CEI EN 62061:2005<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 50


Direttiva 2006/42/CE<br />

<strong>Sicurezza</strong> ed affidabilità dei sistemi di comando (§1.2.1)(<br />

I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di<br />

situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che:<br />

resistano alle previste sollecitazioni di servizio e agli influssi esterni,<br />

un'avaria nell'hardware o nel software del sistema di comando non crei situazioni<br />

pericolose,<br />

errori della logica del sistema di comando non creino situazioni pericolose,<br />

errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose.<br />

Particolare attenzione richiede quanto segue:<br />

la macchina non deve avviarsi in modo inatteso,<br />

i parametri della macchina non devono cambiare in modo incontrollato, quando tale<br />

cambiamento può portare a situazioni pericolose,<br />

non deve essere impedito l'arresto della macchina, se l'ordine di arresto è già stato dato,<br />

nessun elemento mobile della macchina o pezzo trattenuto dalla macchina deve cadere o<br />

essere espulso,<br />

l'arresto manuale o automatico degli elementi mobili di qualsiasi tipo non deve essere<br />

impedito,<br />

i dispositivi di protezione devono rimanere pienamente efficaci o dare un comando di<br />

arresto,<br />

le parti del sistema di controllo legate alla sicurezza si devono applicare in modo coerente<br />

all'interezza di un insieme di <strong>macchine</strong> e/o di quasi <strong>macchine</strong>.<br />

In caso di comando senza cavo deve essere attivato un arresto automatico quando non si<br />

ricevono i segnali di comando corretti, anche quando si interrompe la comunicazione.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 51


Sistemi di comando aventi funzioni di sicurezza<br />

Le parti dei sistemi di comando aventi funzioni di sicurezza devono garantire una sufficiente<br />

resistenza ai guasti da assicurare lo svolgimento della funzione di sicurezza anche in presenza<br />

di anomalie; a tale proposito possono essere utilizzate tecniche quali:<br />

uso di componenti «affidabili» o «ben collaudati», ovvero la cui probabilità di guasto è bassa;<br />

uso di componenti a «modo di guasto orientato», cioè che in caso di guasto normalmente si<br />

vengono a trovare in uno stato che assicura comunque che la funzione di sicurezza venga<br />

svolta (per esempio sensori che arrestano la macchina quando aprono il circuito elettrico e<br />

che normalmente si guastano interrompendo il circuito);<br />

applicazione della «ridondanza» dei componenti o dei sotto sistemi e del loro<br />

«monitoraggio», ovvero la strutturazione del sistema di comando in modo che in caso di<br />

anomalia in una parte del sistema un'altra parte svolga la stessa funzione e che il corretto<br />

funzionamento di parti del sistema di comando venga tenuto sotto controllo in modo che al<br />

presentarsi di un'anomalia venga attivata una funzione che assicuri comunque il<br />

funzionamento sicuro della macchina;<br />

utilizzo della «diversità»<br />

à», cioè di tecniche differenti in più parti del sistema di comando in<br />

modo da minimizzare la probabilità che più componenti o parti del sistema si guastino per<br />

una stessa causa; per esempio nell'ambito di un circuito elettrico si possono usare<br />

combinazioni di contatti normalmente aperti e normalmente chiusi, oppure in un sistema<br />

logico programmabile due CPU di costruttori diversi, oppure ancora un sistema di comando<br />

può essere la combinazione di parti elettriche e parti pneumatiche.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 52


Funzioni di sicurezza<br />

UNI EN ISO 13849-1:2008,<br />

1:2008, §5.2<br />

Arresto di sicurezza (interblocchi di ripari, arresto di<br />

emergenza, ecc.)<br />

Ripristino manuale<br />

Avvio / riavvio<br />

Controllo locale<br />

Inibizione dei dispositivi di sicurezza (muting)<br />

Tempo di risposta<br />

Parametri correlati alla sicurezza (velocità, pressione,<br />

temperatura, flusso d’aria, finecorsa, ecc.)<br />

Fluttuazione, mancanza e ripristino delle alimentazioni<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 53


Direttiva 2006/42/CE<br />

Allegato V<br />

Elenco indicativo dei componenti di sicurezza di cui all’art.<br />

2 lettera C [estratto]<br />

Dispositivi di protezione per rilevare la presenza di persone<br />

Blocchi logici per assicurare funzioni di sicurezza<br />

Valvole dotate di mezzi ausiliari per il rilevamento di guasti<br />

destinate ad essere utilizzate per il comando dei movimenti<br />

pericolosi delle <strong>macchine</strong><br />

Sistemi di estrazione per le emissioni delle <strong>macchine</strong><br />

Ripari e dispositivi di protezione destinati a proteggere le<br />

persone esposte contro le parti mobili coinvolte nel processo<br />

di lavorazione delle <strong>macchine</strong><br />

Dispositivi di arresto di emergenza<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 54


Perché due nuove norme<br />

La norma EN 954-1 è stata sostituita in quanto<br />

mancante di una valutazione probabilistica della<br />

prestazioni dei sistemi di comando e controllo per<br />

la sicurezza delle <strong>macchine</strong>.<br />

Le norme EN 62061 ed EN ISO 13849-1<br />

rispondono a questa esigenza con l'introduzione di<br />

misure concrete e di parametri di riferimento per<br />

valutare le prestazioni dei dispositivi in termini di<br />

affidabilità, copertura diagnostica, immunità in<br />

relazione a una particolare architettura del sistema<br />

di controllo.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 55


Campo di applicazione della UNI EN ISO 13849-1:2008<br />

1:2008<br />

La prima parte della norma UNI EN ISO 13849 fornisce i requisiti di<br />

sicurezza ed i principi per la progettazione e l'integrazione delle parti<br />

relative alla sicurezza dei sistemi di controllo (SRP/CS), compresa la<br />

progettazione del software.<br />

Per queste parti del SRP/CS specifica le caratteristiche, che includono il<br />

livello di prestazione (PL), necessarie per l'espletamento di funzioni di<br />

sicurezza.<br />

Essa si applica a SRP/CS, indipendentemente dal tipo di tecnologia o<br />

energia utilizzata (elettrica, idraulica, pneumatica, meccanica, ecc.), per<br />

tutti i tipi di <strong>macchine</strong>.<br />

La norma UNI EN ISO 13849-1:2008 prevede, inoltre, specifici requisiti<br />

per SRP/CS che utilizzano sistemi elettronici programmabili<br />

sistemi elettronici programmabili.<br />

Essa non fornisce i requisiti specifici per la progettazione di prodotti che<br />

sono parti del SRP/CS; tuttavia i principi dati, come categorie o livelli di<br />

prestazione, possono essere usati.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 56


Campo di applicazione della CEI EN 62061:2005<br />

La norma CEI EN 62061:2005 specifica i requisiti e le raccomandazioni per la<br />

progettazione, integrazione e convalida dei requisiti relativi alla sicurezza di<br />

sistemi elettrici, elettronici ed elettronici programmabili (SRECS) per le<br />

<strong>macchine</strong>.<br />

Tale norma:<br />

si riferisce esclusivamente alle prescrizioni per la sicurezza funzionale,<br />

destinate a ridurre il rischio di lesioni o di danni alla salute di persone nelle<br />

immediate vicinanze della macchina o direttamente coinvolte nell’uso della<br />

macchina;<br />

è limitata ai rischi direttamente derivanti dai pericoli della macchina stessa o<br />

di un gruppo di <strong>macchine</strong> che operano insieme in modo coordinato;<br />

non specifica prescrizioni per le prestazioni di elementi di controllo non<br />

elettrici (ad esempio idraulici o pneumatici) di <strong>macchine</strong>;<br />

non tratta i rischi elettrici derivanti dalla stessa apparecchiatura di controllo<br />

(per esempio elettrocuzione; vedere CEI EN 60204-1:2006)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 57


Approccio deterministico vs approccio<br />

probabilistico<br />

Deterministico: si basa sul fatto che la progettazione<br />

del sistema sia corretta<br />

Probabilistico: si basa sulla probabilità statistica di<br />

occorrenza di un evento non voluto o di un guasto<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 58


Applicazione raccomandata delle norme<br />

CEI EN 62061:2005 & UNI EN ISO 13849-1:2008<br />

1:2008<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 59


Definizioni<br />

Sistema di controllo legato alla sicurezza SRP/CS (Safety Related d part of<br />

Control System): parte di un sistema di controllo che risponde a segnali di<br />

ingresso legati alla sicurezza e genera dei corrispondenti segnali di uscita legati<br />

alla sicurezza<br />

Sistema elettrico di controllo relativo alla sicurezza SRECS (Safety Related<br />

Electronic Control System): sistema elettrico di controllo di una macchina il cui<br />

guasto può produrre un immediato aumento del rischio<br />

Funzione di controllo relativa alla sicurezza SRFC (Safety Related ed Function<br />

Control): funzione di controllo, realizzata da uno SRECS con un livello di<br />

integrità specificato, destinata a mantenere la condizione di sicurezza della<br />

macchina, o a evitare un immediato aumento del o dei rischi<br />

Categoria: classificazione delle parti dei sistemi di controllo legate alla sicurezza<br />

in riferimento alla loro resistenza ai guasti ed il loro conseguente<br />

comportamento in condizioni di guasto e che è ottenuta dalla disposizione<br />

strutturale dei componenti, dall’individuazione dei guasti e/o dall’affidabilità<br />

Probabilità di guasti pericolosi all’ora PFH D<br />

(Probably of Dangerous Failure per<br />

Hour):<br />

probabilità media di un guasto pericoloso in un’ora.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 60


Definizioni<br />

Avaria (Fault): stato di un'entità caratterizzato dall'incapacità di eseguire una<br />

funzione richiesta, esclusa l'inabilità durante la manutenzione preventiva o<br />

durante altre azioni programmate o dovuta alla mancanza di mezzi esterni.<br />

Un'avaria è spesso il risultato di un guasto dell'entità stessa, ma può esistere anche<br />

senza un precedente guasto.<br />

Guasto (Failure): cessazione dell'attitudine di una entità ad eseguire la funzione<br />

richiesta.<br />

A seguito del guasto, questa entità è in avaria.<br />

Il “guasto” è un evento da uno stato ad un altro, l’“avaria” è uno stato.<br />

Nella pratica spesso i termini avaria e guasto sono utilizzati come sinonimi.<br />

Questo concetto, così definito, non si applica ad entità composte unicamente da<br />

software.<br />

Guasto di causa comune CCF (Common Cause Failure): guasto di diverse entità,<br />

risultato di un singolo evento, dove un guasto non è conseguenza di altri guasti.<br />

Tolleranza all’avaria avaria FT (Fault Tolerance): capacità di uno SRECS, di un<br />

sottosistema, o di un elemento di quest’ultimo di continuare a eseguire una<br />

funzione richiesta in presenza di avarie o guasti.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 61


Definizioni<br />

Livello di prestazione PL (Performance Level): livello discreto usato per specificare<br />

l’abilità di un sistema di controllo legato alla sicurezza di effettuare una funzione di<br />

sicurezza in determinate condizioni.<br />

Livello di prestazione richiesto PL r (Performance Level required): Livello di<br />

prestazione (PL) applicato in modo da raggiungere i requisiti richiesti per quanto<br />

riguarda la riduzione dei rischi.<br />

Tempo medio ad un guasto pericoloso MTTF d (Mean Time to Dangerous Failure):<br />

tempo medio al verificarsi di un guasto pericoloso.<br />

Copertura diagnostica DC (Diagnostic Coverage): misura dell’efficacia della<br />

diagnostica, che può essere determinata come il rapporto tra la probabilità di guasto<br />

dei guasti pericolosi diagnosticabili e la probabilità totale di occorrenza dei guasti<br />

pericolosi.<br />

Livello di integrità della sicurezza SIL (Safety Integrity Level): livello discreto usato<br />

per specificare l’integrità delle funzioni di sicurezza eseguite da sistemi elettrici,<br />

elettronici ed elettronici programmabili, dove 4 è il più alto livello di integrità mentre 1<br />

è il più basso.<br />

Funzione di sicurezza:<br />

Funzione di sicurezza: funzione di una macchina il cui guasto può provocare un<br />

immediato aumento del o dei rischi.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 62


PL vs SIL<br />

SIL<br />

IEC 61508<br />

no<br />

equivalent<br />

1 2 3 (4)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 63


PL vs SIL<br />

Il livello PL a non ha nessuna corrispondenza con il SIL ed è utilizzato<br />

per ridurre rischi aventi conseguenze lievi e normalmente reversibili. Il<br />

livello di SIL 4 è dedicato a eventi potenzialmente catastrofici<br />

nell’industria di processo, questo livello non è mai richiesto per le<br />

<strong>macchine</strong>. Per questo il livello di PL e corrisponde al SIL 3 ed è<br />

considerato il livello maggiore.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 64


Misure protettive per la riduzione del rischio<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Le misure protettive per la riduzione del rischio che<br />

dovrebbero essere applicate sono:<br />

riduzione della probabilità di guasti a livello dei componenti;<br />

lo scopo è quello di ridurre la probabilità di guasti che<br />

possano compromettere le funzioni di sicurezza; ciò può<br />

essere fatto aumentando l’affidabilità dei componenti, per<br />

esempio con la selezione di componenti testati o progettati<br />

secondo metodologie comprovate in modo da ridurre o<br />

escludere guasti critici<br />

miglioramento della struttura del SRP/CS; lo scopo è quello<br />

di evitare gli effetti pericolosi di un guasto; alcuni guasti<br />

possono essere rilevati e per questo scopo può essere utile<br />

l’utilizzo di una struttura ridondante e/o monitorata<br />

Entrambe queste soluzioni possono essere applicate<br />

singolarmente o in modo combinato<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 65


Grafico per la determinazione del PL r per la funzione di sicurezza<br />

UNI EN ISO 13849-1:2008<br />

1:2008 – Allegato A<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 66


Guida alla scelta dei parametri S, F e P per la stima del rischio<br />

UNI EN ISO 13849-1:2008<br />

1:2008 – Allegato A<br />

Gravità della lesione S1 e S2<br />

Nello stimare il rischio dovuto al guasto di una funzione di sicurezza,<br />

vengono considerati sia le lesioni minori (normalmente reversibili) che<br />

quelle più serie (normalmente irreversibili o fatali).<br />

Per prendere una decisione sulla scelta di S1 e S2 è necessario tenere<br />

conto delle normali conseguenze delle lesioni in esame. Per esempio<br />

bruciature o lacerazioni verranno classificate come S1, amputazioni o<br />

morte come S2.<br />

Frequenza e tempo di esposizione al pericolo F1 e F2<br />

In generale non è possibile stabilire un periodo di tempo specifico per<br />

la determinazione di F1 e F2.<br />

In ogni caso F2 dovrebbe essere selezionato se la persona è<br />

frequentemente o continuamente esposta al pericolo.<br />

Il periodo di esposizione dovrebbe essere valutato in base ad una<br />

media relativa al tempo totale con il quale il macchinario è utilizzato.<br />

Per esempio, se è necessario raggiungere spesso l’utensile in<br />

lavorazione per delle regolazioni, sarà necessario selezionare F2. Se<br />

questo accesso è saltuario dovrà essere selezionato F1.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 67


Guida alla scelta dei parametri S, F e P per la stima del rischio<br />

UNI EN ISO 13849-1:2008<br />

1:2008 – Allegato A<br />

Possibilità di evitare un pericolo P1 e P2<br />

È importante sapere se un pericolo può essere individuato ed evitato<br />

prima dell’incidente. Per esempio, un’importante considerazione è se il<br />

pericolo può essere fisicamente individuato o riconosciuto solamente<br />

tramite mezzi tecnici quali indicatori.<br />

Altri aspetti importanti per la selezione di P possono essere:<br />

operazioni con o senza supervisione;<br />

operazioni eseguite da esperti o da personale non specializzato;<br />

velocità alla quale si presenta il pericolo (ad esempio alta o bassa);<br />

possibilità di evitare il pericolo (ad esempio vie di fuga);<br />

esperienze pratiche di sicurezza sul processo.<br />

Al presentarsi di una situazione pericolosa, P1 dovrebbe essere scelto<br />

solo se c’è una reale possibilità di evitare il pericolo o di ridurre i suoi<br />

effetti; P2 dovrebbe essere scelto se invece non ci sono praticamente<br />

possibilità di evitare il pericolo.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 68


Tempo medio ad un guasto pericoloso (MTTF d )<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Il valore del MTTF d<br />

per ogni canale è espresso in tre livelli (vedi tabella);<br />

dovrebbero essere tenuti in considerazione i valori di ogni canale preso<br />

singolarmente (ad esempio singolo canale oppure ogni canale di un sistema<br />

ridondante).<br />

Per il MTTF d<br />

, viene preso in considerazione un tempo massimo di 100 anni.<br />

Per la stima del MTTF d<br />

di un componente, si possono utilizzare, nell’ordine<br />

dato, i seguenti criteri:<br />

utilizzare i dati forniti dal costruttore;<br />

utilizzare uno dei metodi esposti negli allegati C e D;<br />

scegliere un tempo di 10 anni.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 69


Calcolo e valutazione del MTTF d<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato C<br />

Se i seguenti criteri sono soddisfatti, i valori di MTTF d o di B 10d dei<br />

componenti possono essere stimati dalle tabelle seguenti.<br />

I componenti sono costruiti in accordo con i principi base di sicurezza<br />

e in accordo con la norma UNI EN ISO 13849-2:2008, o altre norme<br />

ad essi applicabili; per conferma vedere le caratteristiche tecniche dei<br />

componenti dichiarate dai fabbricanti;<br />

Il costruttore dei componenti deve specificare l’applicazione<br />

appropriata e le condizioni operative ottimali.<br />

Il progetto del SRP/CS segue i principi basilari di sicurezza in<br />

accordo con la norma UNI EN ISO 13849-2:2008, per<br />

l’implementazione e l’utilizzo del componente.<br />

Se queste condizioni non vengono soddisfatte, il valore di MTTF d deve<br />

essere fornito dal costruttore.<br />

Metodi di calcolo e valutazione del MTTF d per tipologie di componenti<br />

(meccanici, idraulici, pneumatici, elettromeccanici, elettrici, componenti<br />

passivi) sono riportati nell’allegato C della norma UNI EN ISO 13849-<br />

2:2008.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 70


Calcolo e valutazione del MTTF d<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato C<br />

B 10d è il numero di cicli in cui il 10% dei componenti si guasta pericolosamente<br />

dove n op è il numero di operazioni all’anno<br />

Se viene fornito solamente il valore di B 10 , si raccomanda (se non diversamente<br />

giustificato, ad esempio nel caso di componenti con modo di guasto orientato) di<br />

considerare il 50% di guasti pericolosi, ovvero B 10d = 2 × B 10<br />

Il tempo medio entro il quale il 10% dei componenti si guasta pericolosamente è dato da<br />

La relazione con il tempo medio al guasto pericoloso è la seguente<br />

Il tempo di utilizzo non dovrebbe essere superiore al minimo valore di T 10d dei componenti<br />

utilizzati per funzioni di sicurezza<br />

Il manuale di istruzioni della macchina dovrebbe prescrivere la sostituzione dei<br />

componenti utilizzati per funzioni di sicurezza alla scadenza del tempo di utilizzo<br />

considerato o una volta trascorso il T 10d , utilizzando il minore dei due valori<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 71


Esempi di valutazione del MTTF d<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato C<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 72


Norme che trattano MTTF d<br />

o B 10d dei componenti<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato C<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 73


Norme che trattano MTTF d<br />

o B 10d dei componenti<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato C<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 74


Metodo semplificato per la stima del MTTF d<br />

per ogni canale<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato D<br />

Il valore di MTTF d di tutti i singoli componenti che compongono un<br />

canale sono usati nel calcolo<br />

MTTF d è quello complessivo dell’intero canale<br />

MTTF di , MTTF dj è il MTTF d di ogni componente che da un contributo<br />

nell’esecuzione della funzione di sicurezza<br />

La prima somma è quella con tutti i componenti separatamente; la<br />

seconda è quella in cui gli n j componenti simili con MTTF dj identici<br />

sono raggruppati assieme.<br />

In alternativa è possibile calcolare direttamente il valore di PFH D (ad<br />

esempio nel caso in cui tale dato viene fornito direttamente dal<br />

costruttore, come può capitare per i PLC di sicurezza)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 75


Metodo semplificato per la stima del MTTF d<br />

per ogni canale<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato D<br />

MTTF d<br />

per diversi canali, simmetrizzazione del MTTF d<br />

per ogni canale<br />

Le architetture predefinite mostrate nella norma UNI EN ISO 13849-1:2008<br />

assumono il fatto che per diversi canali di un SRP/CS ridondante, il valore del<br />

MTTF d è lo stesso per ogni canale.<br />

Se il MTTF d dei canali differisce, ci sono due possibilità:<br />

deve essere tenuto conto il valore più basso come assunzione del caso peggiore;<br />

la seguente equazione può essere usata per stimare il valore di MTTF d<br />

assumibile per ogni canale:<br />

dove MTTF d C1 e MTTF d C2 sono i due valori dei canali ridondanti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 76


Copertura diagnostica (DC)<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Il valore di DC viene espresso in quattro livelli (vedi tabella).<br />

Per la stima di DC, nella maggior parte dei casi la failure mode and<br />

effects analysis (FMEA) o metodi simili possono essere utili. In questo<br />

caso tutti i guasti rilevanti o i modi di guasto possono essere<br />

considerati e il PL della combinazione di SRP/CS può essere<br />

confrontato con quello richiesto (PL r ).<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 77


Criteri di stima della copertura diagnostica media<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato E<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 78


Calcolo della copertura diagnostica media (DC avg<br />

UNI EN ISO 13849-1:2008<br />

1:2008 – Allegato E<br />

In molti sistemi possono essere utilizzate parecchie misure per il rilevamento<br />

dei guasti. Queste misure possono controllare diverse parti del SRP/CS e<br />

avere diverse DC. Per una stima del PL utilizzando i metodi semplificati è<br />

possibile utilizzare un solo valore di DC medio per il SRP/CS nel suo insieme.<br />

La DC può essere determinata come rapporto tra il tasso dei guasti pericolosi<br />

rilevati e quello di tutti i guasti pericolosi. In accordo con questa definizione<br />

può essere stimata una copertura diagnostica media (DC avg<br />

):<br />

avg )<br />

Tutti i componenti del SRP/CS a cui è stata applicata l’esclusione dei guasti<br />

vanno considerati e sommati. Per ogni blocco si deve considerare sia il<br />

MTTF d<br />

che la DC.<br />

Componenti senza rilevamento dei guasti (ovvero che non vengono<br />

controllati) hanno DC = 0 e contribuiscono solo al denominatore nel calcolo<br />

della DC avg<br />

.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 79


Procedura semplificata per la stima del PL<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Per una stima più semplice del PL possono essere fatte le seguenti assunzioni<br />

se l’architettura utilizzata rientra in quelle riportate al §6.2 della norma UNI EN<br />

ISO 13849-1:2008:<br />

un tempo di utilizzo di 20 anni;<br />

un tasso di guasto costante per tutto il periodo di utilizzo;<br />

per una categoria 2, un rapporto r d<br />

≤ 1/100 r t<br />

;<br />

per una categoria 2 un MTTF d,TE<br />

maggiore della metà del MTTF d,L<br />

.<br />

MTTF d,TE<br />

= MTTF d<br />

del componente che esegue il test per la rilevazione dei<br />

guasti<br />

MTTF d,L<br />

= MTTF d<br />

del componente che esegue le funzioni del SRP/CS<br />

La metodologia considera le categorie come delle architetture con un definito<br />

DC avg<br />

. Il PL di ogni SRP/CS dipende dall’architettura, dal MTTF d<br />

per ogni canale<br />

e dal DC avg<br />

.<br />

Nel caso di architetture con PL r<br />

da a a c, le misure per evitare i guasti possono<br />

essere sufficienti; per applicazioni con rischi maggiori, PL r<br />

da d a e, la struttura<br />

del SRP/CS deve prevedere misure per evitare, individuare e tollerare i guasti.<br />

Misure pratiche includono la ridondanza, la diversità e il monitoraggio.<br />

Per le categorie 2, 3 e 4, devono essere previste sufficienti misure per la<br />

riduzione dei guasti di causa comune.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 80


Procedura semplificata per la stima del PL<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

MTTF d<br />

basso<br />

MTTF d<br />

medio<br />

MTTF d<br />

alto<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 81


Stima numerica del PL<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato K<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 82


Stima numerica del PL<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato K<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 83


Architetture predefinite<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Le architetture predefinite non devono essere<br />

considerate solamente come schemi fisici, ma anche<br />

come schemi logici. Per le categorie 3 e 4 ciò significa<br />

che non tutte le parti devono essere necessariamente<br />

fisicamente ridondanti, ma che ci sono mezzi<br />

ridondanti per assicurare che un guasto non porti ad<br />

una perdita della funzione di sicurezza.<br />

Anche se la varietà delle strutture possibili è alta, i<br />

concetti di base sono spesso simili. Quindi la maggior<br />

parte delle strutture presenti nel campo delle<br />

<strong>macchine</strong> possono essere ricondotte ad una delle<br />

categorie.<br />

Progettazioni che soddisfano le caratteristiche di una<br />

categoria generalmente sono equivalenti<br />

all’architettura predefinita della categoria.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 84


Architetture predefinite<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Le categorie sono i parametri base usati per raggiungere uno<br />

specifico PL. Indicano il comportamento del SRP/CS rispetto alla sua<br />

resistenza ai guasti in base alle considerazioni di progettazione.<br />

La categoria B è la categoria base. La presenza di un guasto porta<br />

alla perdita della funzione di sicurezza.<br />

Nella categoria 1 una migliore resistenza ai guasti viene raggiunta<br />

tramite la selezione e l’utilizzo di componenti.<br />

Nelle categorie 2, 3 e 4, un miglioramento delle prestazioni per una<br />

determinata funzione di sicurezza viene raggiunto fondamentalmente<br />

migliorando la struttura del SRP/CS.<br />

Nella categoria 2 questo viene ottenuto mediante un controllo periodico<br />

che una specifica funzione di sicurezza è funzionante.<br />

Nelle categorie 3 e 4 questo viene ottenuto assicurando che un guasto<br />

singolo non porti alla perdita della funzione di sicurezza.<br />

Nella categoria 4, e dove è ragionevolmente possibile nella categoria 3, il<br />

guasto viene rilevato.<br />

La categoria 4 assicura la resistenza all’accumulo di guasti.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 85


Categoria B<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Il SRP/CS deve, come minimo, essere progettato, costruito, scelto,<br />

montato e combinato in conformità alle norme relative, utilizzando i<br />

princìpi pi di sicurezza di base per la specifica applicazione, in modo che<br />

possano sopportare:<br />

le sollecitazioni di funzionamento previste, per esempio l'affidabilità in<br />

relazione alla capacità e alla frequenza di rottura<br />

l'influenza del materiale elaborato, per esempio i detergenti in una<br />

lavatrice<br />

altre influenze esterne correlate, per esempio vibrazioni meccaniche,<br />

campi esterni, interruzioni dell'alimentazione di energia o disturbi<br />

Le strutture di categoria B sono normalmente sistemi a canale singolo<br />

DC avg<br />

MTTF d<br />

CCF<br />

PL max<br />

Nessuna<br />

Medio-basso<br />

Non rilevante<br />

b<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 86


Categoria 1<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Si devono applicare i requisiti della categoria B e in aggiunta quanto di seguito indicato<br />

Gli SRP/CS di categoria 1 devono essere progettati e costruiti utilizzando componenti e<br />

princìpi pi di sicurezza ben collaudati<br />

Un componente ben collaudato per un'applicazione legata alla sicurezza è un<br />

componente che:<br />

a) è stato largamente usato nel passato con risultati positivi in applicazioni simili, oppure<br />

b) è stato prodotto e collaudato utilizzando princìpi che dimostrano la sua idoneità e<br />

affidabilità per le applicazioni legate alla sicurezza<br />

Componenti e princìpi di sicurezza sviluppati di recente possono essere considerati<br />

equivalenti ai “ben collaudati” se soddisfano i requisiti di b)<br />

La decisione di accettare un particolare componente come ben collaudato può dipendere<br />

dall'applicazione<br />

Componenti elettronici complessi (ad esempio PLC, microprocessori, circuiti integrati<br />

specifici per l’applicazione) non possono essere considerati equivalenti ai “ben collaudati”<br />

Le strutture di categoria 1 sono normalmente sistemi a canale singolo<br />

DC avg<br />

MTTF d<br />

CCF<br />

PL max<br />

Nessuna<br />

Alto<br />

Non rilevante<br />

c<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 87


Categoria 1<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Quando si ha un guasto si può avere la perdita della funzione di<br />

sicurezza. Tuttavia, il MTTF d di ogni canale della categoria 1 è<br />

maggiore di quello di categoria B. Conseguentemente anche la<br />

perdita della funzione di sicurezza è meno probabile.<br />

È importante fare una distinzione tra “componenti ben collaudati”<br />

e “esclusione dei guasti”. La qualifica di un componente ben<br />

collaudato dipende dalla sua applicazione. L’esclusione di un<br />

guasto può portare ad avere un PL molto alto, ma le misure per<br />

poter escludere quel tipo di guasto devono essere mantenute<br />

durante tutto il ciclo di vita del componente. Per assicurare ciò,<br />

possono essere necessarie misure addizionali al di fuori del<br />

sistema di controllo, per esempio:<br />

misure per assicurare il fissaggio di un interruttore dopo la sua<br />

messa a punto,<br />

misure per assicurare il fissaggio della camme,<br />

misure per la protezione contro danneggiamenti esterni.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 88


Categoria 2<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Per la categoria 2, si applicano i requisiti della categoria B, l'uso dei princìpi di<br />

sicurezza ben collaudati e in aggiunta quanto di seguito indicato<br />

Il SRP/CS di categoria 2 deve essere progettato in modo che le sue funzioni<br />

vengano verificate ad opportuni intervalli dal sistema di comando della<br />

macchina<br />

La verifica delle funzioni di sicurezza deve essere effettuata<br />

all'avviamento della macchina e<br />

prima del verificarsi di qualsiasi situazione pericolosa, ad esempio all’avvio di ogni<br />

nuovo ciclo di lavoro, e/o periodicamente durante il funzionamento se la<br />

valutazione dei rischi e il tipo di operazioni dimostrano che è necessario<br />

DC avg<br />

MTTF d<br />

CCF<br />

PL max<br />

Medio-bassa<br />

Da alto a basso<br />

Rilevante<br />

d<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 89


Categoria 2<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

L'attuazione di questa verifica può essere automatica<br />

Qualsiasi verifica delle funzioni di sicurezza deve:<br />

consentire il funzionamento se non sono stati rilevati guasti, oppure<br />

generare un segnale che attivi un'opportuna azione di comando se è stato rilevato un<br />

guasto<br />

Ogniqualvolta sia possibile, tale segnale deve portare ad una situazione sicura; questa<br />

situazione sicura deve essere mantenuta finché il guasto non viene eliminato<br />

Se non è possibile attivare una situazione sicura (per esempio a causa della saldatura<br />

del contatto nell'interruttore finale), il segnale deve fornire un avvertimento del pericolo<br />

La verifica in sé non deve portare ad una situazione pericolosa<br />

L'apparecchiatura di controllo può essere parte integrante o essere separata dalle parti<br />

legate alla sicurezza che forniscono la funzione di sicurezza<br />

In alcuni casi la categoria 2 non è applicabile, perché la verifica della funzione di<br />

sicurezza non può essere applicata a tutti i componenti, per esempio pressostati o<br />

sensori di temperatura<br />

Il comportamento dei sistemi di categoria 2 consente:<br />

che il verificarsi di un guasto porti alla perdita della funzione di sicurezza nell'intervallo tra le due<br />

verifiche<br />

che la perdita delle funzioni di sicurezza sia rilevata dalla verifica<br />

I princìpi tecnici che supportano la validità di una funzione di sicurezza di categoria 2 è<br />

che le soluzione tecniche adottate e, per esempio, la scelta della frequenza di controllo<br />

possono diminuire la probabilità del verificarsi di una situazione pericolosa<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 90


Categoria 3<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Per la categoria 3, si applicano i requisiti della categoria B, l'uso dei princìpi di<br />

sicurezza ben collaudati e in aggiunta quanto di seguito indicato<br />

Il SRP/CS di categoria 3 deve essere progettato in modo che un singolo<br />

guasto in una qualsiasi parte non porti alla perdita della funzione di sicurezza;<br />

ogni qualvolta sia ragionevolmente possibile, il singolo guasto deve essere<br />

rilevato in corrispondenza o prima della successiva richiesta della funzione di<br />

sicurezza<br />

DC avg<br />

MTTF d<br />

CCF<br />

PL max<br />

Medio bassa<br />

Da basso ad alto a<br />

seconda del PL r<br />

Rilevante<br />

e<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 91


Categoria 3<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Il requisito di rilevamento del singolo guasto non significa che<br />

vengano rilevati tutti i guasti; di conseguenza, l'accumulo di<br />

guasti non rilevati può portare ad un segnale di uscita non<br />

previsto e ad una situazione di pericolo sulla macchina<br />

Tipici esempi di misure per il rilevamento dei guasti sono<br />

l’utilizzo di retroazione di contatti guidati meccanicamente di<br />

contattori ed il monitoraggio di uscite elettriche ridondanti<br />

Il comportamento di SRP/CS di categoria 3 consente:<br />

di assicurare sempre la funzione di sicurezza quando si<br />

verifica un guasto singolo<br />

di rilevare alcuni ma non tutti i guasti<br />

che l'accumulo di guasti non rilevati possa portare alla perdita<br />

della funzione di sicurezza<br />

La tecnologia utilizzata influenza le possibilità di applicazione del<br />

rilevamento dei guasti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 92


Categoria 4<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Per la categoria 4, si applicano i requisiti della categoria B, l'uso dei princìpi di<br />

sicurezza ben collaudati e in aggiunta quanto di seguito indicato<br />

Il SRP/CS di categoria 4 deve essere progettato in modo che:<br />

un singolo guasto in una qualsiasi parte legata alla sicurezza non porti ad una<br />

perdita della funzione di sicurezza, e<br />

il singolo guasto venga rilevato in corrispondenza o prima della successiva<br />

richiesta delle funzioni di sicurezza, per esempio immediatamente,<br />

all'accensione, alla fine di un ciclo operativo della macchina; se tale<br />

rilevamento non è possibile, un accumulo di guasti non deve portare alla<br />

perdita della funzione di sicurezza<br />

DC avg<br />

MTTF d<br />

CCF<br />

PL max<br />

Alta (compreso l’accumulo<br />

di guasti)<br />

Alto<br />

Rilevante<br />

e<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 93


Categoria 4<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Il comportamento dei sistemi di categoria 4 consente:<br />

che venga sempre assicurata la funzione di sicurezza<br />

quando si verifica un guasto<br />

che i guasti vengano rilevati in tempo per evitare la<br />

perdita della funzione di sicurezza<br />

che venga tenuto in considerazione l’accumulo di guasti<br />

non rilevati<br />

La differenza tra la categoria 3 e la categoria 4 è un<br />

DC avg maggiore nella categoria 4 e un MTTF d “alto”<br />

per ogni canale<br />

Nella pratica può essere sufficiente considerare una<br />

combinazione di due guasti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 94


Assegnazione del punteggio e quantificazione<br />

delle misure contro i CCF<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 95


Assegnazione del punteggio e quantificazione<br />

delle misure contro i CCF<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 96


Riassunto dei requisiti per le categorie<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Categoria<br />

Riassunto dei requisiti<br />

Comportamento<br />

del sistema<br />

Princìpi per<br />

ottenere la<br />

sicurezza<br />

MTTF d<br />

di ogni<br />

canale<br />

DC avg<br />

CCF<br />

B<br />

Le parti legate alla sicurezza dei<br />

sistemi di comando e/o delle<br />

loro attrezzature di protezione e<br />

dei loro componenti devono<br />

essere progettate, costruite,<br />

scelte, montate e combinate in<br />

conformità alle relative norme in<br />

modo che possano resistere alle<br />

influenze previste.<br />

Devono essere usati princìpi di<br />

sicurezza basilari.<br />

Il verificarsi di un<br />

guasto può portare<br />

alla perdita della<br />

funzione di<br />

sicurezza.<br />

Essenzialmente<br />

caratterizzati<br />

dalla scelta dei<br />

componenti<br />

Da<br />

basso a<br />

medio<br />

Nessuna<br />

Non<br />

rilevante<br />

1<br />

Si devono applicare i requisiti<br />

della categoria B.<br />

Devono essere usati<br />

componenti e princìpi di<br />

sicurezza ben collaudati.<br />

Il verificarsi di un<br />

guasto può portare<br />

alla perdita della<br />

funzione di<br />

sicurezza, ma la<br />

probabilità che si<br />

verifichi è minore di<br />

quella della<br />

categoria B.<br />

Essenzialmente<br />

caratterizzati<br />

dalla scelta dei<br />

componenti<br />

Alto<br />

Nessuna<br />

Non<br />

rilevante<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 97


Riassunto dei requisiti per le categorie<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Categoria<br />

Riassunto dei requisiti<br />

Comportamento<br />

del sistema<br />

Princìpi per<br />

ottenere la<br />

sicurezza<br />

MTTF d<br />

di ogni<br />

canale<br />

DC avg<br />

CCF<br />

2<br />

Si devono applicare i requisiti<br />

della categoria B e l’uso di<br />

princìpi di sicurezza ben<br />

collaudati.<br />

La funzione di sicurezza deve<br />

essere verificata ad opportuni<br />

intervalli dal sistema di controllo<br />

della macchina.<br />

Il verificarsi di un<br />

guasto può portare<br />

alla perdita della<br />

funzione di<br />

sicurezza<br />

nell’intervallo tra le<br />

due verifiche.<br />

La perdita della<br />

funzione di<br />

sicurezza viene<br />

rilevata dalla<br />

verifica.<br />

Essenzialmente<br />

caratterizzati<br />

dalla struttura<br />

Da<br />

basso a<br />

alto<br />

Da<br />

bassa a<br />

media<br />

Rilevante<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 98


Riassunto dei requisiti per le categorie<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Categoria<br />

Riassunto dei requisiti<br />

Comportamento<br />

del sistema<br />

Princìpi per<br />

ottenere la<br />

sicurezza<br />

MTTF d<br />

di ogni<br />

canale<br />

DC avg<br />

CCF<br />

3<br />

Si devono applicare i requisiti<br />

della categoria B e l’uso di<br />

princìpi di sicurezza ben<br />

collaudati.<br />

Le parti legate alla sicurezza<br />

devono essere progettate in<br />

modo che un singolo guasto in<br />

una qualsiasi di queste parti non<br />

porti ad una perdita della<br />

funzione di sicurezza e<br />

ogniqualvolta sia<br />

ragionevolmente possibile il<br />

singolo guasto venga rilevato.<br />

Quando si verifica il<br />

singolo guasto la<br />

funzione di<br />

sicurezza viene<br />

sempre assicurata.<br />

Vengono rilevati<br />

alcuni ma non tutti i<br />

guasti. L'accumulo<br />

di guasti non<br />

rilevati può portare<br />

alla perdita della<br />

funzione di<br />

sicurezza.<br />

Essenzialmente<br />

caratterizzati<br />

dalla struttura<br />

Da<br />

basso a<br />

alto<br />

Da<br />

bassa a<br />

media<br />

Rilevante<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 99


Riassunto dei requisiti per le categorie<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Categoria<br />

Riassunto dei requisiti<br />

Comportamento del<br />

sistema<br />

Princìpi per<br />

ottenere la<br />

sicurezza<br />

MTTF d<br />

di ogni<br />

canale<br />

DC avg<br />

CCF<br />

4<br />

Si devono applicare i<br />

requisiti della categoria B<br />

e l’uso di princìpi di<br />

sicurezza ben collaudati.<br />

Le parti legate alla<br />

sicurezza devono essere<br />

progettate in modo che<br />

un singolo guasto in una<br />

qualsiasi di queste parti<br />

non porti ad una perdita<br />

della funzione di<br />

sicurezza e il singolo<br />

guasto venga rilevato in<br />

corrispondenza o prima<br />

della successiva richiesta<br />

della funzione di<br />

sicurezza.<br />

Se ciò non è possibile, un<br />

accumulo di guasti non<br />

deve portare alla perdita<br />

della funzione di<br />

sicurezza.<br />

Quando si verifica il<br />

singolo guasto la<br />

funzione di sicurezza<br />

viene sempre<br />

assicurata.<br />

Il rilevamento di<br />

guasti accumulati<br />

riduce la probabilità<br />

di perdita della<br />

funzione di sicurezza<br />

(DC alta).<br />

I guasti vengono<br />

rilevati in tempo per<br />

evitare la perdita<br />

della funzione di<br />

sicurezza.<br />

Essenzialmente<br />

caratterizzati<br />

dalla struttura<br />

Alto<br />

Alta<br />

(compreso<br />

l’accumulo dei<br />

guasti)<br />

Rilevante<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 100


Esempio di determinazione del PL r<br />

Per determinare il livello di prestazione richiesto (PL r ) è necessario<br />

individuare, per ogni rischio, i parametri di valutazione, ovvero:<br />

Gravità del danno (Severity)<br />

Frequenza e tempo di esposizione al pericolo (Frequency)<br />

Possibilità di evitare il pericolo (Possibility)<br />

Gravità del danno<br />

[S1 = lesione reversibile di<br />

entità lieve (lacerazione,<br />

bruciatura, taglio superficiale,<br />

…)]<br />

[S2 = lesione reversibile di entità<br />

grave (taglio profondo, frattura,<br />

…), lesione irreversibile<br />

(amputazione, …), morte]<br />

S2<br />

Frequenza e tempo di esposizione<br />

al pericolo<br />

[F1 = frequenza bassa (meno<br />

di una volta alla settimana) e/o<br />

tempo di esposizione corto<br />

(meno di 30 minuti)]<br />

[F2 = frequenza alta (una volta alla<br />

settimana o più) e/o tempo di<br />

esposizione lungo (più di 30<br />

minuti)]<br />

F1<br />

Possibilità di evitare il pericolo<br />

[P1 = possibile in determinate<br />

condizioni (operazioni eseguite<br />

da personale esperto, velocità<br />

di manifestazione del pericolo<br />

bassa, pericolo evidente)]<br />

[P2 = scarsamente possibile<br />

(operazioni eseguite da<br />

personale non specializzato,<br />

velocità di manifestazione del<br />

pericolo alta, pericolo non<br />

evidente)]<br />

P2<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 101


Come determinare il PL r<br />

S2, F1, P2 PL r = d<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 102


Come determinare il PL r<br />

Un PL d può essere raggiunto, ad esempio, utilizzando un circuito<br />

conforme alla categoria 3, avente un MTTF d medio/alto ed una<br />

copertura diagnostica media<br />

MTTF d<br />

basso<br />

MTTF d<br />

medio<br />

MTTF d<br />

alto<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 103


SIL & PL richiesti<br />

I parametri che portano alla determinazione dei SIL e dei PL<br />

richiesti devono essere valutati per ogni rischio presente e per le<br />

differenti modalità di interazione con la macchina<br />

Infatti ogni rischio presente sulla macchina può portare a<br />

conseguenze più o meno gravi per gli operatori oppure la<br />

frequenza di utilizzo di una funzione di sicurezza può essere<br />

diversa (ad esempio nel caso di interblocchi di ripari utilizzati<br />

durante la normale lavorazione oppure solamente per operazioni<br />

di manutenzione)<br />

Se una funzione di sicurezza protegge da più rischi, questa dovrà<br />

soddisfare le caratteristiche prestazionali del rischio maggiore<br />

PL r = max (PL r1 , PL r2 , PL r3 , …)<br />

SILCL = max (SILCL 1<br />

, SILCL 2<br />

, SILCL 3<br />

, …)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 104


CEI EN 62061 & UNI EN ISO 13849-1<br />

Elementi simili<br />

Entrambe le norme richiedono dati affidabilistici dei<br />

componenti utilizzati per la realizzazione del circuito avente<br />

funzioni di sicurezza<br />

C’è una corrispondenza tra il Performance Level (PL), il<br />

Safety Integrity Level (SIL) e la probabilità di guasto<br />

pericoloso all’ora (PFH D )<br />

Ne deriva la possibilità, nella maggior parte dei casi, di<br />

passare da un indicatore all’altro<br />

I requisiti riguardanti il software per funzioni di sicurezza<br />

sono simili ed entrambe le norme richiamano la norma EN<br />

61508-3 più specifica<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 105


CEI EN 62061 & UNI EN ISO 13849-1<br />

Differenze<br />

Per un PL a non si ha nessun SIL corrispondente<br />

Il SIL 4 è dedicato ad eventi potenzialmente catastrofici<br />

possibili in industrie di processo (chimico, nucleare) e che<br />

quindi ha poco a che vedere con i possibili rischi legati alle<br />

<strong>macchine</strong>, di conseguenza il PL maggiore (e) corrisponde<br />

ad un SIL 3<br />

Il SIL 4 non viene nemmeno preso in considerazione dalla<br />

norma EN 62061<br />

La norma CEI EN 62061 non è applicabile a circuiti non<br />

elettrici / elettronici<br />

La norma UNI EN ISO 13849-1 è utilizzabile solamente a<br />

circuiti che possono essere ricondotti alle architetture<br />

predefinite<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 106


CEI EN 62061 & UNI EN ISO 13849-1<br />

Vantaggi e svantaggi<br />

Le due norme hanno numerosi elementi in comune e sono nella<br />

maggior parte dei casi intercambiabili.<br />

La norma CEI EN 62061 appare più adeguata:<br />

nel caso in cui si debbano realizzare circuiti elettronici complessi<br />

per circuiti di sicurezza di impianti di processo dove già si<br />

utilizzano le norme EN 61508 ed EN 61511<br />

in caso si abbiano architetture dei sistemi di controllo non<br />

convenzionali (non riconducibili ad architetture predefinite), anche<br />

se tale caso è poco frequente nella realizzazione dei circuiti di<br />

sicurezza delle <strong>macchine</strong><br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 107


CEI EN 62061 & UNI EN ISO 13849-1<br />

Vantaggi e svantaggi<br />

La norma UNI EN ISO 13849-1 appare più adeguata per la definizione delle<br />

prestazioni dei circuiti di controllo delle <strong>macchine</strong> in quanto:<br />

è applicabile anche ai circuiti non elettrici/elettronici; quindi deve essere<br />

utilizzata se una macchina comprende circuiti di comando non elettrici<br />

aventi funzioni di sicurezza (ad esempio una pressa idraulica)<br />

è applicabile anche in caso si utilizzino circuiti elettronici programmabili<br />

permette di utilizzare architetture predefinite che garantiscono una facile<br />

conversione dalla “vecchia” UNI EN 954-1 utilizzata per molto tempo da<br />

tutti i costruttori di <strong>macchine</strong><br />

la pressoché totalità dei circuiti di sicurezza normalmente utilizzati sulle<br />

<strong>macchine</strong> possono essere ricondotti alle architetture predefinite<br />

le norme di tipo C (specifiche per determinati tipi di <strong>macchine</strong>) solitamente<br />

specificano un PL minimo che il circuito di sicurezza deve garantire<br />

sono disponibili strumenti software gratuiti che permettono di effettuare il<br />

calcolo del livello di prestazione raggiunto in modo facile<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 108


Armonizzazione ai sensi della direttiva 98/37/CE<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 109


Armonizzazione ai sensi della direttiva 98/37/CE<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 110


Armonizzazione ai sensi della direttiva 2006/42/CE<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 111


Software Sistema<br />

Sistema (Safety Integrity Software Tool for the<br />

Evaluation of Machine Applications)<br />

Software gratuito che permette di modellare i sistemi di<br />

controllo (basati sulle architetture designate) e che<br />

permette di calcolare immediatamente le caratteristiche<br />

di affidabilità, incluso il PL<br />

Possibilità di disporre di librerie già completate dalle<br />

case costruttrici contenenti tutti i dati necessari dei<br />

prodotti<br />

http://www.dguv.de/bgia<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 112


La possibilità di<br />

utilizzare librerie<br />

fornite dai costruttori<br />

permette di avere<br />

sempre dati<br />

aggiornati e di poter<br />

provare facilmente<br />

diverse soluzioni con<br />

diversi componenti in<br />

modo da ottenere la<br />

soluzione migliore<br />

Elenco elementi<br />

disponibili<br />

Librerie<br />

Elenco librerie<br />

importate<br />

Caratteristiche<br />

dell’elemento<br />

elemento<br />

selezionato<br />

Help<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 113


Diagramma ad albero di un progetto e<br />

definizione della SRP/CS<br />

Sistema permette di progettare funzioni di sicurezza basandosi su di uno schema ad<br />

albero<br />

PR = Nome del progetto (Project)<br />

SF = Funzione di sicurezza (Safety Function)<br />

SB = Sottosistema (Sub-system), elemento che forma la SF collegato in serie<br />

CH = Canale (Channel), descrive la presenza di una ridondanza all’interno di un<br />

sottosistema<br />

BL = Blocco (Block), descrive i blocchi contenuti all’interno di ogni canale<br />

EL = Elemento (Element), descrive gli elementi contenuti in ogni blocco (presi se<br />

possibile dalle librerie)<br />

TE = Test, descrive l’elemento che esegue le funzioni di test all’interno del progetto<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 114


Diagramma ad albero di un progetto e<br />

definizione della SRP/CS<br />

I sottoblocchi sono collegati in serie tra loro all’interno della SF<br />

All’interno di un sottosistema si possono avere due canali (quindi<br />

una ridondanza) ed un elemento per le funzioni di test<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 115


Definizione di una SRP/CS<br />

Per iniziare è necessario<br />

stimare il PL r<br />

della<br />

funzione di sicurezza<br />

Per ogni sottosistema<br />

bisogna indicare la<br />

categoria corrispondente<br />

all’architettura del circuito<br />

Non è necessario<br />

specificare tutti i livelli del<br />

diagramma ad albero: se<br />

si hanno già i dati del<br />

sottosistema questi<br />

possono essere inseriti<br />

direttamente<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 116


Definizione di una SRP/CS<br />

Si possono specificare le<br />

azioni intraprese per<br />

ogni sottosistema per<br />

evitare le cause di<br />

guasto comune (CCF), il<br />

calcolo dei punteggi è<br />

poi automatico<br />

A seconda del punto del<br />

diagramma selezionato<br />

vengono indicate<br />

direttamente i risultati di<br />

tutto il sistema; eventuali<br />

modifiche modificano<br />

immediatamente i<br />

risultati finali<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 117


Definizione di una SRP/CS<br />

La definizione della copertura diagnostica può essere effettuata in vari<br />

modi, ad esempio secondo i criteri dell’allegato E della norma UNI EN<br />

ISO 13849-1:2008<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 118


Livelli intermedi per DC avg<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 119


Software Sistema<br />

Vantaggi e Svantaggi<br />

Possibilità di importare le librerie dei costruttori con dati sempre<br />

aggiornati (non solo di componenti elettrici)<br />

Possibilità di creare proprie librerie e progetti standard personalizzati da<br />

riutilizzare<br />

Possibilità di cambiare velocemente i componenti utilizzati e verificare il<br />

soddisfacimento dei vincoli prestazionali imposti; velocizzazione della<br />

scelta dei componenti<br />

Limitazione dell’utilizzo solamente ad architetture predefinite; necessità<br />

di tradurre correttamente il circuito in schemi logici corrispondenti ad<br />

un’architettura predefinita<br />

Eventuali esclusioni dei guasti devono essere definite ed inserite negli<br />

schemi a blocchi<br />

Possibilità di stampare automaticamente un report del calcolo<br />

report del calcolo (da<br />

allegare al fascicolo tecnico)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 120


Esempio di comando a due mani<br />

Pressa idraulica per la raddrizzatura di anelli in<br />

metallo dotata di comando a due mani<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 121


Esempio di comando a due mani<br />

Valutazione del PL r :<br />

Gravità del danno = S2 (lesione reversibile di entità grave, lesione<br />

irreversibile o morte)<br />

Frequenza e tempo di esposizione al pericolo = F2 (frequenza alta<br />

ovvero una volta alla settimana o più)<br />

Possibilità di evitare il pericolo = P2 (scarsamente possibile in<br />

quanto velocità di manifestazione del pericolo alta)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 122


Esempio di comando a due mani<br />

Comando per avviare<br />

un movimento<br />

pericoloso della<br />

macchina<br />

Entrambi i pulsanti S1<br />

ed S2 devono essere<br />

premuti<br />

contemporaneamente<br />

I contattori K2 e K3<br />

abilitano / disabilitano<br />

il movimento<br />

pericoloso<br />

Categoria 4, PL r<br />

=e<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 123


Esempio di comando a due mani<br />

Frequenza di attuazione elevata<br />

Il PLC di sicurezza K1 è in grado di rilevare eventuali guasti sia dei pulsanti S1 ed S2 che<br />

dei contattori K1 e K2, impedendo un successivo riavvio della macchina<br />

I due pulsanti S1 ed S2 seguono i principi di ridondanza e differenziazione, ovvero<br />

utilizzano doppi contatti con un contatto normalmente aperto (NO) ed un contatto<br />

normalmente chiuso (NC), entrambi conformi alla IEC 60947-5-1<br />

Pulsanti posizionati in modo tale da non poter essere azionati con una mano sola o con<br />

parti del corpo diverse dalle mani<br />

Il PLC di sicurezza K1 è conforme al tipo III C della norma EN 574, dichiarato dal<br />

costruttore conforme alla categoria 4, PL= e<br />

I contattori K2 e K3 hanno contatti legati e sono monitorati dal PLC di sicurezza K1<br />

Logica di<br />

controllo<br />

Contatto NO<br />

pulsante S1<br />

Contatto NC<br />

pulsante S2<br />

Contattore<br />

CH1<br />

CH2<br />

Rappresentazione hardware<br />

Contatto NO<br />

pulsante S2<br />

Contatto NC<br />

pulsante S1<br />

Contattore<br />

Rappresentazione logica semplificata<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 124


Esempio di comando a due mani<br />

Il PLC di sicurezza K1 viene considerato come un sottosistema a parte con<br />

PFH D =2,47⋅10 -8 , categoria 4 (dati forniti dal costruttore)<br />

I due contatti di ogni pulsante sono collegati in parallelo, quindi su due canali<br />

La necessità che entrambi i comandi debbano essere azionati<br />

contemporaneamente non viene descritta (è assicurata dal PLC di sicurezza K1)<br />

Nel caso in cui non si abbia il dato di affidabilità dei singoli contatti di ogni<br />

pulsante ma solo quello del pulsante intero (comprendente entrambi i contatti) è<br />

possibile usare il valore indicato come quello di ogni singolo contatto, quindi con<br />

un errore di stima che aumenta l’affidabilità<br />

Logica di controllo (Rockwell GuardLogix)<br />

PFH D,K1 =2,47⋅10 -8 (dal costruttore, MTTF d =100 anni, DC=99%)<br />

Pulsanti (Rockwell 800F)<br />

B 10d,S1 =B 10d,S2 =10.000.000 cicli (dal costruttore)<br />

Contattore (Rockwell 700S-CF)<br />

B 10d,K2 =B 10d,K3 =3.000.000 cicli (dal costruttore)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 125


Esempio di comando a due mani<br />

n op,S1,S2 =345.600 cicli all’anno (240 giorni, 8 ore/giorno, 20 s a ciclo)<br />

MTTF d,S1 =MTTF d,S2 =289,35 anni<br />

MTTF d,K2 =MTTF d,K3 =86,8 anni<br />

MTTF d,CH1,CH2 = 54,25 anni (alto)<br />

DC S1 =DC S2 =99% monitoraggio da parte del PLC di sicurezza K1<br />

DC K1 =99% (dal costruttore)<br />

DC K2 =DC K3 =99% monitoraggio da parte del PLC di sicurezza K1<br />

DC sistema =99% (alta)<br />

Misure contro i CCF soddisfatte<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 126


Esempio di comando a due mani<br />

MTTF d,CH1//CH2 =54,25 anni (alto)<br />

DC CH1//CH2 =99% (alta)categoria 4PL e<br />

PFH D,CH1//CH2 =5,26⋅10 -8 (tabella K.1 UNI EN ISO 13849-1:2008)<br />

PFH D = PFH D,CH1//CH2 +PFH D,K1 =5,26⋅10 -8 +2,47⋅10 -8 = 7,73⋅10 -8 PL=e<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 127


Stima numerica del PL<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato K<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 128


Esempio di controllo elettroidraulico per pressa<br />

Pressa idraulica per la formazione ed il taglio delle alette di scambiatori di<br />

calore protetta mediante protezioni perimetrali in rete metallica con porte di<br />

accesso dotate di dispositivo di interblocco<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 129


Esempio di controllo elettroidraulico per pressa<br />

Valutazione del PL r :<br />

Gravità del danno = S2 (lesione reversibile di entità grave, lesione<br />

irreversibile o morte)<br />

Frequenza e tempo di esposizione al pericolo = F2 (frequenza alta<br />

ovvero una volta alla settimana o più)<br />

Possibilità di evitare il pericolo = P2 (scarsamente possibile in<br />

quanto velocità di manifestazione del pericolo alta)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 130


Esempio di controllo elettroidraulico per pressa<br />

L’apertura di un riparo<br />

deve interrompere la<br />

discesa della mazza<br />

della pressa<br />

I movimenti delle valvole<br />

idrauliche 1V3, 1V4 e<br />

1V5 sono comandati da<br />

un PLC funzionale (K1)<br />

Tutte e tre le valvole<br />

sono monitorate<br />

I comandi alle valvole<br />

vengono interrotti da un<br />

modulo di sicurezza<br />

(K2)<br />

Categoria 4, PL r = e<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 131


Esempio di controllo elettroidraulico per pressa<br />

La rottura di uno dei componenti non porta alla perdita della funzione<br />

di sicurezza; tutti i guasti vengono rilevati e, tramite il PLC (K1), viene<br />

impedito un successivo riavvio della macchina<br />

B1 conforme alla IEC 60947-5-1 (apertura forzata)<br />

K2 dichiarato conforme alla categoria 4, PL=e<br />

Le valvole di comando sono dotate di molle che, in assenza di<br />

alimentazione, le portato in posizione tale da arrestare tutti i movimenti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 132


Esempio di controllo elettroidraulico per pressa<br />

n op<br />

=35.040 cicli all’anno (365 giorni, 16 ore, 10 minuti a ciclo)<br />

Sensore B1 (Rockwell Elf)<br />

B 10d,B1<br />

=2⋅10 6 MTTF d,B1<br />

=570 anni<br />

Sensore B2 (Rockwell Sprite)<br />

B 10d,B2<br />

=2⋅10 6 MTTF d,B1<br />

=570 anni<br />

Modulo di sicurezza (Rockwell MSR117)<br />

MTTF d,K2<br />

=100 anni DC=99%<br />

Valvole idrauliche<br />

MTTF d,1V3<br />

=MTTF d,1V4<br />

=MTTF d,1V5<br />

=150 anni<br />

(dal costruttore)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 133


Esempio di controllo elettroidraulico per pressa<br />

MTTF d,B1<br />

=570 anni (alto) 100 anni (alto)<br />

MTTF d,B2<br />

=570 anni (alto) 100 anni (alto)<br />

MTTF d,B1//B2 = 100 anni (alto)<br />

MTTF d,B1//B2<br />

MTTF d,valvole = 88 anni (alto)<br />

MTTF d,valvole<br />

MTTF d,totale = 31,8 anni (alto)<br />

MTTF d,totale<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 134


Esempio di controllo elettroidraulico per pressa<br />

DC B1,B2<br />

= 99% dovuto al controllo del modulo di sicurezza K2<br />

DC K2<br />

= 99% controlli automatici del modulo di sicurezza<br />

DC 1V3,1V4,1V5<br />

= 99% dovuto al monitoraggio di tutte e tre le valvole<br />

DC totale<br />

= 99% (alta)<br />

MTTF d =31,8 anni (alto)<br />

DC=99% (alta)<br />

PFH D =9,54⋅10 -8<br />

Categoria 4<br />

PL=e<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 135


Stima numerica del PL<br />

UNI EN ISO 13849-1:2008<br />

1:2008 - Allegato K<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 136


Considerazioni sui guasti<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

In accordo con la categoria selezionata, la parte relativa alla sicurezza<br />

deve essere progettata per raggiungere il livello di prestazione richiesto<br />

(PL r ). Deve essere valutata la resistenza ai guasti.<br />

La norma UNI EN ISO 13849-2:2008 elenca i più importanti guasti delle<br />

varie tecnologie. La lista dei guasti non è esaustiva e, se necessario,<br />

devono essere considerati anche altri tipi di guasto. In questi casi<br />

dovrebbe essere chiaramente elaborato un metodo di valutazione.<br />

Per nuovi componenti non menzionati nella norma UNI EN ISO 13849-<br />

2:2008, dovrebbe essere usata una failure mode and effects analysis<br />

(FMEA) per stabilire i guasti da considerare per tali componenti.<br />

In generale, bisogna tenere conto dei seguenti criteri:<br />

se, in conseguenza ad un guasto, alcuni componenti si guastano, il<br />

primo guasto assieme agli altri devono essere considerati come un<br />

solo guasto;<br />

due o più guasti separati che intervengono a causa di una causa<br />

comune vanno considerati come un unico guasto (noto come CCF);<br />

non viene considerata la possibilità di avere simultaneamente più<br />

guasti separati generati in modo indipendente.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 137


Esclusione di guasti<br />

UNI EN ISO 13849-1:2008<br />

1:2008<br />

Non è sempre possibile valutare gli SRP/CS senza<br />

escludere determinati guasti. Per l’esclusione dei guasti<br />

fare riferimento alla norma UNI EN ISO 13849-2:2008.<br />

L’esclusione di guasti è un compromesso tra i requisiti di<br />

sicurezza e la teorica possibilità di accadimento di un<br />

guasto.<br />

L’esclusione di un guasto può essere basata su:<br />

improbabilità tecnica di avere un certo tipo di guasto,<br />

esperienza tecnica comunemente accettata, indipendente da<br />

un particolare tipo di applicazione,<br />

requisiti tecnici<br />

requisiti tecnici relativi all’applicazione e a specifici rischi.<br />

Se alcuni guasti vengono esclusi, deve essere fornita una<br />

giustificazione nella documentazione tecnica.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 138


Modalità di guasto dei componenti elettrici/elettronici<br />

CEI EN 62061:2005 - Allegato D<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 139


Il software per funzioni di sicurezza<br />

La creazione di un software è in generale “difficile”: l’affidabilità dei<br />

software non va di pari passo con l’aumento di affidabilità dei<br />

componenti hardware<br />

Quante volte si è obbligati a riavviare il PC per ripristinarne le<br />

funzionalità Quante volte la mancanza di funzionalità deriva dalla<br />

incompatibilità di versioni Quanti aggiornamenti vengono emessi ogni<br />

giorno per i sistemi operativi<br />

In media in un software ci sono 25 errori ogni 1000 righe di codice: al<br />

confronto i guasti dell’hardware (a meno di danneggiamenti per cadute<br />

o infiltrazioni d’acqua) sono relativamente rare<br />

La maggior parte degli errori sono “dormienti” ovvero non si<br />

manifestano fino a che non si vengono a creare determinate condizioni<br />

Non esiste un software privo di errori: è però necessario che in base<br />

all’utilizzo che ne viene fatto (quindi al PL r ) il software rispetti<br />

determinati requisiti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 140


Prescrizioni per la sicurezza del software<br />

Tutte le attività del ciclo<br />

di vita del software (sia<br />

applicativo che di<br />

sistema) avente<br />

funzioni di sicurezza<br />

devono innanzitutto<br />

considerare<br />

l’eliminazione dei<br />

guasti dovuti allo<br />

stesso ciclo di vita del<br />

software (revisioni,<br />

correzioni)<br />

L’obiettivo principale<br />

dei requisiti è quello di<br />

avere un software<br />

leggibile,<br />

comprensibile,<br />

verificabile e<br />

manutenibile<br />

«Modello a V» V<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 141


Prescrizioni per la sicurezza del software<br />

Le specifiche delle funzioni di sicurezza che il software deve eseguire<br />

devono essere chiare<br />

Tali specifiche devono poter essere comprensibili ed eventualmente<br />

verificabili anche da personale non direttamente coinvolto nella<br />

progettazione della macchina<br />

Il software prodotto deve<br />

essere leggibile e facilmente<br />

verificabile, altrimenti le<br />

successive operazioni di<br />

validazione del software<br />

diventano lunghe e difficili<br />

Prima di cominciare a<br />

produrre il codice del<br />

software è necessario definire<br />

la struttura del software,<br />

aiutandosi anche con<br />

diagrammi, in modo da<br />

rendere comprensibile il<br />

processo logico anche ad<br />

eventuali terze parti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 142


Prescrizioni per la sicurezza del software<br />

Utilizzando librerie e moduli con funzioni già validate e documentate è possibile<br />

diminuire il lavoro documentale necessario<br />

Funzioni che sono già state validate da terze parti non necessitano di ulteriori<br />

verifiche, ma la somma di componenti già validati non porta automaticamente ad<br />

un software corretto; un programma complesso comprensivo di più moduli<br />

validati necessita di essere verificato<br />

Normalmente i costruttori di <strong>macchine</strong> scrivono software applicativo e si limitano<br />

alla progettazione del sistema (che quindi deve essere verificato e validato)<br />

utilizzando moduli forniti dal costruttore dell’hardware (quindi già validati)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 143


Prescrizioni per la sicurezza del software<br />

La codifica deve essere leggibile e chiara (inserimento di commenti all’interno<br />

delle righe di codice, preparazione di linee guida, legende con il significato delle<br />

variabili utilizzate, ecc.)<br />

La programmazione deve tenere conto della possibilità di avere errori di calcolo<br />

La verifica delle variabili prima di eseguire passaggi di stato aiuta ad identificare<br />

la presenza di incongruenze o anomalie<br />

Se si conoscono le periferiche in ingresso è possibile prevedere eventuali<br />

malfunzionamenti ed identificare i guasti delle periferiche<br />

Analisi del codice<br />

Per PL bassi (a, b, c) e programmi semplici può bastare una verifica statica del<br />

codice, ed eventualmente un test sulla macchina<br />

Per PL elevati (d, e) i programmi devono essere verificati mediante simulazione<br />

Controlli da effettuare<br />

Il codice è coerente con i diagrammi di progettazione iniziali<br />

Ci sono funzioni non di sicurezza che “scavalcano” delle funzioni di sicurezza<br />

Quali moduli o quali parti del software producono delle variabili legate a funzioni<br />

di sicurezza Quali valori queste possono assumere È possibile verificare la loro<br />

coerenza con il funzionamento della macchina<br />

Ci sono delle parti del software che, in determinate condizioni, non vengono<br />

eseguite<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 144


Esempio di software per funzioni di sicurezza<br />

Operazioni necessarie<br />

acquisizione delle informazioni da parte di diversi sensori<br />

verifica delle informazioni ricevute e controllo degli elementi tenendo<br />

conto delle prescrizioni di sicurezza<br />

controllo degli attuatori<br />

PL r<br />

=d<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 145


Applicazione del modello a V per il ciclo di vita del software<br />

Attività di sviluppo Attività di verifica Documentazione associata<br />

Macchina: identificazione delle<br />

funzione che coinvolgono le<br />

SRP/CS<br />

Architettura: scelta del sistema di<br />

controllo, dei sensori e degli<br />

attuatori<br />

Specifiche software: trascrizione<br />

delle funzioni di sicurezza in<br />

funzioni del software<br />

Architettura del software:<br />

scomposizione delle funzioni in<br />

blocchi funzionali<br />

Codifica: stesura delle righe di<br />

codice necessarie<br />

Identificazione delle funzioni di<br />

sicurezza<br />

Verifica delle caratteristiche di<br />

sicurezza degli elementi scelti<br />

Rilettura e controllo delle<br />

descrizioni<br />

Identificazione dei blocchi più<br />

critici che necessitano di una<br />

revisione e validazione più attenta<br />

Rilettura e controllo del codice,<br />

verifica delle funzioni<br />

Specifiche relative alle funzioni di<br />

sicurezza per il sistema di<br />

controllo<br />

Definizione dell’architettura di<br />

controllo<br />

Descrizione del software<br />

Modellazione dei blocchi<br />

funzionali<br />

Inserimento di commenti nel<br />

codice<br />

Validazione: esecuzione di test e<br />

verifica degli aspetti funzionali e<br />

del comportamento a seguito di<br />

guasti<br />

Verifica del grado di copertura dei<br />

test<br />

Verifica dei risultati dei test<br />

Stesura di documenti che<br />

spiegano i test eseguiti e<br />

commenti in merito ai risultati<br />

ottenuti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 146


Verifica delle specifiche del software<br />

La verifica delle specifiche consiste nella rilettura delle<br />

prescrizioni scritte all’inizio della progettazione e la verifica<br />

che queste siano rispettate<br />

Elementi da verificare:<br />

Interpretazioni errate delle specifiche<br />

Mancanze nelle specifiche dovuta alla mancata<br />

conoscenza del comportamento del SRP/CS<br />

Coerenza delle prove e dei test eseguiti<br />

Modifica del comportamento in funzione dei valori<br />

assumibili dai parametri<br />

Reazione del sistema ai guasti possibili<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 147


Regole di programmazione per la<br />

struttura del programma<br />

Uso di funzioni e blocchi disponibili dal linguaggio in uso<br />

Partizionare il programma in modo da identificare le diverse sezioni che<br />

lo compongono<br />

Commentare ogni sezione del programma per facilitare l’aggiornamento<br />

in caso di modifica<br />

Descrizione delle funzioni richiamate e di quando vengono richiamate<br />

Mantenere la coerenza dei tipi di dati utilizzati con identificazioni<br />

univoche<br />

La sequenza di esecuzione del programma deve essere definita e non<br />

deve poter saltare alcune parti se non espressamente indicato<br />

Evitare di avere parti di codice che non vengono mai eseguite (ad<br />

esempio prove o retaggi di versioni precedenti)<br />

Ogni variabile globale (sia di input che di output) deve avere un nome<br />

esplicativo del suo significato e deve essere descritto da un commento<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 148


Regole di programmazione al livello dei<br />

blocchi funzionali<br />

È preferibile utilizzare blocchi precedentemente validati<br />

La dimensione di ogni blocco dovrebbe essere limitata<br />

Parametri: Massimo 8 valori digitali e due valori interi in ingresso ed<br />

un’uscita<br />

Codice: massimo dieci variabili locali, massimo dieci equazioni booleane<br />

I blocchi funzionali non devono modificare le variabili globali (trasmissione<br />

di dati tra blocchi in modo definito e controllato)<br />

Un blocco funzionale dovrebbe poter verificare l’eventuale inconsistenza<br />

dei dati in ingresso<br />

Il guasto di un blocco deve essere identificato in modo da poter<br />

discriminare tra diversi guasti<br />

Il codice di guasto e lo stato del blocco a seguito del guasto dovrebbero<br />

essere segnalati e accompagnati da commenti<br />

Il ripristino della funzione di blocco allo stato normale dovrebbe essere<br />

accompagnato da commenti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 149


Princìpi di validazione<br />

UNI EN ISO 13849-2:2008<br />

Lo scopo del processo di validazione è di confermare la specifica e la<br />

conformità della progettazione delle parti del sistema di comando legate<br />

alla sicurezza nell'ambito delle specifiche dei requisiti di sicurezza<br />

globali del macchinario<br />

La validazione deve dimostrare che ciascuna delle parti legate alla<br />

sicurezza soddisfa i requisiti della norma UNI EN 954-1:1998 (ISO<br />

13849-1), in particolare:<br />

le caratteristiche di sicurezza specificate per quella determinata parte,<br />

come stabilito nella progettazione<br />

i requisiti della categoria specificata<br />

Per sistemi di grandi dimensioni, a causa delle dimensioni, della<br />

complessità o della forma integrata (con il macchinario) del sistema di<br />

comando, possono essere stabilite disposizioni speciali per:<br />

validazione delle parti del sistema di comando legate alla sicurezza<br />

separatamente prima dell'integrazione, inclusa la simulazione degli<br />

appropriati segnali in ingresso e in uscita<br />

validazione degli effetti dell'integrazione delle parti legate alla sicurezza<br />

nel resto del sistema di comando nell'ambito del contesto del relativo<br />

utilizzo nella macchina<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 150


Elenchi di guasti<br />

UNI EN ISO 13849-2:2008<br />

Elenchi dei guasti generici<br />

Il processo di validazione include la considerazione del comportamento<br />

delle parti del sistema di comando legate alla sicurezza per tutti i guasti<br />

da considerare<br />

Una base per la considerazione dei guasti è fornita negli elenchi dei<br />

guasti nelle appendici informative che contengono:<br />

i componenti/elementi da includere, per esempio conduttori/cavi<br />

i guasti da tenere in considerazione, per esempio cortocircuiti tra conduttori<br />

le esclusioni di guasto permesse<br />

una sezione dedicata alle osservazioni che fornisce le ragioni per<br />

l'esclusione dei guasti<br />

Elenchi dei guasti specifici<br />

Un elenco specifico dei guasti collegati al prodotto deve essere generata<br />

come documento di riferimento per il processo di validazione<br />

Laddove l'elenco specifico dei guasti collegati al prodotto sia basato<br />

sull'elenco generico, esso deve indicare:<br />

i guasti tratti dall'(dagli) elenco(elenchi) generico(i) da includere<br />

qualsiasi altro guasto pertinente da includere ma non indicato nell'elenco<br />

generico<br />

i guasti tratti dall'elenco generico che possono essere esclusi e possono<br />

soddisfare almeno i criteri forniti nell'elenco generico<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 151


Panoramica del processo di validazione<br />

UNI EN ISO 13849-2:2008<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 152


Validazione mediante analisi<br />

UNI EN ISO 13849-2:2008<br />

La validazione delle parti dei sistemi di comando legate alla sicurezza deve<br />

essere condotta mediante analisi<br />

Gli aspetti sottoposti ad analisi sono:<br />

i pericoli identificati durante l'analisi della macchina<br />

l'affidabilità<br />

la struttura del sistema<br />

gli aspetti non quantificabili, qualitativi, che influenzano il comportamento del<br />

sistema<br />

motivazioni deterministiche<br />

Tecniche di analisi<br />

La tecnica di analisi da scegliere dipende dall'obiettivo da raggiungere<br />

Esistono due tipi di tecniche di base:<br />

le tecniche top-down (deduttive) sono idonee per determinare gli eventi iniziatori che<br />

possono portare agli eventi principali identificati, e per calcolare la probabilità degli<br />

eventi principali dalla probabilità degli eventi iniziatori; possono essere utilizzate<br />

anche per indagare sulle conseguenze di guasti multipli identificati; esempi di<br />

tecniche top-down sono l'analisi con albero dei guasti (FTA) e l'analisi con albero<br />

degli eventi (ETA)<br />

le tecniche bottom-up (induttive) sono idonee per indagare sulla conseguenza dei<br />

guasti singoli identificati; esempi di tecniche bottom-up sono l'analisi delle modalità<br />

e degli effetti dei guasti (FMEA) e l'analisi delle modalità di guasto, degli effetti e di<br />

criticità (FMECA)<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 153


Validazione mediante prove<br />

UNI EN ISO 13849-2:2008<br />

Quando la validazione mediante analisi non è sufficiente per dimostrare<br />

la soddisfazione di funzioni di sicurezza e categorie specificate, devono<br />

essere condotte delle prove per completare la validazione; la prova è<br />

sempre complementare all'analisi ed è spesso necessaria<br />

Le prove di validazione devono essere programmate ed effettuate in<br />

modo logico<br />

In particolare:<br />

prima dell'inizio della prova deve essere prodotto un programma di prova<br />

comprendente:<br />

le specifiche delle prove<br />

i risultati attesi delle prove<br />

la cronologia delle prove<br />

deve essere prodotta una registrazione delle prove comprendente quanto<br />

segue:<br />

il nome della persona che ha eseguito la prova<br />

le condizioni ambientali<br />

i procedimenti di prova e l'attrezzatura utilizzata<br />

i risultati della prova<br />

La registrazione della prova deve essere confrontata con il programma<br />

di prova per garantire che gli obiettivi funzionali e di prestazione<br />

specificati siano stati raggiunti<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 154


Validazione mediante prove<br />

UNI EN ISO 13849-2:2008<br />

Il campione di prova deve essere messo in funzione nel modo più possibile<br />

aderente alla relativa configurazione di funzionamento finale, cioè con tutti i<br />

dispositivi periferici ed i coperchi collegati<br />

La prova può essere condotta manualmente o automaticamente (per esempio da<br />

un computer)<br />

Laddove applicata, la validazione delle funzioni di sicurezza mediante prova deve<br />

essere condotta applicando i valori di ingresso, in varie combinazioni, alla parte<br />

legata alla sicurezza del sistema di comando. I corrispondenti valori in uscita<br />

devono essere confrontati ai risultati appropriati specificati<br />

Si raccomanda che la combinazione di questi valori di ingresso sia applicata<br />

sistematicamente al sistema di comando e alla macchina; un esempio di questa<br />

logica è: accensione, avviamento, funzionamento, cambiamenti di direzione,<br />

riavviamento.<br />

Dove necessario, deve essere applicata una più ampia gamma di valori di<br />

ingresso per prendere in considerazione situazioni anomale o insolite per vedere<br />

come rispondono le parti del sistema di comando legate alla sicurezza; tali<br />

combinazioni di dati di ingresso devono prendere in considerazione operazione(i)<br />

scorretta(e) prevedibile(i)<br />

Gli obiettivi della prova sono determinati dalle condizioni ambientali per quella<br />

prova Le condizioni possono essere:<br />

le condizioni ambientali dell'uso previsto, o<br />

condizioni a un particolare valore, o<br />

un dato campo di condizioni se è prevista distorsione<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 155


Validazione delle funzioni di sicurezza<br />

UNI EN ISO 13849-2:2008<br />

Nel processo di validazione è importante controllare gli errori e in<br />

particolare le omissioni nella specifica formulata, elaborata durante<br />

la progettazione<br />

Lo scopo della validazione delle funzioni di sicurezza è quello di<br />

verificare che i segnali di uscita legati alla sicurezza siano corretti e<br />

logicamente dipendenti dai segnali di ingresso secondo la specifica<br />

La validazione dovrebbe coprire tutte le condizioni normali e<br />

anomale prevedibili in simulazione statica e dinamica<br />

Le funzioni di sicurezza specificate devono essere validate in tutte<br />

le modalità di funzionamento della macchina<br />

Ciò significa che la validazione deve essere condotta per dimostrare<br />

la corretta funzionalità:<br />

in diverse configurazioni sufficienti per garantire che tutti i risultati<br />

legati alla sicurezza sono realizzati nei relativi campi completi;<br />

possono essere necessarie delle prove (per esempio prove di<br />

sovraccarico) per validare le funzioni di sicurezza specificate<br />

in risposta ad un segnale anomalo prevedibile da qualsiasi fonte<br />

di ingresso inclusa l'interruzione ed il ripristino dell'alimentazione<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 156


Stima del rischio<br />

CEI EN 62061:2005 – Allegato A<br />

La stima del rischio dovrebbe essere condotta per ogni pericolo,<br />

determinando i parametri di rischio che, come indicato in figura,<br />

dovrebbero essere derivati da quanto segue:<br />

gravità del danno Se<br />

probabilità di occorrenza di tale danno, che è una funzione della:<br />

frequenza e durata dell’esposizione di persone al pericolo Fr<br />

probabilità di occorrenza di un evento pericoloso Pr<br />

possibilità di evitare o limitare il danno Av<br />

Le stime inserite nella tabella dovrebbero generalmente basarsi sulle<br />

considerazioni del caso peggiore per la SRCF<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 157


Gravità (Se)<br />

CEI EN 62061:2005 – Allegato A<br />

La gravità delle lesioni o dei danni alla salute può essere stimata considerando<br />

lesioni reversibili, lesioni irreversibili e decessi. Scegliere un valore appropriato di<br />

gravità dalla tabella sulla base delle conseguenze di una lesione, dove:<br />

4 indica una lesione fatale o significativa irreversibile, tale da rendere molto<br />

difficile continuare lo stesso lavoro dopo la guarigione, ammesso che sia<br />

possibile;<br />

3 indica una lesione importante o irreversibile tale da rendere possibile<br />

continuare lo stesso lavoro dopo la guarigione. Può inoltre includere una<br />

lesione importante grave ma reversibile, quale la rottura di un arto;<br />

2 indica una lesione reversibile, comprese gravi lacerazioni, ferite da taglio e<br />

gravi escoriazioni che richiedono l’intervento di un medico;<br />

1 indica una lesione minore, compresi graffi e lacerazioni minori che<br />

richiedono le cure di un pronto soccorso.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 158


Frequenza e durata dell’esposizione esposizione (Fr)<br />

CEI EN 62061:2005 – Allegato A<br />

Considerare gli aspetti seguenti per determinare il livello dell’esposizione:<br />

necessità di accesso alla zona pericolosa sulla base di tutte le modalità d’uso, per<br />

esempio, funzionamento normale, manutenzione, e<br />

natura dell’accesso, per esempio, alimentazione manuale di materiali, impostazioni.<br />

Dovrebbe quindi essere possibile stimare l’intervallo medio tra le esposizioni e, di<br />

conseguenza, la frequenza media di accesso.<br />

Dovrebbe inoltre essere possibile prevedere la durata, per esempio, se maggiore di 10<br />

min. Quando la durata è inferiore a 10 minuti, il valore può essere ridotto al livello<br />

successivo. Questo non si applica a frequenze di esposizione ≤ 1 ora, che non<br />

dovrebbero mai essere ridotte.<br />

Tale fattore non prende in considerazione il guasto della SRCF.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 159


Probabilità del verificarsi di un evento<br />

pericoloso (Pr)<br />

CEI EN 62061:2005 – Allegato A<br />

Questo parametro può essere stimato considerando:<br />

a) Prevedibilità del comportamento delle parti costitutive della macchina relative al<br />

pericolo in diverse modalità d’uso (per esempio funzionamento normale, manutenzione,<br />

ricerca guasti). Questo richiede un’attenta considerazione del sistema di controllo,<br />

soprattutto per quanto riguarda il rischio di avvio inatteso. Non prendere in<br />

considerazione l’effetto protettivo di qualsiasi SRECS. Questo è necessario per stimare<br />

l’entità del rischio a cui si viene esposti in caso di guasto allo SRECS.<br />

b) Le caratteristiche specificate o prevedibili del comportamento umano relative<br />

all’interazione con le parti componenti della macchina relative al pericolo. Questo può<br />

essere caratterizzato da:<br />

sollecitazioni (per esempio, dovute a vincoli temporali, compiti di lavoro, percezione<br />

della limitazione del danno), e/o<br />

scarsa conoscenza delle informazioni relative al pericolo. Questo è influenzato da<br />

fattori quali capacità, formazione, esperienza e complessità della macchina/processo.<br />

Dovrebbe essere scelta una probabilità “molto alta” del verificarsi di un evento pericoloso per<br />

rispecchiare i vincoli normali alla produzione e le considerazioni del caso peggiore.<br />

Sono richiesti motivi positivi (per esempio, applicazioni ben definite e conoscenza di un<br />

elevato livello di competenza degli utilizzatori) per utilizzare qualsiasi valore inferiore.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 160


Probabilità di evitare o limitare il danno<br />

(Av)<br />

CEI EN 62061:2005 – Allegato A<br />

Questo parametro può essere stimato tenendo conto degli aspetti dei progetti<br />

della macchina e dell’applicazione prevista che possono contribuire a limitare o<br />

evitare il danno derivante da un pericolo. Tali aspetti comprendono, per esempio:<br />

insorgenza improvvisa, ad alta o bassa velocità, dell’evento pericoloso;<br />

possibilità spaziale di sottrarsi al pericolo;<br />

natura del componente o del sistema, per esempio un coltello è generalmente<br />

affilato, un tubo in una latteria è generalmente caldo, l’elettricità è generalmente<br />

pericolosa per sua natura, ma invisibile; e<br />

possibilità di riconoscere un pericolo, per esempio un rischio elettrico: una sbarra di<br />

rame non cambia aspetto se è in tensione o no; per accorgersene è necessario<br />

uno strumento per stabilire se un’apparecchiatura elettrica è energizzata o no; le<br />

condizioni ambientali, per esempio, elevati livelli di rumore, possono impedire a<br />

una persona di sentire l’avviamento di una macchina.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 161


Classe di probabilità e assegnazione del<br />

SILCL<br />

CEI EN 62061:2005 – Allegato A<br />

Per ogni pericolo e, se applicabile, per ogni grado di gravità sommare i punteggi delle<br />

colonne Fr, Pr e Av e inserire la somma nella colonna Cl della tabella<br />

Utilizzando la Tabella successiva, il punto di intersezione tra la riga della gravità (Se) e la<br />

relativa colonna (Cl) indica se è necessaria un’azione. La zona nera indica il SIL assegnato<br />

come obiettivo per la SRCF. Le zone di colore più chiaro dovrebbero essere utilizzate come<br />

raccomandazione per l’uso di altre misure (OM).<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 162


Come determinare il SILCL<br />

Sommare i punteggi delle colonne Fr, Pr e Av e inserire la somma nella<br />

colonna Cl<br />

Il punto di intersezione tra la riga della gravità (Se) e la relativa colonna<br />

(Cl) indica se è necessaria un’azione<br />

La zona nera indica il SIL assegnato come obiettivo per la SRCF<br />

Le zone di colore grigio indicano la raccomandazione per l’uso di<br />

altre misure (OM)<br />

Se=3 Cl=4+4+5=13 SIL = 2<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 163


Modulo di valutazione del rischio<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 164


Verifica del SIL raggiunto da uno SRECS<br />

CEI EN 62061:2005<br />

Il SIL che può essere raggiunto dallo SRECS deve essere considerato<br />

separatamente per ogni SRCF che lo SRECS deve eseguire<br />

Il SIL che può essere raggiunto dallo SRECS deve essere determinato<br />

dalla probabilità di un guasto pericoloso casuale dell’hardware, dai<br />

vincoli all’architettura e dall’integrità sistematica della sicurezza dei<br />

sottosistemi che comprendono lo SRECS. Il SIL raggiunto è inferiore o<br />

pari al valore più basso dei SILCL di ognuno dei sottosistemi per<br />

l’integrità sistematica della sicurezza e i vincoli all’architettura<br />

La probabilità di un guasto pericoloso di ogni SRCF dovuta a guasti<br />

casuali pericolosi dell’hardware deve essere stimata tenendo conto:<br />

dell’architettura degli SRECS in relazione a ogni SRCF considerata<br />

del tasso stimato di guasti di ogni sottosistema nell’esecuzione del<br />

blocco o dei blocchi funzionali assegnati in qualsiasi modalità<br />

suscettibile di causare un guasto pericoloso dello SRECS<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 165


Verifica del SIL raggiunto da uno SRECS<br />

CEI EN 62061:2005<br />

La stima della probabilità di un guasto pericoloso deve essere basata<br />

sulla probabilità di un guasto pericoloso casuale dell’hardware di ogni<br />

sottosistema relativo. La probabilità di guasti pericolosi casuali<br />

dell’hardware dello SRECS è la somma delle probabilità di guasti<br />

casuali pericolosi dell’hardware di tutti i sottosistemi legati<br />

all’esecuzione della SRCF, e deve comprendere, ove è il caso, la<br />

probabilità di errori pericolosi di trasmissione per i processi di<br />

comunicazione di dati digitali (P TE ):<br />

PFH D = PFH D1 + ...+ PFH Dn + P TE<br />

Il SIL ottenuto dagli SRECS secondo i vincoli all’architettura è inferiore o<br />

pari al SILCL più basso di qualsiasi sottosistema interessato<br />

all’esecuzione della SRCF.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 166


Specifica delle prescrizioni per una SRCF<br />

CEI EN 62061:2005 - Allegato B<br />

Specifica delle prescrizioni per una SRCF<br />

Se la porta di protezione è aperta, la velocità di rotazione<br />

dell’albero non deve essere (funzione e integrità) superiore a<br />

quella specificata<br />

Prescrizione di integrità della sicurezza SIL 2<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 167


Scomposizione in blocchi funzionali<br />

CEI EN 62061:2005 - Allegato B<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 168


Concetto iniziale dell’architettura di uno<br />

SRECS<br />

CEI EN 62061:2005 - Allegato B<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 169


Architettura di uno SRECS con funzioni diagnostiche<br />

incorporate all’interno di ogni sottosistema<br />

CEI EN 62061:2005 - Allegato B<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 170


Stima del SIL raggiunto dallo SRECS<br />

CEI EN 62061:2005 - Allegato B<br />

Il SIL che può essere richiesto per lo SRECS deve essere inferiore o uguale ai SILCL di<br />

qualsiasi sottosistema. La probabilità di un guasto pericoloso casuale all’hardware dello<br />

SRECS (PFH DSRECS ) è la somma delle probabilità di guasti pericolosi all’ora di tutti i<br />

sottosistemi (da PFH D1 a PFH Dn ) interessati alla prestazione della funzione di controllo<br />

relativa alla sicurezza e deve comprendere, ove è il caso, la probabilità di errori pericolosi<br />

di trasmissione (P TE ) per i processi di comunicazione di dati digitali nel modo seguente:<br />

Per questo esempio, il valore di guasto da raggiungere per la funzione di controllo<br />

relativa alla sicurezza è SIL 2 e questo equivale a una probabilità di guasti pericolosi<br />

all’ora (PFH D ) compresa tra 10 -7 e 10 -6 . Pertanto, considerando che le probabilità di<br />

un guasto pericoloso all’ora di ogni sottosistema siano quelle indicate nel seguito, la<br />

somma delle probabilità di guasti pericolosi all’ora di tutti i sottosistemi può essere<br />

stimata come indicato nella figura successiva.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 171


Stima del SIL raggiunto dallo SRECS<br />

CEI EN 62061:2005 - Allegato B<br />

Pertanto, in questo esempio, il progetto di SRECS può dimostrare di<br />

soddisfare tutte le prescrizioni per la realizzazione della funzione di<br />

controllo relativa alla sicurezza a SIL 2.<br />

www.quadrasrl.net<br />

Applicazione pratica 138491 & 62061/0 - 172

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!