Sistemi di comando per la sicurezza delle macchine Norma ...5 Riduzione del rischio con la vecchia...

Sistemi di comando per la sicurezza delle macchine

Norma EN ISO 13849-1

Gianfranco Ceresiniwww.elektro.it

Aprile 2010

http://www.elektro.it

2

Valutazione del rischion All’interno della procedura per la marcatura CE di una macchina, il costruttore

deve effettuare un’analisi per rilevare i pericoli a cui possono essere sottoposti tutti gli utilizzatori della macchina, sia coloro che vi hanno a che fare come addetti al funzionamento, sia come pulizia o manutenzione

n La sicurezza della progettazione di una macchina e/o il pericolo che essa può rappresentare per l’operatore, può essere determinata, in conformità alla norma EN ISO 12100, con una procedura in quattro tappe:n Determinazione dei limiti della macchinan Identificazione del potenziale pericolon Stima e valutazione del rischion Riduzione del rischio

n A sua volta il quarto punto, il processo di riduzione del rischio per il pericolo individuato, si può suddividere in tre passi: n la realizzazione di un progetto intrinsecamente sicuro n l’attuazione di misure di sicurezza tramite dispositivi di protezionen l’adozione di informazione, addestramento e dettagliate istruzioni di lavoro

n Per quanto riguarda il secondo passo, nel caso che i dispositivi di protezione scelti siano gestiti da un sistema di controllo di sicurezza, esso dovrà essere costruito in conformità alla norma ISO EN 13849-1 o alla EN 62061 (od eventualmente ancora la EN 954-1). Il progetto del sistema di controllo di sicurezza deve tener conto sia dell’uso previsto che dell’uso scorretto ragionevolmente prevedibile.

3

Evoluzione legislativa e normativa recente

4

Evoluzione legislativa e normativa recente

n Il 29 dicembre 2009 la commissione UE ha prorogato la presunzione di conformità della norma EN 954-1, che inizialmente avrebbe dovuto decadere lo stesso giorno, di altri due anni fino al 31 dicembre 2011.

n Fino a questa data, quindi, i progettisti ed i costruttori di macchine potranno utilizzare parallelamente le norme EN 954-1 ed EN ISO 13849-1 o EN 62061 al fine di ottenere la presunzione di conformità secondo la Direttiva Macchine.

n E’ evidente però che progettando e costruendo macchine utilizzando la norma EN 954-1 come standard di riferimento ai fini della conformità, occorreràsuccessivamente al 2011 dover certificare i sistemi di controllo per la sicurezza delle macchine in base ai nuovi standard sulla sicurezza funzionale, come le norme EN ISO 13849-1 e EN 62061.

n Questo potrebbe anche determinare un aggiornamento della dichiarazione di conformità delle macchine che hanno utilizzato la EN 954-1 come norma di riferimento.

n Di conseguenza, poiché il passaggio normativo è ormai inevitabile, non ha piùsenso riferirsi alla EN 954-1 per la progettazione della parte dei sistemi di comando legata alla sicurezza.

5

Riduzione del rischio con la vecchia normativa EN 954-1

n La norma EN 954-1 classifica i possibili circuiti di comando e controllo di sicurezza delle macchine in cinque differenti categorie (B, 1, 2, 3 e 4), le quali vengono realizzate con un livello di affidabilità e sicurezza crescente. Ad esempio, un circuito di comando realizzato in categoria 3 fornisce maggiori garanzie rispetto ad un circuito di comando realizzato in categoria 1.

6

Riduzione del rischio con la vecchia normativa EN 954-1

n Il tipo di filosofia che si segue, va nella direzione quindi di determinare la categoria idonea (B,1,2,3,4) del circuito di comando per una certa macchina, in base al rischio valutato ed è una filosofia di carattere puramente deterministico nella quale la resistenza ai guasti del sistema di sicurezza èvalutata solo in funzione della modalità di collegamento (ossia dell’architettura B, 1, ….) del circuito di comando.

n La resistenza ai guasti delle categorie B e 1 trae origine dalla affidabilità dei componenti (si cerca di evitare il guasto).

n La resistenza ai guasti delle categorie 2, 3 e 4 trae origine invece dalla struttura del sistema (si cerca di controllare il guasto). In particolare si controlla il guasto tramite il monitoraggio ciclico per la categoria 2, la ridondanza per la categoria 3 , sia la ridondanza che il monitoraggio per la categoria 4.

n Tuttavia il comportamento ai guasti non può essere il solo metodo per stabilire il grado di sicurezza di un sistema. Occorre considerare altri fattori, come ad esempio l’affidabilità dei componenti, che possono svolgere un ruolo importante, forse determinante nel stabilire il grado di sicurezza di un sistema.

7

Nuova normativa – PL e SIL

n Entrambe le due nuove norme EN ISO 13849-1 ed EN IEC 62061 possono essere utilizzate per realizzare sistemi di controllo della sicurezza delle macchine in conformità alla direttiva macchine.

n Presentano nuove classificazioni dei sistemi: la EN ISO 13849-1 utilizza i PL (Performance Level) mentre la EN 62061 utilizza i SIL (Safety Integrity Level)

8

Nuova normativa – campo di applicazione di EN 13849-1 ed EN 62061

n Le classificazioni PL e SIL possono essere considerate delle varianti dello stesso tema ed è possibile scegliere di utilizzare la norma più adatta alla propria applicazione.

n In generale, se si ha l’abitudine all’utilizzo delle categorie della norma EN 954-1 e si utilizzano funzioni di sicurezza convenzionali, la norma EN ISO 13849-1 (PL) è probabilmente la scelta più adatta per transitare in modo piùsoft ai nuovi concetti statistici.

n Se invece, viene specificamente richiesto l’utilizzo delle classificazioni SIL o se l’applicazione utilizza un’architettura complessa o complesse funzionalitàelettroniche di sicurezza, la norma EN 62061 è più adatta.

n La norma EN ISO 13849-1 copre tutte le tecnologie, in particolare copre i dispositivi elettromeccanici, idraulici, elettronici “non complessi” ed alcuni dispositivi elettronici programmabili con strutture predefinite, mentre la norma EN 62061 riguarda solo i sistemi elettrici, elettronici ed elettronici programmabili legati alla sicurezza.

9


NOTA 1: Le architetture designate sono definite nell’Allegato B della EN ISO 13849-1 per fornire un approccio semplificato alla quantificazione dei livelli di prestazione

NOTA 2: Per l’elettronica complessa: Utilizzare architetture designate in conformità alla EN ISO 13849-1 fino a PL = d o qualsiasi architettura conforme alla IEC 62061

NOTA 3: Per la tecnologia non elettrica, utilizzare come sottosistemi parti conformi alla EN ISO 13849-1

“X“ indica che questa voce è trattata nella norma indicata nell’intestazione di colonna

X (vedere Nota 3)

X (vedere Nota 2)

C in combinazione con A, o C incombinazione con A e BF

Tutte le architetture e fino a SIL 3

Limitata ad architetturedesignate (vedere Nota 1) e

fino a PL = dC in combinazione con BE

X (vedere Nota 3)


fino a PL = eA in combinazione con BD

Tutte le architetture e fino a SIL 3


fino a PL = dElettronica complessa, es. programmabileC

Tutte le architetturee fino a SIL 3


fino a PL = e

Elettromeccanica, es. relé, o elettronica noncomplessaB

Non contemplataXNon elettrica, es. idraulicaA

IEC 62061ISO 13849-1Tecnologia che realizza la/e

funzione/i di controllo relativa/ealla sicurezza

10


n Mentre per i circuiti elettrici, elettronici ed elettronici programmabili legati alla sicurezza l’applicazione della norma EN 62061 consente di raggiungere qualsiasi livello di complessità degli stessi, per la norma EN 13849-1 i circuiti elettronici ed elettronici programmabili complessi legati alla sicurezza possono essere gestiti dalla norma solo fino ad un PL che al massimo è “d”, segno che per le parti elettroniche o elettroniche programmabili complesse la norma EN 62061, per stessa ammissione dei normatori, è certamente piùpertinente che non la norma EN 13849-1

n Anzi per i casi nei quali l’elettronica è complessa e/o con architettura complessa che non ricade in una di quelle valide per l’applicazione della Norma EN ISO 13849-1, l’unica norma applicabile diventa la EN 62061.

11


n Rispetto alla EN 954-1, la EN 13849-1 prende in considerazione in modo sistematico altri fattori, come ad esempio l’affidabilità, la diagnostica e la resistenza ai guasti dei componenti, che possono svolgere un ruolo determinante nel stabilire il grado di sicurezza di un sistema.

n Il metodo che si usa per valutare la prestazione di sicurezza di un sistema complesso è quello di calcolare la probabilità che possa capitare un guastopericoloso in un determinato periodo di tempo tenendo conto dell’affidabilitàdei suoi componenti.

n il campo di applicazione della EN ISO 13849-1 è relativo agli SPR/CS (Safety Related Parts of Control System) ossia le parti dei sistemi di comando delle macchine a cui sono assegnate delle funzioni di sicurezza SRCF (Safety Related Control Function), indipendentemente dalla tecnologia utilizzata (elettrica, idraulica, pneumatica, meccanica).

n Queste parti SPR/CS possono essere costituite da circuiti cablati o logici e possono essere parti integranti o separate del sistema di comando.

n Le funzioni di sicurezza SRCF sono ad esempio l’arresto attivato da un dispositivo di protezione elettrosensibile su una pressa, il blocco di un riparo nel momento in cui un’operazione pericolosa è stata avviata, la prevenzione contro l’intrappolamento di persone, il comando ad azione mantenuta, etc.

12


n Più il sistema è sicuro più è improbabile che capiti un guasto pericoloso. E’questo il concetto che sta alla base della EN ISO 13849-1 con la quale viene introdotto un parametro oggettivo di valutazione, il PL (Performance Level) e le relative grandezze ad esso associato e da cui dipende, ossia architettura di comando (categoria di sicurezza), tempo medio al guasto pericoloso MTTFd, copertura diagnostica (DC) e guasti per cause comuni (CCF).

13

Norma EN ISO 13849-1 - PL

n Il Performance Level (Livello di Prestazione) PL è la capacità, da parte di una funzione di sicurezza, di riuscire a ridurre il rischio previsto.

n E’ un parametro che viene espresso in probabilità media di un guasto pericoloso nell’intervallo di un’ora. Sono previsti 5 livelli, da PLa fino a PLe al crescere del rischio, ed ognuno di essi identifica un ambito numerico di probabilità media di guasto pericoloso per ora.

n Ad esempio PLd indica che la probabilità media di guasti pericolosi per ora ècompresa tra 1 x 10-6 e 1 x 10-7 ovvero all’incirca 1 guasto mediamente ogni 100-1000 anni

10-8 ≤ PFHdavg < 10-7e

10-7 ≤ PFHdavg < 10-6d

10-6 ≤ PFHdavg < 3 x 10-6c

3 x 10-6 ≤ PFHdavg < 10-5b

10-5 ≤ PFHdavg < 10-4a

Probabilità media di un guasto pericoloso per ora [1/h] (PFHdavg)Performance Level (PL)

14

Norma EN ISO 13849-1 - PLr

n Il PLr è il livello di prestazione che il circuito realizzato deve raggiungere per essere considerato conforme alle necessità di riduzione del rischio

n Ne consegue che per attestare che un circuito di sicurezza realizzato èidoneo al caso specifico occorre verificare che il PL ottenuto sia almeno pari al PLr. In sostanza il PLr costituisce il livello minimo da raggiungere.

15

Categorie (architetture designate)

n La norma EN 13849-1 considera 5 architetture predefinite dei circuiti di controllo relativi alla sicurezza che rappresentano le 5 categorie B, 1, 2, 3 e 4.

n La norma può essere usata solo se per il progetto del sistema dicontrollo ci si avvale di una delle cinque architetture designate.

n La categoria è la classificazione delle parti di un sistema di comando legate alla sicurezza (SRP/CS) in relazione alla loro resistenza alle avarie ed al loro conseguente comportamento in condizioni di guasto.

16

Categoria B

n La categoria B è la categoria di base. Il verificarsi di un’avaria può portare alla perdita della funzione di sicurezza.

n Il PL massimo conseguibile con la categoria B è il PL = b

17

Categoria 1

n Nella categoria 1, che possiede la stessa architettura della categoria B, una migliore resistenza alle avarie è conseguita prevalentemente mediante la selezione e l’applicazione dei componenti.

n Il PL massimo conseguibile con la categoria 1 è il PL = c

18

Categoria 2

n Nella categoria 2 si ottiene una migliore prestazione mediante il controllo periodico dell’espletamento della funzione di sicurezza specificata (è presente una funzione autodiagnostica).

n Il PL massimo conseguibile con la categoria 2 è il PL = d

19

Categoria 3

n La SRP/CS di categoria 3 deve essere progettata in modo che una singola avaria in una di queste parti non porti a una perdita della funzione di sicurezza

n Il PL massimo conseguibile con la categoria 3 è il PL = d

20

Categoria 4

n Le SRP/CS di categoria 4 devono essere progettate in modo che una singola avaria in una di queste parti legate alla sicurezza non porti a una perdita della funzione di sicurezza e la singola avaria sia rilevata durante o prima della successiva richiesta delle funzioni di sicurezza, per esempio subito, all’accensione o alla fine del ciclo operativo della macchina

n Il PL massimo conseguibile con la categoria 3 è il PL = e

21

MTTFd Tempo medio prima che si verifichi un guasto pericoloso

n L’MTTFd (Mean Time To Failure) è l’intervallo di tempo medio prima del verificarsi di un guasto pericoloso.

n Fornisce una stima della qualità e della affidabilità dei componenti utilizzati.

n L’affidabilità vera di un sistema non è mai nota esattamente, però la statistica e il calcolo delle probabilità ci offrono lo strumento per stimarla.

n Per la valutazione delle misure di protezione si distinguono tre livelli, basso, medio e alto per l’MTTFd, misurato in anni, di ogni canale singolo

30 anni ≤ MTTF d < 100 anniAlto

10 anni ≤ MTTFd < 30 anniMedio

3 anni ≤ MTTFd < 10 anniBasso

Intervallo di MTTFd di ogni canaleDenotazione di MTTFd di ogni canale

22

MTTFd - Individuazione del valore

n L’MTTFd di ogni singolo componente (finecorsa, sensore, contattore, etc.), dovrebbe essere indicato dal costruttore;

n In mancanza dei dati del costruttore si possono assumere i tempistandard che sono indicati nelle appendici C e D della EN 13849-1;

n Infine come ultima alternativa, in assenza dei dati precedenti si assume il valore di 10 anni.

n L’MTTFd viene quindi calcolato prima su ogni singolo componente, poi su ogni singolo canale ed infine un MTTFd complessivo per tutti i canali (se l’architettura del sistema di comando ne prevede più di uno, ossia per i sistemi ridondanti)

23

MTTFd - Calcolo per i singoli componenti

n L’appendice C della norma EN 13849-1 indica diversi metodi per calcolare o valutare i valori di MTTFd per i singoli componenti:n Metodo 1: un metodo basato sul rispetto delle buone pratiche tecniche ed

applicabile per tutti i tipi di componenti, idraulici, pneumatici, meccanici ed elettrici;

n Metodo 2: un metodo applicabile ai componenti idraulici;n Metodo 3: un metodo per calcolare l’MTTFd di componenti pneumatici,

meccanici ed elettromeccanici utilizzando il parametro B10 (numero medio di cicli fino al guasto pericoloso del 10% dei componenti);

n Metodo 4: dati sui valori di MTTFd per i componenti elettronici.

n Per tutti i componenti elettromeccanici, (es. relé e contattori) il tasso di guasto aumenta con il numero di cicli lavorati, pertanto la loro affidabilitànon viene riferita al tempo per cui hanno lavorato bensì al numero di cicli effettuati. Il parametro utilizzato è il valore B10 espresso in numeri di manovre dopo il quale si verificano guasti nel 10% dei componenti esaminati

24

MTTFd - Metodo 1 di calcolo generale - EN 13849-1 appendice C

B10d = 400 000EN 50205 IEC 61810IEC 60947Prospetti D.1 e D.2Relé e contattori con carico

massimo

B10d = 20 000 000EN 50205 IEC 61810IEC 60947Prospetti D.1 e D.2Relé e contattori con carico ridotto

B10d = 20 000 000EN 983Prospetti B.1 e B.2Componenti pneumatici

MTTFd = 150EN 982Prospetti C.1 e C.2Componenti idraulici

MTTFd = 150-Prospetti A.1 e A.2Componenti meccanici

Valori tipici:MTTFd (anni)B10d (cicli)

Altre norme pertinenti

Principi di sicurezza di base e ben provatisecondo la EN ISO

13849-2

25

MTTFd - Metodo 2 di calcolo per componenti idraulici

n Il valore di MTTFd per un singolo componente idraulico, per esempio una valvola, può essere stimato pari a 150 anni a patto che siano rispettate entrambe le seguenti condizioni:

a) I componenti idraulici sono fabbricati secondo principi di sicurezza di base e ben provati in conformità alla EN ISO 13849-2 (prospetti C.1 e C.2);

b) Il costruttore del componente idraulico specifica l’applicazione appropriata e le condizioni operative per l’utilizzatore. Il costruttore della SRP/CS deve fornire informazioni circa la necessità di applicare principi di sicurezza di base e ben provati secondo la ISO 13849-2, prospetti C.1 e C.2, per l’implementazione e il funzionamento del componente idraulico.

n Se non sono soddisfatte queste due condizioni, il valore MTTFd del singolo componente idraulico è necessario che sia indicato dal costruttore.

26

MTTFd - Metodo 3 calcolo pneumatici, meccanici, elettromeccanici

tcycle [s] = tempo del ciclo, ossia il tempo medio tra l’inizio di due cicli successivi (ad esempio la commutazione di una valvola)

dop [g/anno] = giorni di funzionamento all’anno

hop [h/g] = ore di funzionamento al giorno

Tempo medio di funzionamento del componente fino al guasto pericoloso del 10% dei componenti

Numero medio di operazioni in un anno

Formula calcolo MTTFd per un singolo elemento meccanico, pneumatico, elettromeccanico

1,01,01010 d

op

d Tn

BMTTFd =×

=

cycle

opopop t

hshdn

/3600××=

op

dd n

BT 1010 =

27

MTTFd - Metodo 3 - esempio di calcolo 1

n Per una valvola pneumatica, un costruttore determina un valore medio di 60 milioni di cicli come B10d. La valvola è utilizzata per due turni al giorno per 220 giorni di funzionamento all’anno. Il tempo medio tra l’inizio di due commutazioni successive della valvola è stimato in 5 s.

n Ciò determina un MTTFd del componente alto in base alla tabella. Poichéil tempo di funzionamento del componente è limitato a T10d, queste ipotesi sono valide solo per un tempo di funzionamento della valvola limitato a 23,7 anni. Poiché il tempo di vita del componente è superiore al tempo di vita del sistema di sicurezza (20 anni) non deve quindi essere prevista alcuna sostituzione.

annociclihsnop /1053,25

/360016220 6×=××=

anniT d 7,231053,2

10606

6

10 =×

×=

anniTn

BMTTFd d

op

d 2371,07,23

1,01,01010 ===

×=

28

MTTFd - Metodo 3 - esempio di calcolo 2

n Per un relé di sicurezza, un costruttore determina un valore medio di 6 milioni di cicli come B10d. Il relé è utilizzato per due turni al giorno per 220 giorni di funzionamento all’anno. Il tempo medio tra l’inizio di due commutazioni successive del relé è stimato in 15 s.

n Il tempo di vita del componente (tempo per il quale è garantito il livello di MTTFd) è di poco superiore a sette anni ed è inferiore al tempo di vita del sistema di sicurezza (20 anni). Il relé andrebbe sostituito dopo il settimo anno di funzionamento.

annociclihsnop /1084,015

/360016220 6×=××=

anniT d 1,71084,0

1066

6

10 =×

×=

anniTn

BMTTFd d

op

d 711,0

711,01,0

1010 ===×

=

29

MTTFd - Metodo 4 di calcolo per componenti elettronici

Alcuni componenti, come ad esempio i transistor utilizzati come interruttori, possono presentare guasti come cortocircuiti o interruzioni. Solo una di queste due modalità può essere pericolosa; pertanto la colonna delle "osservazioni" assume solo un 50% di guasti pericolosi, il che significa che l’MTTFd dei componenti è pari a due volte il valore MTTF indicato. In caso di dubbio, un MTTFd dei componenti nel caso peggiore èindicato nella colonna MTTFd "caso peggiore", con un margine di sicurezza di 10.

50% di guasti pericolosi

2282 2831 142TO3, TO220, D-PackMOS, di potenza


4 56645 66222 831Giunzione MOSFET


3883 8811 941TO3, TO220, D-PackBipolare, di potenza


1 14211 4165 708TO5, TO39Bipolare, bassa potenza


6 84968 49334 247TO18, TO92, SOT23Bipolare

Caso peggioreTipico

OsservazioneMTTFd per componentianni

MTTF percomponenti

anni

EsempioTransistor (utilizzati come

interruttori)

30

MTTFd - Calcolo complessivo di un canale (o di più canali identici)

Esempio di calcolo

Ho un sistema di comando per lo spegnimento di un motore elettrico all’apertura di un riparo mobile. Ognuno dei due canali del sistema di comando (progettato in categoria 3) è formato dalla sequenza: input = interruttore di interblocco – logic = plc – output = contattore che hanno rispettivamente MTTFd pari a 1420 anni, 72,2 anni e 142 anni. L’MTTFd dell’intero canale risulta:

Ciò determina un MTTFd del canale alto in base alla tabella.

MTTFdi = MTTFd di ogni componente che contribuisce alla funzione di sicurezza

Formula calcolo MTTFd per un canale completo

∑=

=N

i MTTFdiMTTFd 1

11

anniMTTFdMTTFd

3,460216,0142

12,72

11420

11=⇒=++=

31

MTTFd - Calcolo complessivo di diversi canali non identici

Esempio di calcolo

Un canale ha un MTTFdC1 = 3 anni, l’altro canale ha un MTTFdC2 = 100 anni, risulta quindi MTTFd = 66 anni per ogni canale. Ciò significa che un sistema ridondante con un MTTFd di 100 anni in un canale e un MTTFd di 3 anni nell’altro canale è uguale a un sistema in cui ogni canale ha un MTTFd di 66 anni.

Ciò determina un MTTFd simmetrizzato di ciascuno dei due canali alto in base alla tabella.

MTTFdc1 e MTTF dc2 = valori di due canali (ridondanti) diversi

Formula calcolo MTTFd per canali differenti

+−+=

21

21 111

32

CC

CC

MTTFdMTTFd

MTTFdMTTFdMTTFd

anniMTTFd 66

1001

31

1100332

=

+−+=

32

DC – Copertura diagnostica

n Il grado di copertura diagnostica (DC) misura l'efficacia della diagnostica, che può essere rappresentata dal rapporto tra la percentuale di guasti pericolosi rilevati e la percentuale dei guasti totali

n In altre parole questo parametro indica quanto il sistema sia efficiente nel rilevare per tempo un proprio eventuale malfunzionamento.

n Come MTTFd è un parametro che può essere riferito ad una singola parte o ad un singolo componente.

n Il valore della DC si esprime in quattro livelli e viene misurata in percentuale

DC ≥ 99% alta

60% ≤ DC < 99%media

60% ≤ DC < 90%bassa

DC < 60%nessuna

Intervallo della copertura diagnostica (DC)

Denotazione della copertura diagnostica

33

DC – Copertura diagnostica di una SRP/CS

n Nel caso di parti del sistema di controllo con diversi DC, è possibile calcolare la DC media dell’intera SRP/CS (necessaria per la stima del PL) utilizzando una formula. Si calcola quindi la DC per l’intero sistema e non per il singolo canale come succedeva per l’MTTFd.

dove nella somma si deve :• considerare solo i componenti per i quali non si escludono guasti• considerare DC = 0 per quelle parti che non sono monitorate e che quindi contribuiscono nella formula solo al denominatoreSi può vedere che se una parte ha valori di DC e di MTTFd bassi ha molto peso e porta ad un valore di DCavg basso (e viceversa).

Formula calcolo DC media di un’intera SRP/CS

MTTFdnMTTFdMTTFd

MTTFdnDCn

MTTFdDC

MTTFdDC

DCavg 1....2

11

1

......2

21

1

+++

+++=

34

CCF Guasti per cause comuni

n Il parametro CCF stima i guasti per cause comuni definiti come guasti differenti, riassunti da un singolo evento, dove tali guasti non sono conseguenza uno dell’altro. Rappresentano il grado di indipendenza di funzionamento dei canali di un sistema ridondante

n In sostanza un CCF è un guasto che procura un funzionamento critico contemporaneamente su entrambi i canali in un’architettura a doppio canale

n E’ per questo che i CCF vanno valutati solo se si usano sistemi ridondanti (Categorie 2, 3 e 4)

n Per definirne il valore, la norma EN 13849-1 utilizza una tabella nella quale vengono indicate 6 misure contro questi tipi di guasti

n L’osservanza di ognuno di questi provvedimenti determina un punteggio. Sommando i vari punteggi, si arriva ad un totale; se questo totale risulta maggiore di 65 si può dire che il sistema di sicurezza prescelto è accettabile

35

Performance Level PL di una SRP/CS

n La norma EN ISO 13849-1 descrive un procedimento semplificato per stimare il PL di una SRP/CS sulla base delle 5 architetture designate (quelle delle categorie B, 1, 2, 3 e 4).

edddccNon copertoAlto

Non copertodccbNon copertobMedio

Non copertocbbaNon copertoaBasso

MTTFd di ogni canale

altomediobassomediobassanessunonessunoDCavg

433221BCategoria

36

Performance Level PL di una SRP/CS

n Mentre un sistema in una certa categoria secondo la vecchia norma EN 954-1 doveva comunque avere una struttura specifica, nella nuova norma EN ISO 13849-1 per ottenere livelli di prestazione intermedi sono possibili molte strade. Ad esempio per ottenere un sistema con PL pari a “c” sono possibili (ammesso che CCF > 65) tutte le seguenti soluzioni (vedi tutte le “c” indicate nella tabella precedente):

n Sistema in categoria 3 con componenti poco affidabili (MTTFd = basso) e DCavg media.

n Sistema in categoria 3 con componenti affidabili (MTTFd = medio) e DCavg bassa.n Sistema in categoria 2 con componenti affidabili (MTTFd = medio) e DCavg media.n Sistema in categoria 2 con componenti molto affidabili (MTTFd = alto) e DCavg

bassa.n Sistema in categoria 1 con componenti molto affidabili (MTTFd = alto).

n Per una più precisa selezione numerica del PL in funzione del preciso valore del MTTFd di ogni canale, la norma EN ISO 13849-1 fornisce una tabella dettagliata nell’allegato K.

37

Performance Level PL globale di una combinazione di SRP/CS

n Per ogni SRP/CS viene determinato un PL che può essere o calcolato dal costruttore della macchina oppure indicato dal produttore del componente.

n Le SRP/CS combinate potrebbero consistere di diverse parti collegate in modo lineare (allineamento in serie) o ridondante (allineamento in parallelo).

n Per evitare una nuova stima complessa del livello di prestazione (PL) conseguito mediante le SRP/CS combinate in cui i singoli PL di tutte le parti sono giàcalcolati, per ogni canale (collegamento serie) si può eseguire una stima complessiva del PL globale semplicemente contando il numero dei PL più bassi.

e≤ 3

d> 3e

d≤ 3

c> 3d

c≤ 2

b> 2c

b≤ 2

a> 2b

a≤ 3

Nessuno, nonammesso> 3

a

PL dell’intero sistema

Numero di PLbassi

PLbassi

38

PL globale di una combinazione di SRP/CS - esempio

n In questo caso il PL più basso = c; il numero di PL più bassi è pari a 1 e quindi dalla tabella precedente si ricava che il PL complessivo è = c

39

Progettazione 1 - Definizione dei requisiti delle funzioni di sicurezza

n In questa fase vengono stabilite le caratteristiche per ogni funzione di sicurezza. Per ogni funzione di sicurezza il progettista decide il contributo alla riduzione del rischio che essa deve fornire.

n Questo contributo non copre il rischio complessivo della macchina, (ad esempio il rischio globale di una pressa o di un sistema di cambio pallet automatico), ma solo quella parte della riduzione del rischio che deriva dalla applicazione di quella particolare funzione di sicurezza.

n Questo primo passo della progettazione è sicuramente il più delicato, difficoltoso ed importante poiché le scelta su come realizzare la funzione di sicurezza comporta una reazione a catena (positiva o negativa in base alle scelte effettuate) su tutte le altre fasi della progettazione.

40

Progettazione 2 - Determinazione del Performance Level richiesto

n Esempio con possibilità di lesione grave, frequenza permanente al pericolo con possibilità di contenere il danno

41

Progettazione 3 - Progetto e realizzazione tecnica delle SRP/CS

n Una volta selezionato il PLr necessario per la nostra funzione di sicurezza occorre progettare il sistema di controllo che lo soddisfa.

n Occorre quindi scegliere le varie parti tecniche (barriere, fotocellule, tappeti sensibili, moduli di sicurezza, contattori, etc.) che si intendono utilizzare per la realizzazione dell’intero sistema.

42

Progettazione 4 - Determinazione del Performance Level globale

n Per determinare il Performance Level ottenuto, la funzione di sicurezza viene analizzata nelle sue parti: sensore (rilevatore dell’informazione), logica (elaborazione) ed attuatore (apparecchio di manovra).

n Il PL viene calcolato attraverso l’analisi dei parametri visti: architettura (va scelta un’architettura compatibile con il PL richiesto), MTTFd, DCavg ed eventualmente CCF.

43

Progettazione 5 - Verifica

n In questa fase si verifica che il Performance Level ottenuto sia uguale o superiore al PLr stabilito dalla valutazione del rischio al passo 2.

n Se la verifica è positiva il progetto prosegue alla fase successiva, mentre se ènegativa bisogna riprogettare il circuito (ripartendo dal punto 3) cambiando architettura o cambiando i componenti con altri aventi migliori caratteristiche, ad esempio migliori MTTFd.

44

Progettazione 6 - Validazione e manutenzione

n L’ultimo passo del processo di progettazione dei sistemi di comando per la parte relativa alla sicurezza è quello della validazione del risultato raggiunto dal sistema (secondo EN 13849-2) e se anche questo verifica risulteràpositiva il rischio in questione potrà definirsi sufficientemente limitato.

n La validazione consiste nel dimostrare che la combinazione di SRP/CS che implementa ogni funzione di sicurezza soddisfa tutti i requisiti della EN ISO 13849-1. Se la validazione è ok, il processo di progettazione è terminato, altrimenti si riparte di nuovo dal punto 3 migliorando alcune caratteristiche del sistema.

n La validazione (trattata in dettaglio nella norma EN ISO 13849-2) deve dimostrare in particolare che le caratteristiche di sicurezza specificate per una determinata SRP/CS, sono state realizzate effettivamente come stabilito nel ragionamento di progettazione, ed inoltre deve dimostrare che ciascuna delle parti legate alla sicurezza soddisfa i requisiti della categoria specificata

n La validazione dovrebbe essere condotta da persone differenti da quelle che hanno realizzato la progettazione e da loro indipendenti.

45

Esempio di progettazione - cartonatrice

n Si deve realizzare un sistema di carico/scarico di una macchina cartonatrice alla quale si vuole asservire un robot A in ingresso per il carico del materiale e un robot B in uscita per lo scarico del materiale confezionato

n L’obiettivo è controllare la zona di carico/scarico in modo che sia in fase di produzione che di manutenzione e/o pulizia le persone che si avvicinano non subiscano danno

46

Esempio di progettazione – Ciclo di lavoro della macchina

n L’operatore porta con un carrello i pezzi in lavorazione vicino al robot A e attiva il ciclo automatico di lavorazione. Il robot B prende i pezzi lavorati e li posizione in un altro carrello. A fine ciclo l’operatore preleva i pezzi lavorati dal carrello vicino al robot B.

n La macchina è completamente protetta ed ingresso e uscita con tunnel in conformità alla Norma EN 953 “Sicurezza del macchinario - Ripari - Requisiti generali per la progettazione e la costruzione di ripari fissi e mobili” per cui le persone non riescono ad accedere alle parti pericolose interne alla macchina, ma problemi potrebbero sorgere se il nastro trasportatore in ingresso è in movimento quando le persone sono nelle sue vicinanze

n Terminato la lavorazione la macchina si arresta automaticamente in attesa di un nuovo caricamento ed un nuovo start.

47

Esempio di progettazione – Analisi del rischio della macchina

n Il nastro della macchina è pericoloso in quanto se non arrestato quando una persona è nelle vicinanze con il braccio del robot che la stringe verso il nastro potrebbe causargli lesioni se il movimento del nastro non viene arrestato. Si identificano due zone pericolose:

n - Zona prossima al robot A e zona nastro ingresso macchina chiamata zona DZ1 in cui esistono i rischi di urto e schiacciamento con possibili conseguenze mortali

n - Zona prossima al robot B e zona nastro uscita macchina chiamata zona DZ2 in cui esistono i rischi di urto e schiacciamento con possibili conseguenze mortali

48

Esempio di progettazione – Riduzione del rischio della macchina

n I rischi associati ai pericoli individuati non sono accettabili e quindi sono da ridurre mediante dispositivi di protezione gestiti da sistemi di sicurezza

n Il posizionamento dei dispositivi di protezione viene stabilito, in base alla norma EN 999, in funzione della velocità di avvicinamento del corpo umano, oltre che del tempo di arresto degli organi pericolosi e del tempo di risposta del segnale di rilevamento e della catena elettrica/elettronica che attiva l’arresto degli organi pericolosi.

n L’estensione della zona si supponga di almeno 2 m dalle zone pericolose protette attraverso l’utilizzo di tappeti sensibili a protezione della zona limitrofa a ciascun robot e la parte di nastro da essi servita

49

Esempio di progettazione – Funzioni di sicurezza (SRCF) individuate

n Vengono individuate due funzioni di sicurezza ugualin SRF1: Se una persona si avvicina alla zona DZ1 del robot A o al nastro della

macchina, il robot A ed il nastro si devono arrestaren SRF2: Se una persona si avvicina alla zona DZ2 del robot B o al nastro della

macchina, il robot B ed il nastro si devono arrestare

n Per realizzare le funzioni di sicurezza a controllo delle zone pericolose DZ1 e DZ2 si sceglie un sistema costituito da due gruppi di tappeti sensibili (uno per la zona A e l’altro per la zona B) completi della propria elettronica di controllo che fornisce come segnali di sicurezza due contatti elettromeccanici che sono inviati all’ingresso di un configuratore (o un PLC) per applicazioni di sicurezza il quale a sua volta produce segnali di uscita che:

n Arrestano il Robot A diseccitando due contattori che tolgono la potenza al robot An Arrestano il Robot B diseccitando due contattori che tolgono la potenza al robot Bn Arrestano il variatore di velocità che movimenta il motore del nastro agendo su un

suo ingresso di sicurezza (Power removal) per il quale è certificata la funzione di sicurezza in categoria 3 e PL = d.

50

Esempio di progettazione – Determinazione del PL richiesto

n Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare il PL attraverso l’albero dei rischi

n La gravità del danno può essere un danno irreversibile (amputazione) S2n La frequenza di accesso alle zone è elevata F2n La probabilità di evitare il pericolo esiste a causa dei movimenti lenti di robot e

nastro P1

51

Esempio di progettazione – Configurazioni possibili per il PLr

edddccNoncopertoAlto

NoncopertodccbNon

copertobMedio

NoncopertocbbaNon

copertoaBasso



433221BCategoria

52

Esempio di progettazione – Funzioni di sicurezza scomposte in parti

53


n Essendo le due funzioni di sicurezza uguali, viene analizzata solo SRF1n Tappeto e relativa elettronica di controllo = cat. 3 e PL dn Modulo o PLC di sicurezza = cat. 4 e PL en Funzione di arresto sicuro del variatore di velocità del nastro = cat. 3 e PL dn Coppia di contattori che arrestano il robot A = cat. 4 e PL ?

54


55

Esempio di progettazione – Valutazione del PL di SRP/CS3

n La coppia di contattori è collegata in configurazione di categoria 4, in cui il monitoraggio viene effettuato dal modulo di sicurezza che li gestisce

56


n Il valore di MTTFd

n Dal costruttore del contattore si ha B10d = 2.600.000 manovren dop giorni di funzionamento all’anno = 220n hop ore di funzionamento al giorno = 16n tcycle tempo medio tra l’inizio di due cicli successivi = 3600 s (l’accesso

alla zona DZ1 avviene una volta l’ora)n Il numero di operazioni compiute dai contattori è:

n L’MTTFd risulta quindi alto:

annociclihsnop /35203600

/360016220 =××=

annin

BMTTFdop

d 738635201,0

000.600.21,0

10 =⋅

=×

=

57


n Il valore di DC è alto:

n In base alla tabella E1 della EN 13849-1 quando la logica di controllo (che gestisce la diagnostica dei contattori) ha come misura la “sorveglianza diretta (per esempio sorveglianza della posizione elettrica delle valvole di comando, sorveglianza dei dispositivi elettromeccanici mediante elementi di contatto collegati meccanicamente)”, la copertura diagnostica è del 99 % ossia alta

n Quindi il PL è pari ad e


NoncopertodccbNon

copertobMedio

NoncopertocbbaNon

copertoaBasso



433221BCategoria

58

Esempio di progettazione – Valutazione del CCF di ogni SRP/CS

n Deve essere verificato che CCF sia maggiore o uguale a 65 punti. La tabella del CCF compilata secondo quanto è ipotizzato che sia soddisfatto nell’esempio specifico da tutte le SRP/CS che in questo caso soddisfano tutte gli stessi CCF (ma in altri casi potrebbero essere diverse da SRP/CS a SRP/CS) ci dice che èsuperato il punteggio di 65

Max 10070TOTALE

10SIAltri influssiConsiderazione dei requisiti sull’immunità a tutti gli influssi ambientali pertinenti come temperatura, urti, vibrazioni, umidità (per esempio come specificato nelle norme pertinenti).

6.2

25SIPrevenzione della contaminazione e compatibilità elettromagnetica (EMC) contro i CCF in conformità alle norme appropriate.

6.1

Ambiente6

5NOFormazione di progettisti/responsabili della manutenzione alla comprensione di cause e conseguenze dei guasti da causa comune

Competenza/formazione5

5NOSi tiene conto dei risultati dell’analisi delle modalità e degli effetti dei guasti per evitare guasti da causa comune nella progettazione ?

Valutazione/analisi4

5SIUtilizzo di componenti ben provati3.2

15SIProtezione contro eccesso di tensione, potenza, corrente, ecc.3.1

Progettazione/applicazione/esperienza3

20NOSi utilizzano tecnologie/progettazione o principi fisici diversi, per esempio:

Diversificazione2

15SISeparazione fisica tra i percorsi dei segnali

Separazione/Segregazione1

Punteggiomassimo

Punteggio per

il circuit

o di control

lo

Misure contro i guasti da cause comuni (CCF)Numero

59

Esempio di progettazione – Valutazione del PL complessivo

n I PL delle diverse parti che compongono la SRF1 di controllo accesso alla zona del robot A è la seguente

60


n Poichè il PL ottenuto è uguale al PL richiesto il circuito realizzato èidoneo per la riduzione del rischio della funzione di sicurezza per cui è stato costruito

n Se così non fosse stato, il circuito di sicurezza va riprogettatocambiando architettura oppure cambiano i componenti

e≤ 3

d> 3e

d≤ 3

c> 3

d

c≤ 2

b> 2c

b≤ 2

a> 2b

a≤ 3

Nessuno, non ammesso> 3a

PL dell’intero sistemaNumero di PL bassiPL bassi

61

Esempio di progettazione - tornio

n Si deve valutare la sicurezza della zona di caricamento pezzo in lavorazione su un mandrino di un tornio il quale ha il mandrino comandato da riduttore meccanico fisso a bassa velocità e che nella zona di lavorazione vi sia un ugello per la lubrificazione del pezzo in lavorazione che spruzza il lubrificante per mezzo di una pompa

n L’obiettivo è controllare la zona di carico/scarico in modo che sia in fase di produzione che di manutenzione e/o pulizia le persone che si avvicinano non subiscano danno

62

Esempio di progettazione – Ciclo di lavoro della macchina

n L’operatore apre lo sportello della zona di pulizia e posiziona il materiale da lavorare

n L’operatore chiude lo sportello e attiva premendo un pulsante il ciclo automatico di lavoro

n Il tornio è completamente protetto nella zona dello sportello ed il pericolo si presenta solo all’apertura di tale sportello

n Terminato il ciclo impostato il mandrino e la pompa si arrestanoautomaticamente in attesa di un nuovo comando di avvio e l’operatore apre lo sportello prelevando il pezzo lavorato

63

Esempio di progettazione – Analisi del rischio della macchina

n Si identifica come zona pericolosa la parte interna allo sportello della zona lavorazione del tornio denominata zona DZ1

n Alla zona pericolosa DZ1 sono associati possibili danni originati dal mandrino in movimento (ma a bassa velocità) e di schizzi di fluidi con conseguenza di urto e possibile irritazione al volto e tronco con conseguente potenziale danno reversibile

64

Esempio di progettazione – Riduzione del rischio della macchina

n I rischi associati ai pericoli individuati non sono accettabili e quindi sono da ridurre mediante dispositivi di protezione gestiti da sistemi di sicurezza

n Al fine del controllo della zona pericolosa si sceglie di interbloccare mediante un circuito di sicurezza l’apertura dello sportello in modo che all’apertura dello stesso la pompa del fluido di pulizia si arresti e così pure faccia il mandrino in rotazione

65

Esempio di progettazione – Funzioni di sicurezza (SRCF) individuate

n Viene individuata la seguente funzione di sicurezza:

n SRF1: all’apertura dello sportello la pompa del fluido ed il mandrino entro la zona DZ1 si devono arrestare e non devono avviarsi quando lo sportello è aperto

66


n Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare il PL attraverso l’albero dei rischi

n La gravità del danno può essere un danno reversibile (irritazione o contusione) S1n La frequenza di accesso alle zone è elevata poiché avviene una volta a turno per

lavorazione o pulizia F2n La probabilità di evitare il pericolo è impossibile perché il lubrificante schizza

velocemente P2

67



Non copertodccbNon

copertobMedio

Non copertocbbaNon

copertoaBasso



433221BCategoria

68

Esempio di progettazione – Scelta della configurazione

n Tra le possibili configurazioni scelgo una Categoria 1 per cui il circuito realizzato dovrà rientrare nei seguenti parametri per essere idoneo a svolgere la funzione di sicurezza cui è chiamato:

n Categoria 1,n DC = nessuno,n MTTFd= alto

n Non occorre verificare il parametro CCF essendo adottata la categoria 1

69

Esempio di progettazione – Scelta del circuito

n Si sceglie di realizzare un circuito secondo lo schema di figura dove dai dati dei costruttori delle rispettive parti risulta che l’MTTFd dello Switch SW1A (contatto NC ad apertura positiva) è medio (20 anni) mentre l’MTTFd del K1A è alto (50 anni

70

Esempio di progettazione – Funzione di sicurezza

n Risulta quindi che l’MMTFd dell’intero circuito realizzato è MEDIO

∑=

=N

i MTTFdiMTTFd 1

11

anniMTTFdMTTFMTTFMTTFd AKASW

3,1407,0501

201111

11

=⇒=+=+=

71

Esempio di progettazione – Valutazione del PL complessivon Avendo un circuito in categoria 1, con nessuna copertura diagnostica ed un MTTFd

medio per l’unico canale a disposizione, risulta che questo non soddisfa il PL richiesto e pertanto deve essere riprogettato cambiando architettura oppure cambiando componenti per altri con migliori MTTFd


Non copertodccbNon

copertobMedio

Non copertocbbaNon copertoaBasso



433221BCategoria

72

Esempio di progettazione - pressa

n Si ha una pressa per cuscinetti in cui il movimento del cilindro deve essere fermato quando il campo protetto da una barriera fotoelettrica viene interrotto

73


n La gravità della lesione può essere irreversibile (S2), la frequenza di esposizione al rischio è continua (F2) ed esiste la possibilità da parte dell’operatore di limitare il danno (P1). Ne risulta un PLr = d

74



NoncopertodccbNon

copertobMedio

NoncopertocbbaNon

copertoaBasso



433221BCategoria

75

Esempio di progettazione – Scelta della configurazione

n Viene deciso di provare ad attuare il circuito di stop di sicurezza con una struttura secondo uno schema a blocchi formato da 3 SRP/CS in serie:

n barriera ottica in categoria 4n logica di controllo in categoria 4n attuatore del cilindro in categoria 1 secondo il seguente modello

76


n Poiché si sa che il PL massimo conseguibile con la categoria 1 (SRP/CSdell’attuatore) è il PL = c, risulta che il PL complessivo non può essere pari almeno a “d” come richiesto. Si decide quindi di utilizzare un attuatore ridondante in categoria 4.

77


n Dall’effettuazione di nuovi calcoli risulta che il PL di tutte e 3 la SRP/CS è pari ad “e”. Dalla tabella possiamo ricavare che il PL globale è anch’esso = “e”.

n Poiché il PL richiesto era “d”, il processo di progettazione èandato a buon fine (dopo aver verificato che CCF > 65)

e≤ 3

d> 3e

d≤ 3

c> 3d

c≤ 2

b> 2c

b≤ 2

a> 2b

a≤ 3

Nessuno, nonammesso> 3

a

PL dell’interosistema

Numero di PLbassi

PLbassi

78

Software per la sicurezza funzionale

n A causa della complessità di calcolo previsto dalle due norme, è possibile l’utilizzo di software per velocizzare il procedimento di calcolo

n SISTEMA – SW dell’Istituto per la salute e la sicurezza sul lavoro tedesco: il software è gratuito, ma per il momento solo in lingua inglese, tedesca e francese e permette l’analisi solo con la norma EN 13849-1

n http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp

n Pascal – SW della ditta Pilz: il software è a pagamento, ma è in anche lingua italiana e permette l’analisi sia con la norma EN 13849-1 che con la norma EN 62061

n http://www.pilz.it/products/software/tools/f/pascal/index.it.jsp

http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp

http://www.pilz.it/products/software/tools/f/pascal/index.it.jsp

Sistemi di comando per la sicurezza delle macchine Norma ...5 Riduzione del rischio con la vecchia...

Documents

Transcript of Sistemi di comando per la sicurezza delle macchine Norma ...5 Riduzione del rischio con la vecchia...