BOLOGNA, 02-03 OTTOBRE 2007 - w5.siemens.com · rilevante delle condizioni di funzionamento. 1.2.7....
55
BOLOGNA, 02-03 OTTOBRE 2007
Transcript of BOLOGNA, 02-03 OTTOBRE 2007 - w5.siemens.com · rilevante delle condizioni di funzionamento. 1.2.7....
BOLOGNA, 02-03 OTTOBRE 2007
VINCOLI DI PROGETTAZIONE PER LA PARTE DI COMANDO E CONTROLLO
ESPRESSI NELLA ATTUALE DIRETTIVA MACCHINE 1998/37/CE E NELLA
NUOVA 2006/42/CE
1.2.1. Sicurezza e affidabilità dei sistemi di comando:
I sistemi di comando devono essere progettati e costruiti in modo da evitare l’insorgere di situazioni pericolose […] in particolare un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose.
1.2.3. AVVIAMENTO:
L’avviamento di una macchina deve essere possibile soltanto con una azione volontaria su un dispositivo di comando previsto a tal fine. Lo stesso dicasi per la rimessa in marcia dopo un arresto, indipendentemente dall’origine e per l'effettuazione di una modifica rilevante delle condizioni di funzionamento
1.2.7. AVARIA DEL CIRCUITO DI COMANDO:
Un’anomalia della logica del circuito di comando, un’avaria o un deterioramento del circuito di comando non devono creare situazioni pericolose. In particolare occorre evitare:- l’avviamento intempestivo;- l’impedimento dell’arresto della macchina se l’ordine è già stato dato;- la caduta o l’espulsione di un elemento mobile della macchina o di un pezzo della macchina;- l’impedimento dell’arresto automatico o manuale degli elementi mobili di qualsiasi tipo;- l’inefficacia dei dispositivi di protezione.
VINCOLI DI PROGETTAZIONE PER LE MACCHINE IN USO NON MARCATE CE:
LA LEGGE SULLA SICUREZZA DEI LUOGHI DI LAVORO (D.LGS 626/94)
STABILISCE PARI REQUISITI ATTRAVERSO L’EMENDAMENTO DEL 2005 (LEGGE 62/2005) AL PUNTO 2
(PIENO RECEPIMENTO DELLA DIRETTIVA 89/655/CEE)
LEGGE 62/2005 Punto2:
2-bis.2 1.2.3. Avviamento:
L’avviamento di una macchina deve essere possibile soltanto con una azione volontaria su un dispositivo di comando previsto a tal fine
2-bis.3 1.2.4. Dispositivo di arresto:
L'ordine di arresto dell'attrezzatura di lavoro deve essere prioritario rispetto agli ordini di messa in moto. Ottenuto l'arresto dell'attrezzatura di lavoro, o dei suoi elementi pericolosi, l'alimentazione degli azionatori deve essere interrotta
LEGGE 62/2005 Punto2:
2-bis.4 1.4. Caratteristiche richieste per le protezioni ed i dispositivi di protezione:
Se gli elementi mobili di un'attrezzatura di lavoro presentano rischi di contatto meccanico che possono causare incidenti, essi devono essere dotati di protezioni o di sistemi protettivi che:• devono essere di costruzione robusta• non devono provocare rischi supplementari;• non devono essere facilmente elusi o resi inefficaci• devono essere situati ad una sufficiente distanza dalla zona pericolosa;
CONCLUSIONE
LE NORME E LE LEGGI NON FANNO DIFFERENZA SULLA SICUREZZA DELLE
MACCHINE CE O NON CE
Principali Norme di riferimento per la DIRETTIVA MACCHINE
1. Norme di tipo B elettriche per le macchine;
2. EN 60204-1 ed. 2006;
3. EN 418;
4. EN 954-1;
5. EN 999;
6. EN 1088;
7. EN 1037;
8. EN 574 Comando a 2 mani.
Punto di svolta:
La nuova edizione della Norma EN 60204 prevede la possibilità di utilizzare componenti elettronico-programmabili per effettuare arresti di emergenza di categoria 0 e 1
Entra in gioco l’affidabilità dei sistemi di comando e controllo
Quali norme?
DIRETTIVA MACCHINE 2006/42/CE
IEC EN 60204-1:2006
EN 13849-1:2006 IEC EN 62061-1:2005
IEC EN 61508-1,2,3
EN 954-1
EN 954-1 viene sostituita dalle nuove EN 13849-1 e EN 62061
La EN 954-1 suddivide l’implementazione di sistemi di controllo per la sicurezza in 5 categorie:
• CATEGORIA B: un guasto può portare alla perdita della funzione di sicurezza;
• CATEGORIA 1: un guasto può portare alla perdita della funzione di sicurezza ma con probabilità inferiore a B;
• CATEGORIA 2: un guasto può portare alla perdita della funzione di sicurezza tra un controllo e l’altro;
• CATEGORIA 3: un guasto non porta alla perdita della funzione di sicurezza; alcuni, ma non tutti i guasti sono rilevati. Un accumulo di guasti non rilevati può portare alla perdita della funzione di sicurezza;
• CATEGORIA 4: un guasto non porta alla perdita della funzione di sicurezza; i guasti sono rilevati in tempo per evitare la perdita della funzione di sicurezza.
PROBLEMA: non vengono effettuate valutazioni sulla affidabilità dei componenti del sistema di comando e controllo per la sicurezza
Assunto fondamentale: strutture di controllo complesse e ridondanti non sempre offrono prestazioni superiori.
Utilizzare componenti affidabili e ragionare sull’utilità della ridondanza
Essere consci della permanenza di un rischio residuo, che deve essere abbassato a valori accettabili in base all’applicazione
Le CATEGORIE della EN 954-1 sono sostituite nelle EN 13849-1 e IEC EN 62061 da altri indicatori che definiscono una certa ARCHITETTURA + un RISCHIO RESIDUO
Risk Assesment combinato con una analisi affidabilistica dei componenti di sicurezza. Vengono valutati:
• Gravità danno (1<Se<4)
• Frequenza e durata esposizione (2<Fr<5)
• Probabilità evento pericoloso (1<Pr<5)
• Probabilità evitare-limitare danno (1<Av<5)
CL = Fr + Pr + Av
La EN 13894-1 prevede la seguente valutazione del PL del sistema di controllo per la sicurezza:
Classe CLGravitàSe 3<<4 5<<7 8<<10 11<<13 14<<154 PL d PL d PL d PL e PL e3 PL c PL d PL e2 PL c PL d1 PL c
Il Performance Level (PL) è l’espressione del rischio residuo ammissibile (inaffidabilità) di un sistema di controllo:
10-7=< λ <10-6d
10-8=< λ <10-7e
10-6=< λ <3x10-6c3x10-6=< λ <10-5b
Rischio residuo λ (numero guasti/ora)PL
Classe CLGravitàSe 3<<4 5<<7 8<<10 11<<13 14<<154 SIL 2 SIL 2 SIL 2 SIL 3 SIL 33 SIL 1 SIL 2 SIL 32 SIL 1 SIL 21 SIL 1
Il Safety Integrity Level (SIL) è l’espressione del rischio residuo ammissibile (inaffidabilità) di un sistema di controllo:
La IEC EN 62061-1 prevede invece la seguente valutazione del PL del sistema di controllo per la sicurezza:
10-8=< λ <10-7310-7=< λ <10-6210-6=< λ <10-51
Rischio residuo λ (numero guasti/ora)SIL
Esiste una corrispondenza tra i SIL della IEC EN 62061 e i PL della EN 13849-1:
Quale norma scegliere?
Tabella applicativa Norme EN 13849-1 e IEC EN 62061
Sostanzialmente EN 13849-1 e IEC EN 62061 sono equivalenti, tuttavia:
• IEC EN 62061 può essere utilizzata per valutare l’affidabilità di componenti di controllo elettronico-programmabili.
• EN 13849-1 è necessaria nel calcolo dell’affidabilità di componenti di controllo elettromeccanici, meccanici e idraulici (pneumatici).
Suddividere il sistema di comando e controllo in sottosistemi (rilevamento rischio, logica comando, attuazione)
Definire SIL (o PL) richiesto per il sistema di comando e controllo tramite il Risk Assesment
Componente elettronico/programmabile?
Componente meccanico/idraulico?
Calcolarne l’affidabilità nota la durata (B10, EN 60947-5-1)SILCL
Verifica SIL calcolato >= SIL richiesto
SILCL
Valutare per ogni sottosistema:
Sistema di comando e controllo per la sicurezza -> SILrequested
Sottosistema1
SILCL1
Sottosistema3
SILCL3
Sottosistema2
SILCL2
Elemento Sottosistema1
Elemento Sottosistema3
DATI AFFIDABILISTICI
Come calcolare il SIL raggiunto dal sistema di controllo noti i SILCL dei suoi sottosistemi
???Sono necessarie 2 verifiche:
1. Verifica dei vincoli di architettura;
2. Verifica dei vincoli di integrità della sicurezza Hw
1. Verifica dei vincoli di architettura:
Il SIL massimo raggiungibile dal sistema di controllo èlimitato dal SILCL più basso raggiunto dai sottosistemi che lo compongono.
Ex:
SILCL 3SILCL 3
SILCL 2
SIL 2
1. Verifica dei vincoli di integrità della sicurezza dell’Hw:
Il SIL massimo raggiungibile dal sistema di controllo èlimitato dal SIL corrispondente alla somma dei tassi di guasto (λD) dei singoli sottosistemi.
Ex:
λD1 = 6E-07λD2 = 1E-07
λD3 = 4E-07
λDtot = λD1 + λD2 + λD3 + λDtrasmissione
λDtot = 1.1E-06
Entrando nella tabella SIL con un valore λDtot = 1.1E-06 si ottiene un vincolo di SIL 1 per il dispositivo di sicurezza, mentre la verifica dei vincoli di architettura porterebbe a considerare un SIL 2.
Vincoli di architettura
SIL 2
Vincoli integrità Hw
SIL 1
La Norma EN 13849-1 è dunque di ausilio alla IEC EN 62061 in quanto fornisce una procedura di calcolo del tasso di guasto di componenti meccanici (o elettromeccanici, idraulici, pneumatici):
dop [Giorni lavorativi / anno]
hop [Ore lavorative / giorno]
tcycle [tempo ciclo operazione]
B10d = B10 / (% guasti pericolosi)
B10 = cicli durata componente
Come affrontare la ridondanza di componenti di sicurezza?
Esempio:
• 2 contattori che sganciano lo stesso motore;
• 2 finecorsa che monitorano la stessa porta;
• 2 elettrovalvole che azionano lo stesso cilindro in un comando a 2 mani di una pressa;
• etc…
NB: formula per calcolare il tasso di guasto di un sistema composto da più componenti che operano in parallelo
Esempio: sottosistema composto da 2 contattori
dop 250[gg/anno]
hop 10[ore/gg]
tcycle 500[s]
SILCL 1
2 x 106 CICLI
Esempio: sottosistema composto da 2 finecorsa
dop 360[gg/anno]
hop 10[ore/gg]
tcycle 18000[s]
SILCL 2
Esempio: sottosistema composto da 2 elettrovalvole
dop 250[gg/anno]
hop 10[ore/gg]
tcycle 1800[s]
SILCL 2
1 x 107 CICLI
Sia nella EN 13849-1 che nella IEC EN 62061 si deve tenere conto della copertura diagnostica (DC) del sistema, ovvero della percentuale di guasti pericolosi che possono essere rilevati dal sistema elettronico di controllo. E’ possibile utilizzare la seguente formula:
dove MTTFd = 1/λd
DCavg SIL raggiungibile
<=90% SIL2
>90% SIL3
In caso di ridondanza nell’utilizzo di componenti è necessario stimare il fattore guasti per cause comuni (β). Le norme EN 13849-1 e IEC EN 62061 utilizzano approcci diversi in merito:
la soluzione migliore è la tabella di stima dei CCF (Common Cause Failure) presente nell’Allegato F della EN 13849-1 che assegna un punteggio alle misure prese a prevenire i CCF
SILCL1 SILCL2 SILCL1
Calcolo SIL ottenibile dal circuito:
minSIL{SILCL1,SILCL2,SILCL1}=SIL1
MAX PL OTTENIBILE DAL CIRCUITO:
PL = c
SIL 1
FUNZIONE SICUREZZA: all’apertura della protezione il motore della macchina deve essere disabilitato.
Classe CLGravitàSe 3<<4 5<<7 8<<10 11<<13 14<<154 SIL 2 SIL 2 SIL 2 SIL 3 SIL 33 SIL 1 SIL 2 SIL 32 SIL 1 SIL 21 SIL 1
Il sistema di controllo dovrà raggiungere un livello di sicurezza pari almeno a SIL3.
Risk Assesment:
Sottosistema 1Finecorsa
Sottosistema 2Modulo sicurezza
Sottosistema 3Contattore
Blocco funzionale 1Sorveglianza porta
Blocco funzionale 2Logica controllo
Blocco funzionale 3Disinserzione motore
Assegnazione dei blocchi funzionali ai sottosistemi
Dati necessari (macchina):
dop [Giorni lavorativi / anno]
hop [Ore lavorative / giorno]
tcycle [tempo ciclo operazione]
nop [Numero cicli / anno]
B10 Durata componente
λcomponenteTasso guasto componente
D % guasti pericolosi componente
β Fattore guasti cause comuni
DC Copertura diagnostica
Dati necessari (componente):
λD = D x 0.1 x nop/B10D λD = D x 0.1 xnopx λcomp
Partendo dal lD del componente si calcola il lD del sottosistema seguendo le formule relative alle varie architetture della IEC EN 62061:
Oppure seguendo le linee guida definite precedentemente:
• valutazione SILCL corrispondente a λD;
• valutazione SILCL corrispondente a DC;
• valutazione rispetto dei CCF (β)
• Calcolo SILCL e PFHD per il sottosistema1:
PFHD = λD x [1h] = 2 E-09 SILCL 3
• Calcolo SILCL e PFHD per il sottosistema2,componente di commercio (da catalogo):
PFHD = λD x [1h] = 1 E-09 SILCL 3
Architettura D
• Verifica che SIL della SRFC sia <= del SILCLpiù basso dei sottosistemi:
SIL 3 <= min{SILCL 3,SILCL 3,SILCL3} OKOK
• Calcolo SILCL e PFHD per il sottosistema3:
PFHD = λD x [1h] = 8 E-09 SILCL 3
Architettura D
• Verifica che PFHD della SRFC sia <= della
ΣPFHD dei sottosistemi:
ΣPFHD = 2 E-09 + 8 E-09 + 1 E-09 = 1.1 E-08<= 1 E-07 OKOK
IL SISTEMA DI CONTROLLO RISPETTA TUTTI I VINCOLI ASSEGNATI
SCOPO: progettazione di un sistema di sicurezza per la macchina e valutazione della sua affidabilità.
1. Valutazione dei rischi e determinazione di un SIL
2. Valutazione del ciclo di utilizzo della macchina
3. Scelta della soluzione adeguata
4. Valutazione del SIL raggiunto dal dispositivo di sicurezza progettato.
1.Valutazione rischi e determinazione di un SIL
1.Valutazione rischi e determinazione di un SIL
Il dispositivo di sicurezza della macchina in esame dovràdunque garantire un SIL pari a SIL 2.
1.Valutazione rischi e determinazione di un SIL
Classe CLGravitàSe 3<<4 5<<7 8<<10 11<<13 14<<154 SIL 2 SIL 2 SIL 2 SIL 3 SIL 33 SIL 1 SIL 2 SIL 32 SIL 1 SIL 21 SIL 1
2. Valutazione del ciclo di utilizzo della macchina
dop [giorni lavorativi / 1 anno]
hop [ore lavorative / 1 giorno]
tcycle [tempo ciclo operazione]
nop [numero operazioni / 1 anno]
3. Scelta della soluzione adeguata
2.A. Barriera ottica posizionata frontalmente: garantisce il blocco della macchina in caso di intrusione e il riavvio automatico in caso di disimpegno della zona protetta
2.B. Carter mobile: garantisce, una volta abbassato, protezione totale della macchina. Se provvisto di movimentazione automatica introduce il rischio di schiacciamento
4.A. Valutazione del SIL raggiunto dal dispositivo di sicurezza progettato
Barriera ottica di Tipo 2
Freno meccanico
Contattore
Elettrovalvolasalita/discesaλelettrovalvola
λfreno
λcontattore
Tipo 4 -> SILCL 2 SILCL 2
3 funzioni di sicurezza da implementare: devono tutte quante rispettare il vincolo SIL 2
Freno meccanico
Contattore
Elettrovalvolasalita/discesa
E’ necessario calcolare i tassi di guasto di tutti i sottosistemi elettromeccanici (partendo dal B10):
λev = 0.1xnop/ B10
λkm = 0.1xnop/ B10
λfreno = 0.1xnop/ B10
Una volta noti i tassi di guasto dei sottosistemi, si calcola ilSILCL corrispondente e applicando i vincoli di architettura e di integrità dell’Hw si valuta il SIL della funzione di sicurezza considerata.
4.B. Valutazione del SIL raggiunto dal dispositivo di sicurezza progettato
Carter mobile azionato da un pistone pneumatico
Presenza del seguente circuito di sicurezza:
Comando discesa carter
Comando discesa carter:
λcomando2mani λμλelettrovalvola
SILCL
SILCL 2
SILCL SILCL
Un’unica funzione di sicurezza da implementare: deve rispettare il vincolo SIL 2
Comando due mani
Elettrovalvolasalita/discesa
Finecorsa
λev = 0.1xnop/ B10
λfreno = 0.1xnop/ B10
λμ = 0.1xnop/ B10
E’ necessario calcolare i tassi di guasto di tutti i sottosistemi elettromeccanici (partendo dal B10):
Una volta noti i tassi di guasto dei sottosistemi, si calcola ilSILCL corrispondente e applicando i vincoli di architettura e di integrità dell’Hw si valuta il SIL della funzione di sicurezza considerata.
In questo caso il costruttore indica la durata meccanica (B10) del componente:
I due pulsanti di avvio discesa del carter rappresentano in realtà il seguente sistema pneumatico articolato:
Concludendo…• Le Norme EN 13849-1 e IEC EN 62061 sono uno strumento valido per valutare l’affidabilità dei sistemi di sicurezza delle macchine;
• E’ necessario interpretare e combinare entrambe le norme;
• la IEC EN 62061 permette di valutare ad alto livello il SIL del sistema di sicurezza noti i SILCL dei componenti;
• la EN 13849-1 è necessaria in presenza di componenti elettro-meccanici (pneumatici, idraulici,…) dove è necessario tradurre la durata meccanica in un indice di performance (PL o SIL) che attesta i guasti residui del dispositivo;
• Seguendo le linee guida della presentazione è immediato tradurre le valutazioni affidabilistiche sui componenti in un indice di sicurezza dei dispositivi di comando e controllo del macchinario.
