CENNI A SISTEMI DI COMANDO PER LA SICUREZZA DELLE … · METODO3:applicabile...

Relatore: ing. Reppele Luca

CENNI A SISTEMI DI COMANDO PER LA SICUREZZA DELLE MACCHINE

UNI EN ISO 13849-1:2016

Relatore: ing. Reppele Luca UNI EN ISO 13849-1


Scopo e campo di applicazione

Termini e Definizioni

Funzioni di sicurezza

Categorie


Contenuti trattati:

Determinazione del livello di prestazione richiesto

Metodo dei blocchi

Stime della copertura diagnostica

Guasto da causa comune

UNI EN ISO 13849-1

Relatore: ing. Reppele LucaRelatore: ing. Reppele Luca

La norma specifica i requisiti di sicurezza e le linee guida sui principi di

progettazione e integrazione di parti dei sistemi di comando legate alla

sicurezza, inclusa la progettazione del software.

E’ UNA NORMA DI TIPO B-1 COME INDICATO NELLA ISO 12100

TRATTA PARTICOLARI ASPETTI DELLA SICUREZZA (AD ESEMPIO DISTANZE DI

SICUREZZA, TEMPERATURA SUPERFICIALE, RUMORE)

Riferimenti normativi:

• ISO 12100• ISO 13849-2

• IEC 61508-3• IEC 61508-4• IEC 62061

• ISO/TR 22100-2• ISO/TR 23849

UNI EN ISO 13849-1

Relatore: ing. Reppele LucaRelatore: ing. Reppele Luca UNI EN ISO 13849-1

ISO MEMBERS


SCOPO E CAMPO DI APPLICAZIONE

• Le parti dei sistemi di comando intese a fornire funzioni di sicurezza sonodenominate «PARTI DEI SISTEMI DI COMANDO LEGATE ALLA SICUREZZA

(SRP/CS) – SAFETY RELATED PARTS OF CONTROL SYSTEMS» e possono consisteredi hardware e software ed essere separate dal sistema di comando dellamacchina o esserne parte integrante.

• In aggiunta alle funzioni di sicurezza, le SRP/CS possono consentire anchefunzioni operative (ad es. comando di avvio a due mani).

• La norma ISO 13849-1 copre tutte le tecnologie, in particolare copre i dispositivielettromeccanici, idraulici, elettronici programmabili complessi (limitatamentealle architetture designate). Si veda la guida ISO/TR 23849.

• La norma IEC 62061 riguarda solo i sistemi elettrici, elettronici ed elettronici

programmabili legati alla sicurezza.

UNI EN ISO 13849-1



• La capacità delle parti dei sistemi di comando legate alla sicurezza di eseguire unafunzione di sicurezza è assegnata ad uno di 5 livelli, denominati LIVELLI DIPRESTAZIONE (PL).

• Tali livelli di prestazione sono definiti in termini di PROBABILITA’ DI GUASTOPERICOLOSO PER ORA (PFHD)

• La probabilità di guasto pericoloso di una funzione di sicurezza dipende da numerosifattori:

• Struttura hardware e software• L’estensione dei meccanismi di rilevamento delle avarie (DC)• L’affidabilità dei componenti (MTTFD)• Guasto da causa comune (CCF)• Il processo di progettazione• Le sollecitazioni operative• Le condizioni ambientali• Procedimenti operativi

UNI EN ISO 13849-1



UNI EN ISO 13849-1


TERMINI E DEFINIZIONI

UNI EN ISO 13849-1



UNI EN ISO 13849-1

AVARIA (FAULT)

Stato di un elemento caratterizzato dall’incapacità di eseguire una funzione richiesta, esclusa l’inabilità durante la manutenzione preventiva o altre azioni programmate o dovuta alla mancanza di mezzi esterni.

GUASTO (FAILURE)

Cessazione dell’attitudine di un elemento ad eseguire la funzione richiesta

• Dopo un guasto l’elemento è in avaria• Il guasto è un evento, l’avaria è uno stato

GUASTO PERICOLOSO

Guasto che può potenzialmente mettere la SRP/CS in uno stato pericoloso o di incapacità di funzionare

GUASTO DA CAUSA COMUNE (CCF)

Guasti di diversi elementi, derivanti da un unico evento, che non sono conseguenza l’uno dell’altro.



UNI EN ISO 13849-1

FUNZIONE DI SICUREZZA

Funzione di una macchina il cui guasto può determinare un immediato aumento del rischio

LIVELLO DI PRESTAZIONE(PL)

Livello discreto utilizzato per specificare la capacità delle parti dei sistemi di comando legate alla sicurezza di eseguire una funzione di sicurezza in condizioni prevedibili.

LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

Livello di prestazione applicato al fine di conseguire la riduzione del rischio richiesta per ciascuna funzione di sicurezza

TEMPO MEDIO AL GUASTO PERICOLOSO (MTTFd)

Previsione del tempo medio al guasto pericoloso

COPERTURA DIAGNOSTICA (DC)

Misura dell’efficacia della diagnostica, data dal rapporto tra frequenza di guasti pericolosi rilevati su frequenza di guasti pericolosi totali.


SICUREZZA NELLA PROGETTAZIONE

STRATEGIE PER LA RIDUZIONE DEL RISCHIO

La strategia di riduzione del rischio sulle macchine è data dalla ISO 12100. Questa

strategia copre l’intero ciclo di vita del macchinario.

L’analisi dei pericoli e la riduzione del rischio per una macchina richiede che i rischi siano eliminati o ridotti attraverso misure gerarchiche:

• Eliminazione dei pericoli e riduzione dei rischi attraverso la progettazione

• Riduzione del rischio attraverso misure complementari di salvaguardia

• Riduzione dei rischi attraverso l’informazione, l’addestramento e dettagliate istruzioni di lavoro

UNI EN ISO 13849-1



UNI EN ISO 13849-1


La norma UNI EN ISO 13849-1 prende in considerazione per la stima della sicurezza di una funzione legata al sistema di comando diversi fattori, tra i quali:

• Affidabilità• Diagnostica• Resistenza ai guasti dei componenti

Il metodo che si usa per valutare la sicurezza di un sistema è quello di calcolare la

probabilità che possa capitare un guasto pericoloso, in un determinato intervallo

di tempo, tenendo conto dell’affidabilità dei suoi componenti.

UNI EN ISO 13849-1



• Performance level (PL): è la capacità, da parte di una funzione di sicurezza, di riuscire a ridurre il rischio previsto.

Viene espresso in probabilità media di un guasto pericoloso nell’intervallo di un

ora.

Sono previsti 5 livelli: da PLa a PLe. Ognuno identifica un ambito numerico di probabilità di accadimento del guasto in un’ora.




• Funzioni di sicurezza: Ogni funzione/sistema di sicurezza è composto dai seguenti componenti:

• Input• Logic• Output• Mezzi di interconnessione


PROGETTAZIONE DI UNA PARTE DI UN SISTEMA DI COMANDO LEGATA ALLA

SICUREZZA


PROGETTAZIONE DI UNA PARTE DI UN SISTEMA DI COMANDO LEGATA ALLA

SICUREZZA


Performance level richiesto (PLr): livello di prestazione che il circuito realizzato deve raggiungere per essere considerato conforme alle necessità di riduzione del rischio.

Perché un circuito di sicurezza sia idoneo deve essere quindi: ��


DETERMINAZIONE DEL LIVELLO DI PRESTAZIONE RICHIESTO (PLr)


DETERMINAZIONE DEL LIVELLO DI PRESTAZIONE RICHIESTO (PLr)

FREQUENZA DELLA RICHIESTA > 1 ALL’ANNOF1 SE FREQ< 1 VOLTA OGNI 15MIN & Tesposizione < 1/20 Toperativo


Categorie: classificazione delle parti di un sistema di comando legate alla sicurezza in relazione alla loro resistenza alle avarie e al loro successivo comportamento nella condizione di avaria e/o la loro affidabilità.

Esistono 5 categorie: B,1,2,3,4

ARCHITETTURA DESIGNATA PER LA CATEGORIA B: Il verificarsi di un avaria può portare alla perdita della funzione di sicurezza.


VALUTAZIONE DEL LIVELLO DI PRESTAZIONE RAGGIUNTO (PL)


ARCHITETTURA DESIGNATA PER LA CATEGORIA 1: ha la stessa architettura dellacategoria B ma una migliore resistenza alle avarie è conseguita attraverso selezionee applicazione dei componenti.

COMPONENTI E PRINCIPI DI SICUREZZA BEN PROVATI (ISO 13849-2)

Quando si verifica un’avaria questa può portare alla perdita della funzione disicurezza. La perdita della funzione di sicurezza è meno probabile rispetto allacategoria B.


ARCHITETTURE DESIGNATE

UNI EN ISO 13849-1


ARCHITETTURA DESIGNATA PER LA CATEGORIA 2: migliore prestazione mediante il controllo periodico dell’espletamento della funzione di sicurezza specificata.• All’avvio della macchina e• Prima dell’inizio di qualsiasi situazione pericolosa

Il verificarsi di un’avaria può portare alla perdita della funzione di sicurezza tra icontrolli e la perdita della funzione di sicurezza viene rilevata dal controllo.




ARCHITETTURA DESIGNATA PER LA CATEGORIA 3: progettata in modo che unasingola avaria non porti a una perdita delle funzioni di sicurezza.La singola avaria deve essere rilevata durante o prima della successiva richiesta dellafunzione di sicurezza (sorveglianza «m»).L’accumulo di avarie non rilevate può portare ad un’uscita accidentale e a unasituazione pericolosa della macchina.




ARCHITETTURA DESIGNATA PER LA CATEGORIA 4: progettata in modo che unasingola avaria non porti a una perdita delle funzioni di sicurezza.La singola avaria deve essere rilevata durante o prima della successiva richiesta dellafunzione di sicurezza (sorveglianza «m»).L’accumulo di avarie non rilevate NON DEVE PORTARE ad un’uscita accidentale e auna situazione pericolosa della macchina.




TEMPO MEDIO AL GUASTO PERICOLOSO DI OGNI CANALE (MTTFd )Previsione del tempo medio prima del verificarsi di un guasto pericoloso.

Fornisce una stima di qualità e affidabilità dei componenti utilizzati.

Per la valutazione delle misure di protezione si distinguono tre livelli, basso, medio, alto per l’MTTFd , misurato in anni, di ogni canale singolo.

Il MTTFd viene calcolato quindi prima su ogni singolo componente, poi su ogni singolo canale e infine un MTTFd complessivo per tutti i canali.




CALCOLO O VALUTAZIONE DEI VALORI DI MTTFD PER SINGOLI COMPONENTI

METODO 1: basato sul rispetto delle buone pratiche tecniche ed applicabile pertutti i tipi di componenti fabbricati in conformità alla ISO 13849-2, se il fabbricantedel componente specifica l’applicazione appropriata e le condizioni operative e se laprogettazione della SRP/CS soddisfa i principi di sicurezza di base e ben provatisecondo la ISO 13849/2.PROSPETTO C.1

COMPONENTI IDRAULICI: applicabile ai componenti idraulici, se sono fabbricati inconformità alla ISO 13849-2, , se il fabbricante del componente specifical’applicazione appropriata e le condizioni operative e se la progettazione dellaSRP/CS soddisfa i principi di sicurezza di base e ben provati secondo la ISO 13849/2.150 anni

METODO 3: applicabile ai componenti meccanici, pneumatici ed elettromeccanici.




PROSPETTO C.1Standard internazionali in rapporto a MTTFD o B10D.

UNI EN ISO 13849-1



NUMERO DI CICLI FINO AL GUASTO PERICOLOSO DEL 10% DEI COMPONENTI (B10d )Per i componenti pneumatici, meccanici ed elettromeccanici (valvole, relè, contattori, interruttori di posizione…) è più frequente che i costruttori non indichino il valore in anni di MTTFD, ma indichino solo il numero medio di cicli al guasto pericoloso del 10%dei componenti.

SI PUO’ CALCOLARE MTTFD MEDIANTE B10 E T (VITA UTILE)

VALORE MEDIO DEGLI AZIONAMENTI ANNUALI ( nop )

FUNZIONAMENTO MEDIO IN ORE AL GIORNO ( hop )

FUNZIONAMENTO MEDIO IN GIORNI ALL’ANNO ( dop )

TEMPO MEDIO TRA L’INIZIO DI DUE CICLI SUCCESSIVI ( tciclo )


Esempio:

Per una valvola pneumatica, un fabbricante determina un valore medio di 60 milionidi cicli come B10d. La valvola è utilizzata per due turni ogni giorno su 220 giornilavorativi annui.Il tempo medio tra l’inizio di due turni successivi della valvola è stimato a 5 s. Ne derivano i seguenti valori:

• �� di 220 giorni/anno

• �� di 16 ore/giorno

• �� di 5 s per ciclo• B 10d di 60 milioni di cicli




Con questi dati si possono calcolare le seguenti quantità:

�� 3600�� 220�� /� � � 16�� /�� 3600!/��

5!/�� 2,53 � 10$ ��

� �

%&'( � )10� �� 60 � 10$��

2,53 � 10$��/� � � 23,7� �

+%%,- � )10�0,1� �� 23,7� �0,1 � 237� �




Metodo semplificato di determinare .//01 per ogni canale

Formula generale:

1+%%,( �2 1

+%%,(� �34

�5&2 6

+%%,(634

65&Con +%%,( per l’intero canale+%%,(� per ogni componente che abbia un contributo nella funzione di sicurezza+%%,(6 per ogni componente che abbia un contributo nella funzione di sicurezza e

dove gli nj componenti identici con lo stesso MTTFDj sono raggruppati insieme




Metodo semplificato di determinare .//01 per ogni canale

Esempio: lista di componenti di una scheda elettronica




COPERTURA DIAGNOSTICA

Misura l’efficacia della diagnostica, che può essere rappresentata dal rapporto tra la percentuale di guasti pericolosi rilevati e la percentuale dei guasti totali

È un parametro che può essere riferito ad una singola parte o ad un singolo componente.

Il valore della DC si esprime in quattro livelli:




COPERTURA DIAGNOSTICA

Qualora parti del sistema di controllo avessero diverse DC, è possibile calcolare la DC media dell’intera SRP/CS. Si calcola quindi la DC dell’intero sistema e non del singolo canale.



Relatore: ing. Reppele LucaRelatore: ing. Reppele Luca UNI EN ISO 13849-1 UNI EN ISO 13849-1


CCF: common cause failure

GUASTO DA CAUSA COMUNE

Guasti di diversi elementi, derivanti da un unico evento, che non sono conseguenti

l’uno all’altro.

Il parametro stima i danni per cause comuni definiti come guasti differenti, riassuntida un singolo evento, dove tali guasti non sono conseguenza uno dell’altro.Rappresentano il grado di indipendenza di funzionamento dei canali di un sistemaridondante.

La stima dell’effetto dei CCF avviene mediante un processo quantitativo diassegnazione di un punteggio in base alle misure utilizzate per ridurre o eliminare iguasti da causa comune.





Processo di assegnazione di un punteggio e di quantificazione delle misure contro i CCF


VALUTAZIONE DEL LIVELLO DI PRESTAZIONE RAGGIUNTO (PL)Processo di assegnazione di un punteggio e di quantificazione delle misure contro i CCF


Procedimento semplificato per stimare il PL di una SRP/CS sulla base diarchitetture designate

Per le architetture designate si assume tipicamente che:

• TEMPO DI SERVIZIO 20 ANNI• FREQUENZE DI GUASTO COSTANTI ENTRO IL TEMPO DI SERVIZIO• PER LA CATEGORIA 2, FREQUENZA DI RICHIESTA MINORE O UGUALE A

1/100 DELLA FREQUENZA DI PROVA, o test avviene immediatamente surichiesta della funzione di sicurezza e il tempo complessivo per rilevare ilguasto e per portare la macchina ad una condizione non pericolosa (disolito per arrestare la macchina) è più breve del tempo per raggiungere ilpericolo.

• PER LA CATEGORIA 2, MTTFd DEL CANALE DI TEST E’ MAGGIORE DI META’DI MTTFd DEL CANALE FUNZIONALE

UNI EN ISO 13849-1



Procedimento semplificato per stimare il PL di una SRP/CS sulla base di architetture designate

UNI EN ISO 13849-1



I sistemi di comando della macchina espletano funzioni operative e/o di sicurezza.Le funzioni operative possono essere funzioni di sicurezza ma ciò può esserestabilito solo dopo l’esecuzione di una valutazione completa del rischio.

Funzioni di sicurezza tipiche:• Arresto avviata da un mezzo di protezione• Ripristino manuale• Start/restart• Comando locale• Muting• Funzione di azione mantenuta• Dispositivo di consenso• …..

UNI EN ISO 13849-1

FUNZIONI DI SICUREZZA


Una funzione di sicurezza può essere implementata mediante una o più SRP/CS ediverse funzioni di sicurezza possono condividere una o più SRP/CS

Per ogni funzione di sicurezza individuata dalla analisi di rischio, devonoessere stabiliti• requisiti funzionali• contributo alla riduzione del rischio che essa deve fornire (PL).

La valutazione del PL va fatta quindi separatamente per ogni singola funzione di sicurezza.

UNI EN ISO 13849-1

COMBINAZIONI DI SRP/CS PER CONSEGUIRE IL PL GLOBALE



La stima del PFHD per una combinazione serie di SRP/CS può essere eseguita anche sommando i valori di PFHD (ad esempio, derivati da allegato K della norma ISO 13849-1) di ciascun SRP/CS.

PFHD = PFHD1 + PFHD2 + …. + PFHDN

L’allegato K descrive la relazione che esiste tra MTTFd e PFHd di un SRP/CS per le 4 architetture classificate in termini di Categoria e DC.

Se si conoscono i valori di PFHD


Esempio di combinazione di diversi sistemi di comando per la sicurezza

Il controllo è dato attraverso una logica di controllo elettronico e una valvoladirezionale idraulica.

Il rischio è ridotto attraverso AOPD che rileva l’accesso alla zona pericolosa epreviene l’azionamento dell’attuatore idraulico quando il fascio di luce è interrotto.

I sistemi di comando per la sicurezza sono: AOPD, logica di controllo elettronicavalvola direzionale idraulica e mezzi di interconnessione.

Questa combinazione di parti di sistemi di comando prevede l’arresto dell’attuatorecome funzione di sicurezza.

Al momento dell’interruzione dell’AOPD, un segnale viene inviato alla logica dicomando elettronico, che invia il segnale alla valvola direzionale idraulica perarrestare il flusso idraulico come risultato dell’ SRP/CS.

UNI EN ISO 13849-1



La progettazione della SPR/CS deve essere validata, secondo ISO 13849-2

UNI EN ISO 13849-1

VALIDAZIONE

MANUTENZIONE

La manutenzione preventiva o correttiva può essere necessaria per mantenere la prestazione specificata delle parti legate alla sicurezza.

Le informazioni per l’uso delle SRP/CS devono includere le istruzioni per la manutenzione


Nel progettare un SPR/CS, è compito del progettista specificare le seguenti informazioni relative alla sicurezza:

• Funzioni di sicurezza svolte dalla SPR/CS • Caratteristiche di ogni funzione di sicurezza• I punti esatti nei quali il sistema di sicurezza ha inizio e finisce• Condizioni ambientali• Il livello di prestazione PL• La categoria/e selezionata/e• I parametri rilevanti per l’affidabilità (MTTFD, DC…)• Misure contro guasti sistematici• Tecnologia/e usate• Avarie legate alla sicurezza considerate• Giustificazioni per le esclusioni delle avarie• Fondamenti logici del progetto• Documentazione software• Misure contro gli usi scorretti ragionevolmente prevedibili.

UNI EN ISO 13849-1

DOCUMENTAZIONE TECNICA


Le informazioni di sicurezza importanti per l’uso dei SRP/CS devono essere fornite all’utilizzatore.Queste includono (ma non si limitano) a:

• I limiti di ogni parte di sicurezza per la categoria/e selezionata e le eventuali esclusioni• I limiti del SRP/CS e tutte le esclusioni delle avarie, per le quali, quando essenziale per il

mantenimento della categoria selezionata e delle prestazioni di sicurezza, si devono dareinformazioni appropriate per assicurare la continua giustificazione dell’esclusione delleavarie

• Gli effetti di scostamenti dalle prestazioni specificate sulle funzioni di sicurezza• Chiare descrizioni delle interfacce tra SRP/CS e dispositivi di protezione• Tempo di risposta• Limiti operativi• Indicazioni e allarmi• Muting e sospensione delle funzioni di sicurezza• Modalità di comando• Manutenzione• Lista di controllo della manutenzione

UNI EN ISO 13849-1

ISTRUZIONI PER L’USO


[Segue]

• facilità di accessibilità e la sostituzione di parti interne• Mezzi per ricerca guasti facile e sicura• Informazioni specificanti le applicazioni per l’uso rilevanti per le categorie cui è fatto

riferimento• Intervalli di prove di controllo quando pertinenti

SI DEVONO FORNIRE LE INFORMAZIONI SPECIFICHE SULLA CATEGORIA/E E IL LIVELLO DI

PRESTAZIONE COME SEGUE:

• IL RIFERIMENTO DATATO ALLA PRESENTE PARTE DELLA ISO 13849• LA CATEGORIA• IL LIVELLO DI PRESTAZIONE

UNI EN ISO 13849-1

ISTRUZIONI PER L’USO

UNI EN ISO 13849-1:2016 Categoria B PL a


CENNI DELLA ISO 13849-2

PROCESSO DI VALIDAZIONE

• VALIDAZIONE MEDIANTE ANALISI

• VALIDAZIONE MEDIANTE PROVE

VALIDAZIONE DELLE FUNZIONI DI SICUREZZA

VALIDAZIONE DELLE CATEGORIE

VALIDAZIONE DEI REQUISITI AMBIENTALI

VALIDAZIONE DEI REQUISITI DI MANUTENZIONE

APPENDICI:

STRUMENTI DI VALIDAZIONE PER SISTEMI MECCANICI

STRUMENTI DI VALIDAZIONE PER SISTEMI PNEUMATICI

STRUMENTI DI VALIDAZIONE PER SISTEMI IDRAULICI

STRUMENTI DI VALIDAZIONE PER SISTEMI ELETTRICI



STRUMENTI PER LA VALIDAZIONE:

• PRINCIPI DI SICUREZZA DI BASE

• PRINCIPI DI SICUREZZA BEN COLLAUDATI

• COMPONENTI BEN COLLAUDATI

• GUASTI ED ESCLUSIONE DEI GUASTI


SOFTWARE APPLICATIVI


ESEMPI APPLICATIVI

REPORT DI SISTEMA


PER MAGGIORI INFORMAZIONI:

CONTEC INDUSTRY www.contecindustry.it

Tel. +39 045.990109

CENNI A SISTEMI DI COMANDO PER LA SICUREZZA DELLE … · METODO3:applicabile...

Documents

Transcript of CENNI A SISTEMI DI COMANDO PER LA SICUREZZA DELLE … · METODO3:applicabile...