United States
Seleziona il paese
  • Europe
  • North america
  • South america
  • Asia / Pacific
  • Middle East / Africa

ISO 13849-1 PL

ISO 13849-1 PL
 

Nota

I PLr sono pienamente gerarchici.
PLr(e) fornisce il più alto contributo alla riduzione del rischio, PLr(a) il più basso.

Sicurezza del macchinario – Parti dei sistemi di comando legate alla sicurezza – Principi generali per la progettazione.

La ISO 13849-1:2006 nasce come revisione della ISO 13849-1:1999/EN 954-1.

 

Le complesse formule matematiche proprie della teoria della affidabilità dei sistemi sono state sostituite da tabelle pre-calcolate.

 

Alcuni concetti della EN 954 sono stati mantenuti: categorie, ridondanza, monitoraggio.

 

Alcuni sono stati modificati: grafico dei rischi, scelta delle categorie.

 

Il ruolo delle categorie non è più centrale come nella EN 954-1.

 

Al posto delle categorie, per valutare il grado di resistenza ai guasti, viene introdotto il concetto di Livello di prestazione (PL o Performance Level) che sta a indicare la capacità della parte del sistema di controllo della macchina relativo alla sicurezza (indicato di seguito con SRP/CS) di garantire la protezione entro predefinite condizioni di funzionamento.

 

Il parametro usato per valutare il PL della funzione di sicurezza è la sua Probabilità media di guasto pericoloso/ora.
È considerato pericoloso un guasto che, se non rilevato, inibisce la funzione di protezione del sistema.

 

Sono previsti 5 livelli, da PLa a PLe.


probabilità media guasto pericoloso

Tabella 3 di ISO 13849-1

 

Quanto maggiore è il contributo alla riduzione del rischio tanto più bassa è la Probabilità media di guasto pericoloso/ora.

 

Il PL è funzione della architettura del sistema di controllo, della affidabilità dei componenti, della capacità di rilevare per tempo eventuali guasti interni che potrebbero limitare la funzione di sicurezza e della qualità del progetto.

 

Il seguente prospetto riassume gli aspetti qualitativi e quantitativi da rispettare se si vuole progettare un sistema di controllo di sicurezza conforme alla ISO 13849-1.

Consultare anche glossario.



aspetti qualitativi

Aspetti qualitativi e quantitativi da rispettare per progettare un sistema di controllo di sicurezza

 

Il progettista, per poter dichiarare un determinato valore di PL, deve quindi non solo calcolare la Probabilità media di guasto pericoloso/ora del SRP/CS realizzato, ma deve anche dimostrare di aver ottemperato a tutti i requisiti riguardanti gli aspetti qualitativi stabiliti dalla norma.

 

Il progetto dovrà poi essere validato utilizzando la ISO 13849-2 Sicurezza del macchinario - Parti dei sistemi di comando legate alla sicurezza - Parte 2: Validazione, che definisce le procedure e le condizioni da seguire per la convalida mediante analisi e prove:

  • della funzione di sicurezza fornita
  • della categoria raggiunta
  • del livello di prestazione raggiunto.

 

IMPORTANTE!
Il valore della Probabilità media di guasto pericoloso/ora è solo uno dei parametri che contribuiscono all’assegnazione del PL.
Per poter rivendicare un valore di PL bisogna altresì dimostrare e documentare di aver preso in considerazione e rispettato tutti i requisiti relativi
• al controllo dei guasti sistematici
• all’uso di componenti robusti e affidabili (rispondenti a norme di prodotto, ove disponibili)
• all’uso di norme di buona tecnica
• di aver tenuto conto delle condizioni ambientali in cui dovrà operare il sistema di sicurezza
• nel caso sia stato necessario scrivere software, di aver adottato tutti gli aspetti di organizzazione esemplificati nel modello di sviluppo a V
di Fig. 6 della norma ISO 13849-1 e di aver rispettato i requisiti di sviluppo sia per il software applicativo che per quello incorporato.

 

 

Il processo di progettazione di un SRP/CS secondo la ISO 13849-1 può essere riassunto nei seguenti otto passi:

1 - Individuazione della funzione di sicurezza tramite l’analisi dei rischi
2 - Assegnazione del Performance Level richiesto (PLr) tramite il grafico dei rischi
3 - Scelta della struttura del sistema (architetture) e delle tecniche di autodiagnosi
4 - Realizzazione tecnica del sistema di controllo
5 - Calcolo di MTTFd, DCavg e verifica di CCF
6 - Calcolo di PL tramite la Tabella 5
7 - Verifica del PL (se il PL calcolato è inferiore al PLr occorre ritornare al passo 3)
8 - Validazione.

 

Individuazione della funzione di sicurezza e assegnazione del Performance Level richiesto - PLr

Per ogni funzione di sicurezza individuata per esempio tramite l’uso della ISO TR 14121 - 2 - Risk Assessment) il progettista decide il contributo alla riduzione del rischio che essa deve fornire, ossia il PLr.

 

Questo contributo non copre il rischio complessivo della macchina, ma solo quella parte del rischio legata alla applicazione di quella particolare funzione di sicurezza.

 

Il Parametro PLr rappresenta il Livello di Prestazione richiesto per quella funzione di sicurezza.

 

Il parametro PL rappresenta invece il Livello di prestazione raggiunto dall’hardware che la implementa. Va da sé che il PL dell’hardware deve almeno essere uguale o superiore al PLr stabilito.

 

Lo strumento che viene utilizzato per stabilire quale dovrà essere il contributo alla riduzione del rischio fornito dalla funzione di sicurezza è un grafico del tipo ad albero delle decisioni che porta ad individuare in modo univoco il valore di PLr.
Se vengono individuate più funzioni di sicurezza, per ognuna di esse occorre definire il PLr.


fig3

Grafico delle decisioni per determinare il valore di PL r

 

 

Realizzazione del sistema di controllo di sicurezza e calcolo del PL

Dopo aver deciso il valore di PLr necessario bisogna progettare un SRP/CS idoneo, calcolare il PL risultante e verificare che sia maggiore o uguale al PLr.

 

Dalla figura 3 si è visto che per ricavare il valore di PL occorre calcolare la Probabilità media di guasto pericoloso/ora del sistema di controllo progettato. Esistono diversi metodi per effettuare una stima della Probabilità media di guasto pericoloso/ora di un sistema di controllo di sicurezza.

 

L’uso di questi metodi presuppone che per ogni componente si conosca:

  • il tasso di guasto (λ)
  • la percentuale di ripartizione del tasso di guasto per tutte le modalità di guasto del componente (es. per un interruttore ad azione positiva: il contatto non si apre quando richiesto = 20% dei casi, il contatto non si chiude quando richiesto = 80% dei casi)
  • l’effetto che ha ogni guasto sul comportamento del sistema di sicurezza (es. guasto pericoloso- λd oppure guasto non pericoloso- λs)
  • la percentuale di guasti pericolosi rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi:
    λdd = λd x DC
  • la percentuale di guasti pericolosi non rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi:
    λdu = λd x (1-DC).

 

La ISO 13849-1 semplifica il calcolo fornendo una tabella basata sulla modellazione di Markov nella quale il valore di probabilità media di guasto pericoloso per ora è già precalcolato per diverse combinazioni di Categorie, e di valori di massima di MTTFd e di DCavg che vengono determinati anch’essi tramite tabelle.

Indicazione di
MTTFd
Valori espressi in anni   Definizione
DCavg
Valore di DC
DCavg
Basso 3 ≤ MTTFd < 10   Nessuna DC < 60%
Medio 10 ≤ MTTFd < 30   Basso 60% ≤ DC < 90%
Alto 30 ≤ MTTFd < 100   Medio 90% ≤ DC < 99%
      Alto Alto 99% ≤ DC

 

Selezione della categoria

 

CATEGORIA SINTESI DEI REQUISITI COMPORTAMENTO
DEL SISTEMA
PRINCIPIO UTILIZZATO PER CONSEGUIRE LA SICUREZZA
B Le SRP/CS e/o le loro attrezzature di protezione
e i relativi componenti devono
essere progettati, costruiti, selezionati,
assemblati in conformità allenorme
pertinenti in modo che possano resistere
alle influenze previste. Si devon utilizzare
principi di sicurezza di base
Il verificarsi di un’avaria può portare alla perdita della funzione di sicurezza Caratterizzato principalmente
dalla selezione dei componenti
1 Si devono applicare i requisiti di B.
Si devono utilizzare componenti e principi
di sicurezza ben provati
Il verificarsi di un’avaria può portare alla perdita della funzione di sicurezza ma la probabilità che si verifichi è minore rispetto alla categoria B
2 Si devono applicare i requisiti di B e si
devono utilizzare principi di sicurezza ben provati.
La funzione di sicurezza deve essere
controllata a intervalli idonei dal sistema
di comando della macchina
Il verificarsi di un’avaria può portare alla perdita della funzione di sicurezza tra i controlli.
La perdita della funzione di sicurezza è rilevata dal controllo
Caratterizzato principalmente dalla struttura
3 Si devono applicare i requisiti di B e si
devono utilizzare principi di sicurezza ben
provati.
Le parti legate alla sicurezza devono
essere progettate in modo che:
- una singola avaria in una di queste
parti non porti a una perdita della
funzione di sicurezza, e
- ogniqualvolta ragionevolmente fattibile,
sia rilevata la singola avaria
Quando si verifica una singola avaria la funzione di sicurezza è sempre espletata.
Alcune ma non tutte le avarie sono rilevate.
L’accumulo di avarie non rilevate può portare alla perdita della funzione di sicurezza
4 Si devono applicare i requisiti di B e si
devono utilizzare principi di sicurezza ben
provati.
Le parti legate alla sicurezza devono
essere progettate in modo che:
- una singola avaria in una di queste
parti non porti a una perdita della
funzione di sicurezza, e
- la singola avaria sia rilevata durante o
prima della successiva richiesta della
funzione di siscurezza ma, se tale rilevamento non è possibile, l’accumulo di
avarie non rilevate non deve portare
alla perdita della funzione di sicurezza
Quando si verifica una singola avaria la funzione di sicurezza è sempre espletata.
Il rilevamento delle avarie accumulate riduce la probabilità della perdita della funzione di siscurezza (DC alta).
Le avarie sono rilevate in tempo per prevenire la perdita della funzione di sicurezza

 

La resistenza ai guasti delle Cat. B e Cat.1 trae origine dalla robustezza dei componenti (si cerca di evitare il guasto).
La resistenza ai guasti delle categorie 2,3,4 trae origine dalla struttura del sistema (si cerca di controllare il guasto). In particolare si controlla il guasto tramite monitoraggio ciclico per la Cat.2, ridondanza per la Cat.3 , ridondanza e monitoraggio per la Cat.4.
Alle categorie corrispondono precisi requisiti funzionali. Le modalità di guasto dei componenti sono definite e catalogate.
Esiste quindi una esatta corrispondenza fra le categorie e il comportamento del sistema in caso di guasto (approccio
deterministico).


Il problema si riconduce quindi alla scelta dell’architettura, al calcolo di DCavg in funzione delle tecniche di autodiagnosi implementate, al calcolo semplificato di MTTFd del circuito progettato e alla verifica che siano rispettate le condizioni di indipendenza di funzionamento dei canali (CCF) nel caso di architetture ridondanti (Cat. 2,3 e 4).

 

La combinazione di Categoria e DCavg adottata identifica una delle sette colonne di tabella 5; il valore di MTTFd calcolato determina quale parte della colonna considerare. Sulla sinistra del grafico si legge poi il valore di PL corrispondente.

 

performance level

Diagramma di ISO 13849-1 

 

Può capitare che la parte di colonna scelta comprenda due o tre possibili valori di PL (es. nel caso di Cat. 3, DCavg = medio e MTTFd = low sono possibili i seguenti tre valori: PLb, PLc, PLd); in questi casi, per poter ricavare il valore di PL corretto si usa la tabella K.1 dell’Annesso K della Norma (qui non riportata) che fornisce in modo dettagliato i valori di Probabilità media di guasto pericoloso per ora e PL in funzione del valore puntuale di MTTFd e della combinazione di Categoria e DCavg implementati.

Come si può vedere dalla figura 5, per ogni Livello di Prestazione richiesto sono possibili più scelte. Ad esempio si veda
la tabella 5: per ottenere un sistema con PL pari a “c” sono possibili le seguenti cinque alternative:

 

1. Categoria 3 con MTTFd = basso e DCavg media
2. Categoria 3 con MTTF
d = medio e DCavg bassa
3. Categoria 2 con MTTF
d = medio e DCavg media
4. Categoria 2 con MTTF
d = alto e DCavg bassa
5. Categoria 1 con MTTF
d = alto.

Eccezione solo per la parte di uscita del SRP/CS

 

Se per componenti meccanici, idraulici o pneumatici (o componenti che comprendono tecnologie miste) non sono disponibili dati sull’affidabilità specifici per tale applicazione, il fabbricante della macchina può valutare gli aspetti quantificabili del PL senza alcun calcolo del MTTFD.

 

In tali casi, il livello di prestazione legato alla sicurezza (PL) è implementato dall’architettura, dalla diagnostica e dalle
misure contro il CCF. La tabella seguente mostra il rapporto fra il PL conseguibile e le categorie.

 

  PFHd 1/h) Cet. B Cat. 1 Cat. 2 Cat. 3 Cat. 4
PL a 2*10-5 * 0 0 0 0
PL b 5*10-6 * 0 0 0 0
PL c 1,7*10-6 - *2 *1 0 0
PL d 2,9*10-7 - - - *1 0
PL e 4,7*10-8 - - - - *1

 

* La categoria applicata è raccomandata
0 La categoria applicata è opzionale
- La categoria non è consentita
*1 Si devono utilizzare componenti collaudati o ben provati (confermati dal fabbricante dei componenti per essere idonei per tale applicazione particolare) e ben provati principi di sicurezza.
*2     Si devono utilizzare componenti e principi di sicurezza ben provati. Per i componenti legati alla sicurezza che non sono sorvegliati dal processo, il valore T10d può essere determinato sulla base di dati di collaudo del fabbricante della macchina.

 

Combinazione di più SRP/CS
Una funzione di sicurezza può essere composta da uno o più SRP/CS, e più funzioni di sicurezza possono utilizzare gli stessi SRP/CS. I singoli SRP/CS, poi, potrebbero essere realizzati con architetture diverse. Se la funzione di sicurezza è realizzata collegando in serie più SRP/CS (es. barriera di sicurezza, logica di controllo, uscita di potenza) e se per ciascuno di essi è noto il PFHd, allora il PFHd totale è pari alla somma dei valori di PFHd dei singoli SRP/CS.


Il PL corrispondente al PFHd così calcolato è poi limitato da vincoli sistematici (non quantificabili):     il PL totale non può essere maggiore del PL  più basso di tutti i sottosistemi che compongono la funzione di sicurezza e da aspetti quantificabili: il PL totale non può essere più grande del PL che si ricava dalla Tabella 3 di ISO 13849-1 in corrispondenza del PFHD sommato (Il PFHd sommato è formato dalla somma di tutti i valori di PFHd dei singoli SRP / CS.


Se i PFHd dei singoli SRP/CS non sono noti, la norma fornisce un modo semplice per calcolare il PL totale.

Si identifica la parte col PL più basso (PL low),    
Si identifica il numero di parti che hanno PL = PL low    
Si inseriscono i dati nella tabella seguente e si ricava il PL totale

 

PL totale

 

Il PL ricavato tramite questa tabella si riferisce a valori di Probabilità media di guasto pericoloso per ora che si trovano a metà per ognuno degli intervalli di Tabella 3 della ISO 13849-1

 

esempio calcolo probabilità media guasto

 

Risulta:    PL low = d              N low = 1 (< 3)
Quindi:    PL complessivo = d

e il valore di Probabilità media di guasto pericoloso per ora dell’intero sistema sarà un numero compreso fra 1 x 10-6 e 1 x 10-7 (vedere Tabella 3 della ISO 13849-1).

 

Continua ... IEC 62061 SIL - Conclusioni