United States
Seleziona il paese
  • Europe
  • North america
  • South america
  • Asia / Pacific
  • Middle East / Africa

IEC 62061 SIL - Conclusioni

Sicurezza del macchinario
 

Nota

PLC di sicurezza, safety bus, azionamenti, barriere fotoelettriche di sicurezza e in genere tutti i dispositivi di sicurezza complessi che integrano logica programmabile e che fanno uso di software embedded, se vengono usati per la realizzazione di uno SRP/CS devono essere conformi alle rispettive norme di prodotto, se esistono, e alla IEC 61508 per gli aspetti che riguardano la sicurezza funzionale.

Sicurezza del macchinario – Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per il controllo delle macchine.

La IEC 62061 è derivata dalla IEC 61508 – Sicurezza funzionale dei sistemi elettrici / elettronici / elettronici programmabili relativi alla sicurezza.

 

La IEC 61508 è la norma internazionale di riferimento per la sicurezza funzionale dei sistemi elettrici elettronici ed elettronici programmabili. È divisa in sette parti. Le prime tre parti stabiliscono i requisiti di sicurezza sia per l’hardware che per il software mentre le rimanenti parti sono informative, di supporto per la corretta applicazione delle prime tre.

 

La IEC 62061 conserva le caratteristiche della IEC 61508, ne semplifica i requisiti di sicurezza (sia per l’hardware che per il software) adattandoli alle esigenze del macchinario industriale.
Sono presi in considerazione requisiti di sicurezza solo per il funzionamento "high demand mode" (richiesta della funzione di sicurezza maggiore di
una volta per anno).

La norma si basa su due concetti fondamentali:

  • Gestione della sicurezza funzionale
  • Livello di integrità della sicurezza.

Gestione della sicurezza funzionale

Vengono precisati tutti quegli aspetti del processo di progettazione che sono necessari per raggiungere la sicurezza funzionale richiesta, che vanno quindi dall’assegnazione delle prescrizioni di sicurezza, alla documentazione, alla gestione del progetto fino alla validazione dello stesso.

 

Per ogni progetto dovrà essere redatto, documentato e aggiornato, per quanto necessario, un Piano della sicurezza funzionale.

 

Il piano della sicurezza funzionale dovrà individuare le persone, i reparti e le risorse responsabili delle attività di progettazione e costruzione del sistema di sicurezza.

 

Livello di integrità della sicurezza (Safety Integrity Level: SIL)

Vengono fornite una metodologia e delle prescrizioni per:

  • specificare i requisiti funzionali per ogni funzione di sicurezza da realizzare
  • assegnare il Livello di Integrità della Sicurezza (SIL) per ogni funzione di sicurezza individuata
  • consentire la progettazione di un sistema di controllo di sicurezza (SRECS) idoneo alla funzione di sicurezza da realizzare
  • validare lo SRECS
 
Attribuzione del SIL

Per l’assegnazione del SIL si può usare il metodo descritto nell’allegato A (la norma consente tuttavia di avvalersi anche delle tecniche descritte nella IEC 61508-5).

 

Per ogni pericolo individuato occorre valutare:

  • il grado di severità (Se) del possibile danno
  • la frequenza e la durata (Fr) di esposizione al pericolo
  • probabilità di evento pericoloso (Pr) legata al modo operativo della macchina
  • l’evitabilità (Av) del pericolo. Tanto più è difficile evitare il pericolo tanto più alto sarà il numero rappresentativo dell’evitabilità del pericolo

La tabella seguente, che è un estratto del form di figura A.3 della norma IEC 62061, permette di ricavare in modo semplice il SIL da assegnare alla funzione di sicurezza.

form figura A.3 norma IEC 62061 OM (Other Measures) = raccomandato l’uso di altre misure.

La somma dei punteggi ottenuti per gli attributi di frequenza, probabilità e evitabilità fornisce la classe di probabilità del danno:

Cl = Fr + Pr + Av

Incrociando sulla tabella la classe ottenuta (Cl) con il grado di severità individuato (Se) si ottiene il SIL.

Questo è un processo iterativo. Infatti, in funzione delle misure di protezione adottate, potrebbero variare alcuni parametri (es. Fr o Pr), in questo caso il processo di assegnazione del SIL va ripetuto usando i nuovi valori dei parametri che sono stati modificati.

Sono assegnati tre livelli: SIL 1, SIL 2, SIL 3.

Probabilità media di guasto pericoloso per ora (PFHd)

 

Probabilità media guasto pericoloso ora

Tabella 3 di IEC 62061

 

Il SIL rappresenta quindi il livello di integrità della sicurezza che deve essere attribuito a uno SRECS affinché sia idoneo a svolgere la funzione di sicurezza assegnata e per tutto l’intervallo di tempo stabilito e nelle condizioni d’uso previste.

 

Il parametro usato per definire il SIL (Safety Integrity Level) è la probabilità di guasto pericoloso/ora (PFHd).

 

Maggiore è il SIL, minore è la probabilità che lo SRECS non esegua la funzione di sicurezza richiesta.

 

Per ogni funzione di sicurezza individuata dall’analisi di rischio deve essere definito il SIL.


Processo di sviluppo e progetto

Ogni funzione di sicurezza individuata dalla analisi di rischio, dovrà essere descritta in termini di:

  • requisiti funzionali (modo di funzionamento, tempo di ciclo, condizioni ambientali, tempo di risposta, tipo di interfaccia con altre parti o altre funzioni, livello di immunità EMC, ecc.)
  • requisiti di sicurezza (SIL).

Ogni funzione di sicurezza verrà poi scomposta in blocchi funzionali (es. blocco funzionale delle informazioni di ingresso, blocco funzionale della elaborazione logica delle informazioni, blocco funzionale delle uscite).

 

Ad ogni blocco funzionale viene associato un sottosistema.

 

I sottosistemi saranno a loro volta composti da componenti elettrici interconnessi fra di loro; i componenti elettrici sono denominati elementi del sottosistema.

 

La realizzazione tecnica dello SRECS assumerà quindi una architettura tipica come in figura (qui è rappresentato il caso di un controllo di accesso realizzato tramite barriera fotoelettrica).

controllo accesso tramite barriera fotoelettrica Affinché poi lo SRECS soddisfi i requisiti funzionali e di sicurezza individuati, devono essere rispettate le prescrizioni per:

sil
Ogni sottosistema dovrà essere realizzato tramite circuiti elettrici idonei ad ottenere il SIL richiesto.

 

Il massimo SIL raggiungibile da un sottosistema viene indicato con SILCL (SIL claim).

 

Il SILCL del sottosistema dipende quindi dal valore di PFHd, dai vincoli dell’architettura, dal suo comportamento in caso di guasto e dalla possibilità e capacità di controllo dei guasti sistematici.

 

Software di sicurezza

Nel caso sia stato necessario scrivere software, il codice va sviluppato secondo quanto previsto dalle norme di riferimento in relazione al tipo di  software prodotto secondo il seguente schema

Software sicurezza

 

 

IMPORTANTE!
L’aspetto probabilistico è solo una dei componenti che contribuiscono all’assegnazione del SIL.
Per poter rivendicare un valore di SIL bisogna anche dimostrare e documentare:
• di aver adottato misure gestionali e tecniche idonee per raggiungere la sicurezza funzionale richiesta
• di aver redatto documentato e aggiornato il Piano della sicurezza funzionale
• di aver evitato per quanto possibile guasti sistematici
• di aver valutato (tramite prove e analisi) il comportamento del sistema di sicurezza nelle condizioni ambientali in cui dovrà operare
• di aver sviluppato il software dopo aver adottato tutti gli aspetti di organizzazione previsti.

 


Calcolo di PFHd del sottosistema

Per poter calcolare il PFHd del sottosistema occorrerà prima di tutto scegliere il tipo di architettura (struttura). La norma propone quattro architetture predefinite e per ognuna di esse fornisce una diversa formula semplificata per il calcolo di PFHd.

 

Per effettuare questo calcolo si devono utilizzare i seguenti parametri:

λd = Tasso di guasto pericoloso di ogni elemento del sottosistema.
Si ricava dalla conoscenza del suo tasso di guasto λ, dalla percentuale di ripartizione del tasso di guasto per tutte le sue modalità di guasto e dall’analisi del comportamento del sottosistema in conseguenza del guasto prodotto (guasto pericoloso = λd oppure guasto non pericoloso = λs).

 

T1 = Proof Test. Intervallo di test di prova.
Di solito per il macchinario industriale viene fatto coincidere con la durata di vita (20 anni).

 

T2 = Intervallo di test delle funzioni di diagnosi svolto dai circuiti interni del SRECS o da altri SRECS. Dipende quindi dal progetto o dai dispositivi usati.

 

DC = Copertura diagnostica (Diagnostic Coverage):
Parametro che rappresenta la percentuale dei guasti pericolosi rilevati rispetto a tutti i guasti pericolosi possibili.
DC dipende dalle tecniche di autodiagnosi implementate. Se si suppone infatti che un guasto può sempre verificarsi (altrimenti non ci sarebbe motivo di definire il λ), che i meccanismi per il rilevamento dei guasti non sono tutti parimenti efficienti e immediati (dipendono dal tipo di guasto, per alcuni guasti può occorrere più tempo), che non è possibile pensare di poter rilevare tutti i guasti, che tuttavia adottando opportune architetture circuitali ed efficaci test è possibile rilevare la maggior parte dei guasti pericolosi, allora si può definire un parametro DC che dà una stima dell’efficienza delle tecniche di auto-diagnosi implementate.
La IEC 62061 non fornisce informazioni per ricavare il DC in funzione delle tecniche di diagnosi implementate, ma si possono usare quelle della IEC 61508-2 Allegato A.

 

β = Fattore di guasto per cause comuni. Fornisce una indicazione del grado di indipendenza di funzionamento dei canali di un sistema ridondante.

 

Dopo aver calcolato il valore di PFHd del sottosistema tramite le formule proposte dalla norma, dalla Tabella 3 si ricava il SILCL corrispondente e si verifica che sia compatibile con i vincoli imposti dall’architettura scelta. Il SILCL che può raggiungere un determinato sottosistema è limitato dalla tolleranza ai guasti dell’hardware e dal valore di SFF secondo la seguente tabella:

 

Frazione di guasto
in sicurezza (SFF)
Tolleranza al guasto dell’hardware
0 1 2
SFF < 60% Non permesso SIL 1 SIL 2
60% ≤ SFF < 90% SIL 1 SIL 2 SIL 3
90% ≤ SFF < 99% SIL 2 SIL 3 SIL 3
SFF ≥ 99% SIL 3 SIL 3 SIL 3
(Tabella 5 di IEC 62061)

 

La frazione di guasto in sicurezza del sottosistema (SFF) è, per definizione, la frazione del tasso di guasto globale che non comporta un guasto pericoloso

 

SFF = (Σλs + Σλdd) / (Σλs + Σλdd + Σλdu)

 

I valori λdd (tasso di guasto dei guasti pericolosi rilevabili) e λdu (tasso di guasto dei guasti pericolosi che non è possibile rilevare) si ricavano dalla conoscenza della efficacia delle tecniche di diagnosi implementate.

 

Conoscendo il valore di PFHd e SILCL di ogni sottosistema è ora possibile calcolare il SIL dello SRECS.

Infatti:
La probabilità di guasto pericoloso/ora globale dello SRECS sarà uguale alla somma delle probabilità di guasto pericoloso/ora dei sottosistemi che concorrono alla sua realizzazione e dovrà includere, se necessario, anche la probabilità di guasto pericoloso per ora (PTE) delle eventuali linee di comunicazione di sicurezza:

 

PFHd = PFHd1 + ... + PFHDN +PTE

 

Noto il PFHd, dalla Tabella 3 si ricava il SIL corrispondente.
Il SIL ottenuto dovrà essere poi paragonato ai SILCL dei sottosistemi nel senso che esso potrà essere solo uguale o inferiore al SILCL più basso dei sottosistemi che compongono lo SRECS.

Esempio:

ESEMPIOSILCL

 

Va inoltre ricordato che nel caso che un sottosistema sia condiviso da due o più funzioni di sicurezza che richiedono SIL diversi, esso dovrà soddisfare il SIL maggiore.

 

CONCLUSIONI

I metodi proposti nella ISO 13849-1:2006 riducono le difficoltà di calcolo del valore di Probabilità media di guasto pericoloso per ora rispetto a quanto richiesto dalla IEC 61508 fornendo un approccio pragmatico che meglio si adatta alle esigenze del settore delle macchine utensili.

 

Mantenendo le categorie e altri concetti fondamentali, come la funzione di sicurezza e il grafico del rischio, viene assicurata una continuità con la EN 954 - 1 del 1996.

 

L’aver voluto mantenere l’approccio quanto più lineare possibile fa sì che la ISO 13849-1:2006 abbia dei limiti. Se si prevede l’impiego di tecnologie complesse, (ad esempio elettronica programmabile, bus di sicurezza, architetture diverse da quelle stabilite, ecc.) è più appropriato progettare mediante la IEC 62061.

 

Se si usano dispositivi e/o sottosistemi che già rispondono alla ISO EN 13849-1:1999, la norma IEC 62061 specifica come incorporarli nello SRECS.

 

Non è possibile individuare una perfetta corrispondenza biunivoca fra PL e SIL.

 

È però possibile confrontare la parte probabilistica di PL e SIL perchè usano lo stesso concetto, Probabilità media di guasto pericoloso per ora, per definire il grado di resistenza ai guasti.

 

È importante avvertire tuttavia che, anche se il concetto probabilistico usato nelle due norme è lo stesso, il valore che si ottiene può essere diverso perché i metodi di calcolo sono diversi.

 

Continua ... EN ISO 14119