ABB Guida Sicurezza e Sicurezza Funzionale

7/27/2019 ABB Guida Sicurezza e Sicurezza Funzionale

1/20

Sicurezza e sicurezza funzionale.Guida generale


2/202 | Sicurezza e sicurezza funzionale

ABB, da sempre attenta al mondo dellasicurezza, offre un portafoglio di prodottie di soluzioni di automazione innovativo

e completo in grado di rispondere a tuttii requisiti imposti dalla normativa sullasicurezza delle macchine.



Sommario

Questo documento costituisce solo una guida informativa. Le informazioni e gli esempi riportati in questa

guida sono di carattere generale e non offrono tutti i dettagli necessari per limplementazione di un sistema

di sicurezza. Il costruttore della macchina rimane il responsabile ultimo della sicurezza e della conformit

del prodotto. ABB declina qualsiasi responsabilit per eventuali lesioni o danni diretti o indiretti causati

dallutilizzo delle informazioni contenute nel presente documento. Il costruttore della macchina sempre

responsabile della sicurezza del prodotto e della conformit dello stesso alla legislazione in vigore.

ABB declina ogni responsabil it eventualmente ri sultante dal presente documento.

Considerazioni preliminari ................................................................................................4Introduzione .....................................................................................................................5

Due nuovi standardISO 13849-1, per la costruzione di macchine sicure ...................................................6EN 62061, per la progettazione di sistemi di sicurezza elettrici .........................................6

Conformit ai requisiti della Direttiva Macchine .....................................................8

Procedura per la conformit ai requisiti della Direttiva MacchinePasso 1 - Valutazione e riduzione del rischio ..................................................................10

Passo 2 - Denizione dei requisiti di sicurezza................................................................12Passo 3 - Implementazione di un sistema di sicurezza funzionale............................14Passo 4 - Verifica della sicurezza funzionale ..............................................................15Passo 5 - Convalida della sicurezza funzionale .........................................................18Passo 6 - Creazione di documentazione relativa alla sicurezza funzionale ......................18Passo 7 - Verica della conformit .................................................................................18

Glossario......................................................................................................................19



Considerazioni preliminari

Questo documento stato redatto per consentire agliutenti, ai responsabili della definizione delle specifiche,ai costruttori di macchine e agli operatori coinvolti in taliattivit, di comprendere meglio i requisiti indicati

nella Direttiva Macchine dellUnione europea 2006/42/CE,nonch le misure necessarie per conformarsi alla direttivae alle norme armonizzate ivi indicate.

Le leggi nazionali degli Stati membri dellUnione Europeaprevedono che le macchine soddisno i requisiti essenzialidi salute e sicurezza EHSR (Essential Health and SafetyRequirements) deniti dalla Direttiva Macchine 2006/42/CE.

Le norme armonizzate specicate nella Direttiva costituiscono unadelle vie preferenziali per dimostrare la conformit.

Questo signica che tutte le nuove macchine immesse sulmercato allinterno dellUnione Europea devono soddisfare glistessi requisiti legali. Le stesse norme sono riconosciute anche indiverse zone fuori dallEuropa, ad esempio mediante ladozione ditabelle di equivalenza.Questo facilita la commercializzazione e la spedizione di macchinetra diversi paesi sia allinterno che allesterno dellUnione Europea.La sicurezza delle macchine una delle aree di interesse in pirapida crescita nellambito dellautomazione industriale. Le nuovestrategie di sicurezza consentono ai costruttori di migliorare lapropria produttivit e la competitivit sul mercato. La sicurezzadiventa parte integrante della funzionalit della macchina e non

pi una modica aggiunta solo per ottenere la conformit alle leggivigenti.

Area di crescente importanza



I sistemi di sicurezza funzionale sviluppati attraverso unprocesso definito e che utilizzano sotto-sistemi certificatiper raggiungere specifici livelli di sicurezza sono ormai

una necessit per il mercato.

Questa guida generale descrive le norme che devono esseretenute in considerazione durante la progettazione di una macchinaal ne di garantirne la sicurezza funzionale.

Lo scopo di questo documento spiegare, in termini generali,le procedure da seguire per soddisfare i requisiti della DirettivaMacchine 2006/42/CE e ottenere la marcatura CE.

Nellottica di questa guida, lobiettivo delle soluzioni di sicurezza la protezione da danni e lesioni. I sistemi di sicurezza funzionale

raggiungono questo obiettivo riducendo la probabilit di eventinon desiderati, minimizzando cos il numero di incidenti durantelutilizzo delle macchine.

Le norme speciche deniscono la sicurezza come assenzadi rischi non accettabili. Il modo pi efcace per ridurre i rischiconsiste nelleliminarli a livello di progettazione. Tuttavia, se unariduzione del rischio in fase di progettazione non una soluzionepossibile o praticabile, la protezione mediante sistemi di sicurezzapassiva e funzionale rappresenta spesso la scelta migliore.Arrestare una macchina velocemente e in sicurezza non soloriduce i rischi, ma aumenta anche il tempo di operativit e la

produttivit della macchina perch riduce i tempi di fermo ed evitaarresti improvvisi. Nello stesso tempo, risultano soddisfatti tuttigli obblighi di legge e viene garantita la sicurezza delle personee dellambiente. La sicurezza funzionale delle macchine vienein genere ottenuta mediante sistemi che monitorano e, quandonecessario, assumono il controllo delle funzioni della macchina,in modo da garantirne un funzionamento sicuro. Tali sistemiimplementano le funzioni di sicurezza richieste e necessarie.I sistemi di sicurezza funzionale, infatti, sono progettati per rilevarele condizioni di pericolo e riportare la macchina a uno stato difunzionamento sicuro oppure per garantire lesecuzione delleazioni desiderate, ad esempio un arresto di emergenza.

Il monitoraggio pu includere fattori quali la velocit, larresto,la direzione di rotazione e linattivit. Quando il sistema staeseguendo una funzione di sicurezza attiva, ad esempio il

monitoraggio della velocit di avanzamento, e si verica unoscostamento dal comportamento previsto, ad esempio lamacchina funziona a velocit troppo elevata, il sistema disicurezza rileva tale irregolarit e riporta attivamente la macchinain condizioni di sicurezza. Tale risultato pu essere raggiunto, adesempio, mettendo in atto un arresto di emergenza e riducendola coppia dellalbero motore. Un eventuale guasto al sistema disicurezza fa aumentare immediatamente il rischio correlato alfunzionamento della macchina.

Direttiva Macchine 2006/42/CELa Direttiva Macchine e le relative norme armonizzate deniscono

i requisiti essenziali di salute e sicurezza EHSR (Essential Healthand Safety Requirements) per le macchine a livello dellUnioneeuropea.

Lidea alla base della Direttiva Macchine garantire che unamacchina sia sicura e che venga progettata e costruita inmodo tale da poter essere utilizzata, congurata e sottopostaa manutenzione durante tutte le fasi del ciclo di vita con livellidi rischio minimi per le persone e per lambiente.

LEHSR stabilisce che i costruttori di macchine debbano applicarei seguenti principi in questordine:

- eliminare o ridurre nella misura maggiore possibile i fattoridi pericolo, tenendo in considerazione gli aspetti relativialla sicurezza durante le fasi di progettazione e costruzionedella macchina;

- applicare tutte le misure di protezione necessarie contro ipericoli che non possibile eliminare;

- informare gli utenti dei rischi ancora presenti nonostanteladozione di tutte le misure di protezione realizzabili;specificando tutti i requisiti relativi alladdestramentodel personale o allutilizzo di dispositivi di protezioneindividuale.

IntroduzioneSicurezza e sicurezza funzionale



Due sistemi di normeISO e IEC

Due nuovi standardI costruttori di macchine che implementano sistemi di sicurezza funzionale in conformit con la DirettivaMacchine hanno la possibilit di scegliere fra due standard europei alternativi, sviluppati rispettivamente

dallISO (Organizzazione Internazionale per la Standardizzazione) e dalla IEC (CommissioneElettrotecnica Internazionale). I due standard si chiamano EN ISO 13849-1 e EN 62061. Entrambisostituiscono il vecchio standard EN 954-1, che diventer obsoleto il 31 dicembre 2011, dopo unperiodo di transizione di 3+2 anni. Inoltre, entrambi fanno parte delle norme di base per la sicurezza dellemacchine per la minimizzazione del rischio (EN ISO 12100-1: 2003) e per la valutazione e riduzione delrischio (EN ISO 14121-1: 2007). La Figura 1 illustra questa gerarchia.

Le norme per la sicurezza elettrica sono formalmente denite cos: EN ISO 13849-1: 2008(Sicurezza delle macchine Parti del sistema di controllo correlate alla sicurezza Principi generali diprogettazione), EN 62061: 2005 (Sicurezza delle macchine Sicurezza funzionale dei sistemi elettrici,elettronici ed elettronici programmabili per applicazioni di sicurezza). Tutti i riferimenti a queste normepresenti nel documento si riferiscono alle versioni sopra indicate. I costruttori possono scegliere se e

quale norma di sicurezza utilizzare (tra ISO 13849-1 o EN 62061). Tuttavia, per assicurare coerenza, siraccomanda di utilizzare la stessa norma dallinizio alla ne.

I due sistemi forniscono risultati molto simili e i livelli SIL (Safety Integrity Levels) e PL (PerformanceLevels) sono paragonabili. (vedere Tabella 7).Questo documento riporta esempi di risultati di sicurezza e integrit per entrambe le norme.

ISO 13849-1, per la realizzazione di macchine sicureLa norma EN ISO 13849-1 fornisce ai costruttori istruzioni per la realizzazione di macchine sicure.Queste istruzioni comprendono indicazioni per la progettazione, lintegrazione e la convalida dei sistemie possono essere utilizzate per le parti correlate alla sicurezza dei sistemi di controllo e di diversetipologie di macchina, indipendentemente dalla tecnologia e dal tipo di energia utilizzati. Nelle norme

sono inoltre inclusi requisiti speciali per le parti correlate alla sicurezza che dispongono di sistemielettronici programmabili. Questa norma copre tutti i dispositivi inclusi nellintera funzione di sicurezza(una catena di sicurezza completa pu essere ad esempio: sensore logica attuatore).

Nota.

Secondo la convenzione

utilizzata nellelenco delle norme

armonizzate, le norme EN ISOsono indicate includendo anche la

dicitura ISO, mentre le norme EN

IEC sono indicate senza la dicitura

IEC, ovvero solo con EN. Anche il

presente documento segue questa

convenzione.

Nota.

Una tabella che illustra

ladeguatezza di queste due nuove

norme per la progettazione di

sistemi con tecnologie particolaripu essere trovata allinterno delle

norme stesse.

Procedura percreare sistemidi sicurezza

Concetti di basee terminologia:EN ISO 12100Valutazionerischio

ISO 14121-1

1.Sistema di sicurezza2.Macchina sicura3.

Marcatura CE

Figura 1.

Costruttorid

imacchine

2005 11/2006 11/2009

EN 954-1

EN ISO 13849-1

EN 62061

Periodo di transizione

12/2009

Nuova direttiva macchine

12/2011

Attuazionecompleta

Periodo di transizione esteso

Norma per creare sistemi di

sicurezza EN ISO 13849-1

Norma per creare sistemidi sicurezza EN 62061



PL (Performance Level)La norma EN ISO 13849-1 denisce il modo in cui viene determinato il PL (Performance Level)richiesto per un sistema di sicurezza e il modo in cui il PL ottenuto viene vericato. Il livello PL indicalefcienza e lafdabilit con cui un sistema di sicurezza in grado di eseguire una funzione disicurezza in condizioni prevedibili. Sono disponibili cinque livelli di prestazioni: a, b, c, d, e.Il valore PL e indica il livello pi alto di afdabilit del sistema di sicurezza, mentre il valore PL aindica quello pi basso. Vedere lesempio a pag.13.

EN 62061, per la progettazione di sistemi elettrici di sicurezzaLa norma EN 62061 riguarda la progettazione dei sistemi elettrici di sicurezza. una norma specicadel settore macchine e si inserisce nel quadro della norma IEC 61508. La norma EN 62061comprende indicazioni per la progettazione, lintegrazione e la convalida di sistemi elettrici, elettronicied elettronici programmabili per applicazioni di sicurezza. Tale norma copre lintera catena disicurezza, ad esempio sensore logica attuatore.

SIL (Safety Integrity Level)La norma EN 62061 specica il modo in cui viene denito il livello SIL (Safety Integrity Level).Il livello SIL una rappresentazione del livello di integrit delle funzioni di sicurezza. Sono disponibiliquattro livelli di integrit della sicurezza: 1, 2, 3 e 4. SIL 4 corrisponde al livello pi alto di integrit

della sicurezza, mentre SIL 1 corrisponde al livello pi basso. Nelle macchine vengono utilizzati soloi livelli 1-3. Vedere lesempio a pag. 12.

Nota.

A differenza della norma EN ISO

13849-1, nella norma EN 62061

non vengono trattati i requisiti

relativi ai dispositivi di controllo non

elettrici correlati alla sicurezza delle

macchine.



Conformit ai requisitidella Direttiva Macchine

La Direttiva Macchine 2006/42/CE prevede che le macchine siano sicure. Tuttavia, considerato chenon possibile azzerare totalmente il rischio, lobiettivo pi importante ridurre il rischio al minimo.La conformit a questo obiettivo pu essere raggiunta in due modi:- conformarsi ai requisiti stabiliti dalle norme armonizzate oppure- affidare a terzi autorizzati il compito di attestare la conformit di una macchina.Raggiungere e gestire la sicurezza funzionalePer raggiungere un livello di sicurezza funzionale conforme allEHSR della Direttiva Macchine,ovvero la prima alternativa, necessario seguire alcuni passi. Per ognuno di questi passi, bisognerconsiderare lintero sistema e lambiente con cui esso interagisce. Questi passi comprendonovalutazione del rischio, individuazione e implementazione delle funzioni di sicurezza necessarie perla riduzione del rischio e verica del funzionamento delle suddette funzioni di sicurezza.

Tutte le attivit di sicurezza funzionale devono essere gestite durante il ciclo di vita della macchina.Un sistema di gestione del progetto e della qualit sotto forma di piano per la sicurezza il migliormodo per ottenere la conformit.

Piano per la sicurezzaLa norma EN 62061 individua in un piano per la sicurezza lo strumento necessario per conformarsi airequisiti previsti dalla Direttiva Macchine. Il piano per la sicurezza identica tutte le attivit pertinenti,descrive i criteri e le strategie da adottare per soddisfare i requisiti di sicurezza funzionale, identica leresponsabilit, individua o denisce le procedure e le risorse per la creazione della documentazione,descrive la strategia per la gestione della congurazione, include piani di verica e convalida.Tale piano deve essere appositamente progettato e documentato, nonch opportunamenteaggiornato, per ciascun sistema di sicurezza.

Dopo aver creato un piano per la sicurezza conforme alla norma EN 62061, possibile passareagli aspetti pi pratici, seguendo la procedura in 7 passi illustrata nella Tabella 1, che inizia con lavalutazione e riduzione del rischio.

Tabella 1.Procedura da seguire per soddisfare i requisiti della Direttiva Macchine per la sicurezza funzionale.Di seguito ognuno di questi passi illustrato in maggior dettaglio.

Nota.

A differenza della norma EN 62061, l a

norma EN ISO 13849-1 non specifica

le attivit da eseguire nel piano per

la sicurezza. Rimane comunque

necessario eseguire attivit simili per

soddisfare completamente i requisiti

della Direttiva Macchine.

Tabella 1

Passo Azioni richieste

Passo 1 - Valutazione e riduzione del rischio Anali zzare i ri schi e valutare come eliminarli o min imizzarli(per la strategia in 3 passi, vedere EN ISO 12100-1)

Passo 2 - Definizione dei requisiti di sicurezzaDefinire il tipo di funzionalit e prestazioni di sicurezza necessarie pereliminare il rischio o ridurlo ad un livello accettabile

Passo 3 - Implementazione di un sistema disicurezza funzionale

Progettare e creare le funzioni del sistema di sicurezza

Passo 4 - Verifica della sicurezza funzionale Assicurarsi che il sistema di sicurezza soddisfi i requisiti definiti

Passo 5 - Convalida della sicurezza funzionaleRipetere la valutazione del rischio e assicurarsi che il sistema disicurezza riesca realmente a ridurre il rischio come previsto

Passo 6 - Creazione della documentazionerelativa a un sistema di sicurezza funzionale

Produrre documentazione sulla progettazione e documenti per lutente

Passo 7 - Verifica della conformitVerificare la conformit della macchina ri spetto alla ai requis iti EHSRdella Direttiva Macchine tramite una valutazione della conformit edelle caratteristiche tecniche



Passo 1.Valutazione e riduzione del rischio

Valutazione del r ischio

La valutazione del rischio il processo in base al quale i rischi vengono analizzati e calcolati.Il termine rischio indica la conseguenza di un danno, combinata con la probabilit che tale dannosi verichi, in caso di esposizione a un pericolo. La Direttiva Macchine 2006/42/CE prescriveche i costruttori eseguano obbligatoriamente le operazioni di valutazione del rischio i cui risultatisiano tenuti in considerazione durante tutte le fasi di progettazione di una macchina. Ogni rischioconsiderato elevato deve essere ridotto a un livello accettabile apportando modiche al progetto oapplicando misure di protezione adeguate. Il processo di valutazione del rischio indica al costruttoretutti i requisiti necessari per la realizzazione di macchine intrinsecamente sicure. estremamenteimportante valutare i rischi in fase di progettazione. In genere, tale approccio infatti pi efcaceche non fornire istruzioni allutente per il funzionamento sicuro dellapparecchiatura. In base allanorma EN ISO 12100-1 il processo di valutazione del rischio si articola in due parti: analisi del rischioe calcolo del rischio. Il termine analisi si riferisce allidenticazione e alla stima dei rischi, mentre il

termine calcolo implica decidere se il livello di rischio accettabile o deve essere ridotto. Il calcolo delrischio viene eseguito in base ai risultati dellanalisi e le eventuali decisioni circa la necessit di unariduzione del rischio vengono prese in base alla procedura di calcolo. necessario eseguire il calcolodel rischio separatamente per ciascuna fonte di pericolo. La Figura 2 illustra i passi del processo divalutazione e calcolo del rischio secondo la norma ISO 14121-1: i limiti della macchina descritti nellaFigura 2 comprendono limiti di utilizzo, limiti di spazio, limiti ambientali e limiti di durata. Valutare lagravit del rischio signica considerare le potenziali conseguenze, mentre la probabilit del rischiocomprende la frequenza, la probabilit e la possibilit di evitare il danno.Se il risultato dellanalisi e del calcolo del rischio descritti nella Figura 2 SI, lobiettivo di riduzione delrischio si considera raggiunto e la procedura di riduzione del rischio termina. In questo caso signicache la macchina ha raggiunto un adeguato livello di sicurezza secondo la Direttiva Macchine.

Se il risultato NO, signica che il rischio ancora inaccettabile ed necessario applicare misure diriduzione del rischio e poi tornare al passo 2 dellanalisi del rischio.

Figura 2.

Valutazi one e calco lo de l rischio

secondo la norma ISO 14121-1.

Creare sempre la documentazionerelativa al processo di valutazione

del rischio per ogni singola fonte di

pericolo.

Valutazione e calcolo del rischio

1. Determinare I limiti e la destinazionedella macchina

2. Identifcare i pericoli

3. Valutare il rischio in base alla gravite alla probabilit

4. Calcolare il rischio. Il rischio accettabile? No

Si

Fine

Figura 2.


11/20

Riduzione del rischio

Il metodo pi efcace per ridurre al minimo i rischi consiste nelleliminarli in fase di progettazione, adesempio apportando modiche al progetto o al funzionamento della macchina. In ogni caso, se non possibile eseguire il processo di riduzione del rischio e garantire la conformit ai requisiti applicandole norme armonizzate, in accordo con la Direttiva Macchine, la norma ISO 12100-1 articola il metodoper la riduzione del rischio in tre passi principali:- misure per una progettazione intrinsecamente sicura (creazione di un progetto con maggiori garan-

zie di sicurezza, modica del processo);- misure di sicurezza e di protezione complementari (funzioni di sicurezza, sicurezza passiva);- informazioni per luso (avvertenze, segnali e dispositivi di avviso sulla macchina, istruzioni opera-

tive, misure protettive adottate dal cliente, ad esempio corsi di formazione).

La Figura 2 rappresenta lo schema di riduzione del rischio in tre passi.

Figura 2 - Riduzione del rischio in base alla norma ISO 12100-1. Creare sempre documentazione suirischi residui da fornire allutente con le istruzioni operative.Lultimo punto (informazioni per luso) anche denito gestione del rischio residuo. Il rischio residuo quello rimanente dopo che tutte le misure di protezione sono state prese in considerazione e imple-mentate. Poich limpiego della tecnologia non consente di garantire la totale assenza di rischio,alcuni rischi residui non possono comunque essere eliminati. Tutti i rischi residui devono essere ripor-tati nelle istruzioni operative.Gli utenti delle macchine e le organizzazioni giocano un ruolo importante nella riduzione del rischio,per questo in genere vengono informati su tutti gli aspetti importanti da chi ha progettato la macchina(costruttore). Le misure di riduzione generalmente adottate da unorganizzazione comprendono:- introduzione di procedure di utilizzo sicure, supervisione in fase di utilizzo, sistemi di controllo

dellutilizzo;

- introduzione e utilizzo di misure di sicurezza aggiuntive;- utilizzo di dispositivi di protezione individuale;- formazione degli utenti;- lettura (e applicazione conseguente) delle istruzioni operative e di sicurezza.Dopo aver eseguito il processo di riduzione del rischio, necessario esaminarne i risultati per veri-care che le misure adottate abbiano adeguatamente ridotto il rischio a un livello opportuno.Tale verica pu essere eseguita ripetendo il processo di valutazione.

Gli utenti delle macchine e le organiz-zazioni possono fornire preziosi

feedback sulla sicurezza e i progettisti

dovrebbero sollecitarne le opinioni

durante la fase di definizione delle

misure protettive.

Metodo di riduzione del rischioin 3 passi

3. La riduzione del rischio stata ottenutafornendo informazioni allutente?Si No

Si

Fine

2. La riduzione del rischio stata ottenutatramite misure di sicurezza funzionale?Si No

1. La riduzione del rischio stataeffettuata in fase di progettazione?Si No

11 | Sicurezza e sicurezza funzionale



Passo 2.Definizione dei requisiti di sicurezza

Funzioni di sicurezzaUna funzione di sicurezza rappresenta una funzione di una macchina il cui guasto pu determinare unimmediato aumento del rischio. Pi semplicemente, comprende le misure da adottare per ridurre laprobabilit che un evento indesiderato possa vericarsi e rappresentare un pericolo. Una funzione disicurezza non fa parte del funzionamento di una macchina. In caso di errore della funzione di sicurezza,la macchina pu quindi funzionare normalmente, ma il rischio di lesioni per loperatore aumenta.

Denire una funzione di sicurezza molto importante e include sempre due elementi:- Azione (loperazione da eseguire per ridurre il rischio)- Prestazioni di sicurezza (SIL, Safety Integrity Level, o PL, Performance Level)

Esempio di funzione di sicurezzaPericolo - un albero rotante esposto pu causare lesioni ad un operatore che si avvicina molto.

Azione - per impedire che lalbero provochi lesioni personali, il motore deve arrestarsi entro un (1 s)secondo dallapertura del dispositivo di sicurezza. Una volta denita la funzione di sicurezza cheesegue lazione, viene determinato il relativo livello di sicurezza richiesto, come descritto di seguito.Questo completa il processo di denizione della funzione di sicurezza.

Prestazioni e integrit della sicurezzaLintegrit della sicurezza misura le prestazioni di una funzione di sicurezza e indica la probabilit chetale funzione, quando richiesto, venga eseguita. Lintegrit della sicurezza richiesta per una funzioneviene determinata durante la fase di valutazione del rischio e viene espressa dal livello di integrit dellasicurezza (Safety Integrity Level, SIL) o dal livello di prestazioni (Performance Level, PL) raggiunto, aseconda della norma utilizzata. Pur basandosi su tecniche di valutazione diverse di una funzione disicurezza, le due norme restituiscono risultati comparabili e utilizzano termini e denizioni simili.

Come determinare il SIL richiesto (EN 62061)Di seguito viene riportato il processo da eseguire per determinare il livello SIL richiesto:1. Determinare la gravit delle conseguenze provocate da un evento pericoloso2. Determinare il punteggio per la frequenza e la durata dellesposizione al danno da parte di un

operatore3. Determinare il punteggio per la probabilit che levento pericoloso si verichi durante lintervallo di

esposizione4. Determinare il punteggio per la possibilit di evitare il danno o di limitarne la portata

Nota.

Una funzione di sicurezza deve essere

specificata, verificata (funzionamento

e prestazioni di sicurezza) e

convalidata separatamente per ogni

fonte di pericolo identificata.

Misure di sicurezza aggiuntive

vanno specificate, terminata la fase

di riduzione del rischio implemetabiledurante la progettazione. Queste

misure aggiuntive di riduzione del

rischio si basano sulla sicurezza

funzionale.

Probabilit che si verichi un danno

Fr

Frequenza, durata

Pr

Probabilit evento pericoloso

Av

Possibilit di evitare il danno

1h giorno 2 settimane 1 anno 2 Trascurabile 1 Probabile 1

Totale: 5 + 3 + 3 = 11

Gravit del danno Classe SIL

Gra

Conseguenze (gravit)

Classe CI

3-4 5-7 8-10 11-13 14-15

Morte, perdita di un occhio o di un

braccio

4 SIL2 SIL2 SIL2 SIL3 SIL3

Permanente, perdita dita 3

Altre misure

SIL1 SIL2 SIL3

Reversibile, con cure mediche 2 SIL1 SIL2

Reversibile, solo primo soccorso 1 SIL1

necessaria una funzione di sicurezza SIL2.

Tabella 2.

Tabella 2.

La tabella di definizione del SIL

illustra la procedura da seguire per

determinare lintegrit della sicurezza.

Il risultato complessivo nellesempio

citato SIL 2.



EsempioLa Tabella 2 mostra lo schema per lassegnazione del SIL e contiene i parametri utilizzati perdeterminare il punteggio relativo allesempio di unanalisi del rischio per un albero rotante esposto.

- Un operatore risulta esposto al pericolo pi volte al giorno. Frequenza (Fr) = 5- possibile che si verifichi levento pericoloso. Probabilit (Pr) = 3- Il pericolo pu essere evitato. Possibilit di evitare il pericolo (Av) = 3- La somma di Fr, Pr e Av (5+3+3) = 11- La conseguenza dellevento pericoloso la lesione irreversibile, con possibile perdita delle

dita. Gravit (Se) = 3

Come determinare il PL richiesto (ISO 13849-1)

Il PL un parametro alternativo al SIL. Per determinare il livello di prestazione (PL) richiesto,selezionare una delle alternative tra le categorie riportate di seguito e utilizzare il graco (Figura 3) percreare un percorso per il raggiungimento di tale PL.Nel graco, i livelli di prestazione sono deniti come a, b, c, d, e.

- Determinare la gravit del danno:- S1 Lieve, in genere lesione reversibile- S2 Grave, in genere lesione irreversibile inclusa la morteDeterminare la frequenza e la durata dellesposizione al pericolo:- F1 Da raramente a spesso e/o tempo di esposizione breve- F2 Da frequentemente a costantemente e/o tempo di esposizione lungo

Determinare la possibilit di evitare il pericolo o di limitare il danno causato dallevento pericoloso: P1 Possibile in determinate condizioni P2 Poco probabile

EsempioAnalisi del rischio per un albero rotante esposto.- La conseguenza dellevento pericoloso la lesione irreversibile grave. Gravit = S2.- Un operatore risulta esposto al pericolo pi volte al giorno. Frequenza = F2.- possibile evitare o limitare il danno causato dallevento pericoloso. Possibilit = P1

Dallanalisi dello schema si evince che il valore del PL (PLr) d.

Come per il SIL, le tabelle utilizzate per determinare il punteggio sono incluse nella norma e una voltadenito il PLr, possibile implementare il sistema di sicurezza.

Figura 3.

In questesempio il livello

complessivo, secondo la tabella

2, SIL2. Le tabelle utilizzate per

determinare il livello sono riportate

nella norma.

Una volta definito il SIL possibile

implementare il sistema di sicurezza

(vedere Passo 3: implementazione di

un sistema di sicurezza funzionale).

Figura 3.

Il grafico del rischio PL illustra la

procedura da seguire per stabilire

il livello di prestazioni di sicurezza

necessario. Il risultato totale di questo

esempio PL d.

Inizio

Rischiobasso

Altorischio

richiesta unafunzione di sicurezzache rispetti il PL D.



Per realizzare una funzione di sicurezza, necessario, in fase di progettazione, rispettare ilSIL/PL determinato al Passo 2: denizione dei requisiti di sicurezza. Limplementazione delle funzionidi sicurezza risulta infatti facilitata se alcuni dei calcoli relativi alla sicurezza e allafdabilit sono gistati eseguiti e i sottosistemi sono certicati. Limplementazione e la verica dei processi hannocarattere iterativo e vengono eseguite parallelamente.

Durante limplementazione, lo strumento della verica viene infatti utilizzato per garantire ilraggiungimento del livello di sicurezza denito nel sistema implementato. Per ulteriori informazionisui processi di verica, vedere il Passo 4: verica della sicurezza funzionale. Sono disponibili moltisoftware di calcolo per vericare i sistemi di sicurezza funzionale. Queste applicazioni consentono disemplicare molto il processo di creazione e verica del sistema.

I passi generali necessari per implementare un sistema di sicurezza funzionale includono:1. Denizione dei requisiti di sicurezza sotto forma di SIL e/o PL in base alla norma EN 62061 e/oEN ISO 13849-1.

2. Scelta dellarchitettura da utilizzare per il sistema di sicurezza. Le norme EN ISO 13849-1 eEN 62061 forniscono architetture di base con le relative formule di calcolo.

Determinazione della categoria B, 1, 2, 3 o 4, denita nella norma EN ISO 13849-1 oppuredellarchitettura indicata con A, B, C o D, denita nella norma EN 62061 per i sottosistemi e perlintero sistema. Per ulteriori informazioni sulle architetture designate, fare riferimento alle rispettivenorme.

3. Realizzazione del sistema a partire da sottosistemi correlati alla sicurezza sensore/switch,ingresso, logica, uscita e attuatore. possibile utilizzare sottosistemi certicati (scelta consigliata)oppure eseguire calcoli relativi alla sicurezza per ciascun sottosistema. Il livello di sicurezza delsistema completo viene determinato sommando i livelli di sicurezza dei sottosistemi.Nella Figura 4 indicata la struttura di una funzione di sicurezza.

4. Installazione del sistema di sicurezza. Per evitare possibilit di errori comuni dovuti a cablaggioerrato, fattori ambientali o altre cause simili, necessario installare il sistema correttamente. Unsistema di sicurezza con problemi di prestazioni dovuti a carenze nellinstallazione e assai pocoutile e pu presentare addirittura rischi intrinseci.

Passo 3.Implementazione di un sistema disicurezza funzionale

Nota.Se si utilizzano sottosistemi non

certificati, pu essere necessario

eseguire calcoli relativi alla sicurezza

per ciascuno di essi. Nelle norme

EN 62061 e EN ISO 13849-1 sono

incluse informazioni sul processo e

sui parametri di calcolo necessari.

Nota.

Per soddisfare i requisiti dellEHSRdella Direttiva Macchine, tutti

i sottosistemi di un sistema di

sicurezza funzionale devono avere

almeno il livello SIL/PL richiesto dal

sistema.

Figura 4

Finecorsa/ingressi Logica di sicurezza +I/O Attuatore(Funzione Safe Torque Off,STO)

Sottosistema 1 Sottosistema 2 Sottosistema 3



Passo 4.Verifica della sicurezza funzionale

Passo 4 - verifica della sicurezza funzionaleVerica del SIL di un sistema di sicurezza (EN 62061)Per vericare i livelli di integrit della sicurezza, necessario dimostrare che le prestazioni di sicurezza,ossia lafdabilit, della funzione di sicurezza creata siano superiori o uguali allobiettivo, denitodurante la fase di valutazione del rischio. Quando disponibili utilizzare sottosistemi certicati perchil costruttore ne ha gi denito i valori per determinare lintegrit della sicurezza a livello di sistema(SILCL) e lintegrit della sicurezza casuale dellhardware (PFHd).

Per verificare il SIL di un sistema di sicurezza contenente sottosistemi certificati:1. Determinare lintegrit della sicurezza a livello di sistema utilizzando i valori del SILCL

(SIL Claim Limit) deniti per i sottosistemi.Lacronimo SILCL indica il valore massimo del SIL per cui il sottosistema adatto dal punto di

vista strutturale. Viene utilizzato come indicatore per determinare il SIL raggiunto.Il SILCL dellintero sistema non pu mai essere superiore al SILCL del sottosistema con valore pibasso.

2. Calcolare lintegrit della sicurezza dellhardware del sistema utilizzando i valori di PFHd(Probability of a dangerous Failure per Hour) deniti per i sottosistemi. Lacronimo PFHd indica ilvalore di guasto casuale dellhardware utilizzato per determinare il livello SIL. Generalmente, i valoridi PFHd vengono forniti dai costruttori dei sottosistemi / componenti.

3. Utilizzare lelenco di controllo CCF (Common Cause Failure) per vericare che tutti gli aspettinecessari alla creazione dei sistemi di sicurezza siano stati presi in considerazione.Le tabelle relative allelenco di controllo CCF sono reperibili nella norma EN 62061 Allegato F.

4. Considerati i punti ottenuti in base allelenco e dal confronto del punteggio complessivo con ivalori elencati nella norma EN 62061 Allegato F, Figura 6, Tabella 4 si ottiene il coefciente CCF ().Questo valore viene utilizzato per la stima della probabilit rappresentata dal PFHd.

5. Determinare il SIL raggiunto in base alla Tabella 3.



EsempioVerica del SIL per il sistema di sicurezza funzionale relativoallalbero rotante. (Figura 5).

Integrit della sicurezza a livello di sistema:SILCLsys (SIL CL sottosistema) pi basso -> SIL Claim Limit 2

Integrit della sicurezza casuale dellhardware:PFHd = PFHd1+PFHd2+PFHd3 = 2,5 x 10-7 < 10-6

Il sistema soddisfa i requisiti del SIL 2 secondo la Tabella 3.

Tabella 3. Determinazione del SIL in base al valore del PFHdottenuto dallintero sistema di sicurezza. Nellesempioprecedente il sistema soddisfa i requisiti del SIL 2.

Verifica del PL del sistema di sicurezza (EN ISO 13849-1)Per vericare il livello di prestazioni (PL), necessario stabilirela corrispondenza tra il PL della rispettiva funzione di sicurezzae il PLr richiesto. Se pi sottosistemi fanno parte di ununicafunzione di sicurezza, i relativi livelli di prestazioni devonoessere uguali o superiori al livello di prestazioni richiesto per talefunzione.

Per verificare il PL di un sistema di sicurezza contenentesottosistemi certificati:1. determinare la predisposizione del sistema a guasti CCF

(Common Cause Failure) utilizzando lelenco di controlloCCF. Il punteggio minimo richiesto 65. (Le tabelle relativeallelenco di controllo CCF sono reperibili nella norma ISO13849-1:2008, Allegato I).

2. Determinare il PL raggiunto in base al graco a barreutilizzando i seguenti parametri deniti:- categoria;- MTTFd (Tempo medio prima di un guasto pericoloso);

- DC (Copertura diagnostica).

Lacronimo MTTFd indica lintervallo di tempo medio primadel vericarsi di un guasto pericoloso, mentre lacronimo DCrappresenta il numero di guasti pericolosi rilevabili mediantestrumenti di diagnostica.

Per ulteriori informazioni sui dettagli di calcolo, fare riferimentoalla norma EN ISO 13849-1.Immettere i valori ottenuti nel diagramma graco PL (Figura 6) dacui possibile determinare il PL risultante.

SIL Probabilit di guasti pericolosi per ora (1/h)

SIL 1 10-6 fino a < 10-5

SIL 2 10-7 fino a < 10-6

SIL 3 10-8 fino a < 10-7

Tabella 3.I valori rappresentati sono nella modalit alto numero di manovre.

Figura 5

Cat. BDC

avgness.

Cat. 1DC

avgness.

Cat. 2DC

avgbasso

Cat. 2DC

avgmedio

Cat. 3DC

avgbasso

Cat. 3DC

avgmedio

Cat. 4DC

avgalto

Figura 6

a

b

c

d

e

Basso

Medio

Alto

PL

MTTFd.

- Basso 3 anni



Dispositivodi comando: percomando a due manisicuro ed ergonomico

Esempio di verifica del PLVerica del sistema di sicurezza funzionale dellalbero rotante.(gura 6)

Figura 6. Verica del PL relativo allesempio dellalbero rotante.Nellesempio precedente, il sistema rientra nella categoria PL d.

Per raggiungere il PLr definito nellesempio precedente,tenere presente quanto segue:- Larchitettura designata rientra nella Categoria 3;- Il valore di MTTFd alto;- Il valore medio di DC basso.

Il sistema conforme al valore d del PL in base alla gura 6.La Tabella 4 mostra come determinare il PL in base al valore delPFHd ottenuto per lintero sistema di sicurezza.Il risultato (d) lo stesso.

Confronto tra i valori del SIL e del PLBench i metodi di valutazione adottati dalle due norme sianodiversi possibile confrontarne i risultati con guasto casualedellhardware, come mostra la Tabella 5.

PL Probabilit di guasti pericolosi per ora (1/h)

a 10-5fino a < 10-4

b 3 x 10-6 fino a < 10-5

c 10-6 fino a < 3 x 10-6

d 10-7 fino a < 10-6

e 10-8 fino a < 10-7

Tabella 4. Determinazione del PL in base al valore del PFH d

Livello integrit di sicurezza SIL Livello di prestazioni PL

Nessuna corrispondenza aSIL 1 bSIL 1 cSIL 2 dSIL 3 e

Tabella 5. Confronto tra i valori di SIL e PIL

Dispositivo a treposizioni:consentelesclusionetemporanea di partedel sistemadi sicurezza

Sensore:controlla che laporta sia chiusa

Arrestodemergenza:ferma la macchinain caso di pericolo

Chiusura magnetica:tiene la porta chiusadurante i processi

Sistema di recinzione:impedisce laccessoindesiderato e diminuisceil rumore

Serratura diprocesso: tienela porta chiusadurante i processi

Arrestodemergenza:per montaggiosu armadio

Bordidi contatto:proteggonocontro ferite daschiacciamento

Serraturadi sicurezza:assicura che la portasia chiusa

Misuratore del tempodarresto:per il calcolo dellaposizione delle potezioni

Barriera fotoelettrica:con rilevamentodelle dita

Barrierafotoelettrica:protezione perpassaggio

PLC di sicurezza erel di sicurezza:per la sorveglianzadelle protezioni

Portaavvolgibile:per distanzedi sicurezza brevie riduzionedei rumori

La gamma completa per rispondere alle esigenze di sicurezza industriale proposta da Jokab Safety, una societ del Gruppo ABB.



Passi 5, 6 e 7

Passo 5 - convalida di un sistema di sicurezza funzionale necessario eseguire la convalida di ciascuna funzione di sicurezza per garantire la riduzione delrischio nel modo richiesto dal Passo 1 - valutazione e riduzione del rischio.

Per determinare la validit del sistema di sicurezza funzionale, necessario vericare il sistema inbase al processo di valutazione del rischio eseguito allinizio della procedura per soddisfare i requisitiEHSR della Direttiva Macchine. Il sistema risulta valido se effettivamente riduce i rischi analizzati ecalcolati durante il processo di valutazione.

Passo 6 - creazione della documentazione relativa a un sistema di sicurezza funzionaleLa macchina viene considerata conforme ai requisiti deniti nella Direttiva Macchine solo dopo che ne stata documentata la progettazione ed stata creata lapposita documentazione per lutente.

Per essere effettivamente utile, la documentazione deve essere redatta con la massima attenzione.Il contenuto essere accurato e conciso, ma nel contempo esaustivo e facilmente comprensibileda parte dellutente. Nella documentazione per lutente devono essere riportati tutti i rischi residui,accompagnati dalle corrette istruzioni per lutilizzo sicuro della macchina. Deve essere possibileaccedere alla documentazione e modicarne il contenuto. La documentazione per lutente vienefornita con la macchina.

Passo 7 - verifica della conformitUna macchina pu essere immessa sul mercato solo se il costruttore ne garantisce la conformit airequisiti EHSR e alle norme armonizzate. inoltre necessario vericare che la combinazione relativa aciascuna funzione delle parti correlate alla sicurezza sia conforme ai requisiti deniti.

Per vericare la conformit con la Direttiva Macchine, necessario dimostrare quanto segue:- la macchina conforme ai requisiti EHSR (Essential Health and Safety Requirements)

pertinenti definiti nella Direttiva Macchine- la macchina conforme ai requisiti previsti da altre possibili Direttive correlate a quella

sopra indicata. (La conformit a questi requisiti pu essere garantita dal rispetto delle normearmonizzate pertinenti)

- il fascicolo tecnico aggiornato e disponibile- nel fascicolo sono incluse informazioni relative alla conformit della macchina alle

disposizioni contenute nella Direttiva Macchine- sono state applicate procedure di valutazione della conformit. (Risultano eventualmente

soddisfatti i requisiti speciali relativi alle macchine elencati nellAllegato IV della Direttiva

Macchine)- la dichiarazione di conformit CE stata rilasciata e fornita con la macchina

Il fascicolo tecnico deve includere tutte le informazioni di progettazione, fabbricazione efunzionamento atte a dimostrare la conformit della macchina. Per ulteriori informazioni sul contenutodel fascicolo tecnico, fare riferimento allAllegato VI della Direttiva Macchine 98/37/CE o allAllegatoVII della nuova Direttiva Macchine 2006/42/CE quando questultima entrer in vigore.Dopo la constatazione di conformit viene apposta la marcatura CE. Le macchine che recano lamarcatura CE e sono provviste della dichiarazione di conformit CE sono considerate conformi airequisiti della Direttiva Macchine.

Per ulteriori informazioni sulladocumentazione richiesta esulle relative caratteristiche,fare riferimento ai requisitiEHSR nellallegato I della

Direttiva Macchine.



Glossario

CCF (Common Cause Failure, guasto di modo comune)

Condizione di guasto di pi sottosistemi provocata da un unicoevento. Tutti i guasti sono causati da tale evento, senza cheluno sia tuttavia conseguenza dellaltro.

DannoLesione sica o danno alla salute.

DC (Diagnostic Coverage, copertura diagnostica)Efcacia del monitoraggio dei guasti rilevati da un sistema oun sottosistema. Equivale al rapporto tra il numero di guastipericolosi rilevati e il numero totale di guasti pericolosi.

EHSR (Essential Health and Safety Requirements, requisiti

essenziali di sicurezza e di salute)Requisiti che la macchina deve soddisfare per conformarsi allaDirettiva Macchine dellUnione europea e ottenere la marcaturaCE. Tali requisiti sono elencati nellAllegato I della DirettivaMacchine.

ENAcronimo di EuroNorm. Questo presso viene utilizzato inriferimento alle norme armonizzate.

Funzione di sicurezzaFunzione appositamente progettata per aggiungere sicurezzaa una macchina e il cui guasto pu determinare un immediatoaumento dei rischi.

IEC (International Electrotechnical Commission)Commissione elettrotecnica internazionaleOrganizzazione mondiale per la denizione di standardcomposta da tutti i comitati elettrotecnici nazionali.www.iec.ch

ISO (International Organization for Standardization)Organizzazione internazionale per la normazioneFederazione mondiale di tutti gli organismi nazionali responsabilidella denizione di standard. www.iso.org

Marcatura CEMarchio di conformit obbligatorio per macchine e molti altri tipidi prodotti commercializzati nellambito dello Spazio EconomicoEuropeo (SEE). Con lapposizione della marcatura CE,il costruttore garantisce la conformit del prodotto a tutti i requisitiessenziali previsti dalle Direttive europee pertinenti.

MTTFd (Mean Time To dangerous Failure, intervallo ditempo medio prima di un guasto pericoloso)Intervallo di tempo medio previsto prima del vericarsi di unguasto pericoloso

Norma armonizzata

Norma armonizzata signica norma adottata da almeno unodegli Istituti di standardizzazione europei ed elencata nellAllegatoI della Direttiva 98/34/EC sulla base di una richiesta dellacommissione in conformit con lart.6 della Direttiva.

PericoloPotenziale fonte di pericolo.

PFHd (Probability of dangerous Failure per Hour)(probabilit di guasti pericolosi allora)Valore medio indicante la probabilit che si verichi un guastopericoloso nel corso di unora. PFHd viene utilizzato per

determinare il valore del SIL o del PL di una funzione di sicurezza.PL (Performance Level)(livello di prestazioni)Livello (a, b, c, d, e) assegnato per specicare la capacit di unsistema di sicurezza di eseguire una determinata funzione incondizioni prevedibili.

PLr (Required Performance Level)Livello di prestazioni richiesto, basato sulla valutazione del rischio.

RischioValore corrispondente alla possibilit che il danno si verichicombinato con il livello di gravit del danno stesso.

SicurezzaAssenza di rischi non accettabili di lesioni o danni alla salute dellepersone, sia diretti che indiretti come conseguenza di danni allecose o allambiente.

Sicurezza funzionaleLa sicurezza funzionale un tipo di sicurezza che si basa susistemi o dispositivi che operano correttamente in risposta agliinput esterni.

SIL (Safety Integrity Level)(livello di integrit della sicurezza)Livello (1, 2, 3, 4) assegnato per specicare la capacit di unsistema di sicurezza elettrico di eseguire una determinatafunzione in condizioni prevedibili. Nelle macchine vengonoutilizzati solo i livelli 1, 2 e 3.

SILCL (SIL Claim Limit)(limite SIL richiesto)Livello di integrit della sicurezza (SIL) massimo che possibilerichiedere per un sistema elettrico, tenendo conto sia dei vincolidi architettura sia dellintegrit della sicurezza a livello di sistema.

Sottosistema

Componente di una funzione di sicurezza caratterizzato da unlivello SIL o PL specico che inuisce sul livello di sicurezzadellintera funzione. Il malfunzionamento di uno qualsiasi deisottosistemi pu determinare il guasto dellintera funzione disicurezza.

Altri rife rime nti:

Technica l gu ide N o.10 Doc.No: 3AVA000048753 rev.BSafety Handbook Doc.No: 1SAC103201H0201Prodotti di automazione ABB - Approccioalla sicurezza funzionale e allaffidabilit deicomponent i e le tt romeccanic i ed e le tt rici Doc.No: 2CMT002568

Funct iona l Saf et y a nd rel ia bi li ty dat a Doc .No: 2CSC422007B0901

Jokab Sa fe ty. Il manua le del la sicurezza Doc.No: 1SDC110008D0901


20/20

ABB Guida Sicurezza e Sicurezza Funzionale

Documents

Transcript of ABB Guida Sicurezza e Sicurezza Funzionale