Denmark
Seleziona il paese
  • Europe
  • North America
  • South America
  • Asia / Pacific
  • Middle East / Africa

ISO 13849-1,2 (PL)

ISO 13849-1 PL
 

Nota

I PLr sono pienamente gerarchici.
PLr(e) fornisce il più alto contributo alla riduzione del rischio, PLr(a) il più basso.

Sicurezza del macchinario – Parti dei sistemi di comando legate alla sicurezza – Principi generali per la progettazione

Le EN ISO 13849-1,2 sono utilizzate nell’ambito della riduzione sistematica dei rischi descritta nella ISO 12100 per la parte che riguarda il progetto del sistema di controllo di sicurezza della macchina.

La ISO 12100 prescrive che sia messo in atto un processo iterativo per la riduzione del rischio attraverso una gerarchia di misure fino al raggiungimento di un rischio residuo accettabile e precisamente:

  • Riduzione dei pericoli mediante la costruzione intrinsecamente sicura dei macchinari, ad esempio fornendo protezioni meccaniche fisse.
  • Riduzione dei pericoli rimanenti tramite misure ingegneristiche come ad esempio dispositivi di protezione o tramite modifiche ai sistemi di lavoro.
  • Se nonostante le misure adottate esistono ancora dei pericoli o rischi che non possono essere eliminati o modificati, occorre mettere in pratica azioni amministrative, fornire istruzioni e procedure di lavoro e dotare le persone di dispositivi di protezione individuale.

Questo processo iterativo deve essere eseguito separatamente per ogni pericolo, considerando tutte le possibili condizioni d’uso della macchina.

 

Devono essere presi in considerazione tutti gli usi previsti e gli usi non corretti ragionevolmente prevedibili.

 

Dopo aver identificato i pericoli, la riduzione del rischio si può ottenere progettando per ognuno di essi adeguate funzioni di sicurezza.

 

La norma ISO 13849-1 serve appunto come guida per progettare le parti del sistema di comando che servono per realizzare le funzioni di sicurezza. Si può usare per tutti i tipi di macchinari indipendentemente dal tipo di tecnologia utilizzata (elettrica, idraulica, pneumatica, ecc.) Queste parti possono essere costituite da hardware e/o software e possono essere separate dal sistema di comando della macchina o farne parte integrante.

 

La ISO 13849-1 è applicabile solo nel caso che la funzione di protezione sia richiesta con frequenza superiore a una volta all’anno (funzionamento in High demand mode) oppure sia richiesta costantemente (Continuous mode of operation) perchè le tabelle e le formule contenute nella norma sono relative a questi due tipi di funzionamento.

 

Esempi di prodotti che sono comunemente integrati in un sistema di controllo di sicurezza sono: relè, elettrovalvole, interruttori di posizione, PLC, moduli di sicurezza configurabili, unità di controllo del motore, dispositivi di comando a due mani, apparecchiature sensibili alla pressione, barriere fotoelettriche, laser scanner.

 

Le parti del sistema di controllo della macchina legate alla sicurezza sono indicate con l’acronimo SRP/CS (Safety Related Parts of Control System).

 

Oltre all’implementazione le funzioni di sicurezza, un SRP/CS può anche implementare funzioni operative, ma solo le parti legate alla sicurezza rientrano nell’ambito di applicazione della norma.

 

Per valutare il livello di prestazione di sicurezza di un SRP/CS, la ISO 13849-1 usa il termine PL (Performance Level) che sta a indicare la capacità di un SRP/CS di garantire una riduzione dei rischi adeguata entro predefinite condizioni di funzionamento.

 

Il livello di prestazione è misurato con una scala a 5 livelli, da PLa a PLe; ad ogni livello è associato un intervallo di valori di probabilità media di guasto pericoloso (PFHD).

 

PL Probabilità media di guasto pericoloso per ore (PFHD) 1/h
a ≥ 10-5 a < 10-4
b ≥ 3 x 10-6 a < 10-5
c ≥ 10-6 a < 3 x10-6
d ≥10-7 a < 10-6
e ≥ 10-8 a < 10-7

 

Valutazione del rischio e assegnazione del Performance Level richiesto - PL r

Per ogni funzione di sicurezza individuata, il progettista deve decidere quale dovrà essere il contributo alla riduzione del rischio che essa deve fornire.

 

Questo contributo non copre il rischio complessivo della macchina, ma solo quella parte del rischio legata all’applicazione di quella particolare funzione di sicurezza.

 

Il Parametro che viene usato per indicare il contributo alla riduzione del rischio richiesto per quella funzione di sicurezza è il PL r (Performance Level Required).

 

Il parametro PL invece, rappresenta il Livello di prestazione raggiunto dall’hardware che implementa quella funzione di sicurezza. Va da sé che il PL deve almeno essere uguale o superiore al PL r.

 

Dopo aver deciso il valore di PL r necessario bisogna progettare un SRP/CS idoneo, calcolare il PL risultante e verificare che sia maggiore o uguale al PL r.

 

Lo strumento usato nella ISO 13849-1 per stabilire quale dovrà essere il contributo alla riduzione del rischio fornito dalla funzione di sicurezza è un grafico del tipo ad albero delle decisioni che porta ad individuare in modo univoco il valore di PL r. Se vengono individuate più funzioni di sicurezza, per ognuna di esse occorre definire il PL r.

fig3

 

Considerazioni sul parametro S

È necessario fare una valutazione sul tipo di lesioni che potrebbero derivare da un malfunzionamento della funzione di sicurezza. La EN 13849-1 propone solo due possibilità:

  • S1 = lesione leggera
  • S2 = lesione grave

Sono considerate lesioni leggere le graffi, sbucciature, lividi, lacerazioni senza complicanze. Sono considerate lesioni gravi le amputazioni, le perdite di funzionalità di un arto, la perdita di un occhio, morte.

 


Considerazioni sul parametro F

La distinzione fra F1 e F2 può essere formulata come segue:
Si sceglie F2 se la frequenza di esposizione al pericolo è maggiore di una volta ogni 15 minuti. Si sceglie F1 se la frequenza di esposizione al pericolo non è maggiore di una volta ogni 15 minuti e il tempo di esposizione accumulato non supera 1/20 del tempo operativo complessivo.

 


Considerazioni sulla probabilità di accadimento dell'evento pericoloso

La procedura di valutazione dei rischi tramite il grafico dei rischi non prende in considerazione la probabilità di accadimento dell’evento pericoloso. O meglio, considera implicitamente il caso peggiore, vale a dire che la probabilità di accadimento è valutata sempre essere uguale a 1 perché nella maggior parte dei casi, la probabilità corretta non è nota oppure è difficile da stimare.

La probabilità del verificarsi di un evento pericoloso dipende sia dal comportamento umano sia da guasti tecnici, dovrebbe essere basata su fattori come:

  • dati di affidabilità del sistema di controllo
  • la storia degli incidenti su macchine analoghe (con lo stesso rischio, stesso processo, stessa azione dell'operatore e stessa tecnologia che causa il pericolo).

Se la probabilità del verificarsi di un evento pericoloso può essere giudicata bassa, il PL r può essere ridotto un livello.

grafico del rischio ridotto
 

Sovrapposizioni dei rischi

È possibile che una stessa persona possa essere sottoposta all’interazione simultanea di più rischi dovuti per esempio alla presenza di più movimenti pericolosi della macchina che potrebbero potenzialmente crearle un danno.

 

Se la valutazione della probabilità di guasto fosse fatta prendendo in considerazione tutti i componenti coinvolti nell’insieme delle operazioni, si arriverebbe ben presto a valori di PFHD molto alti (anche se si usassero componenti con valori di MTTFD molto alti) con conseguente impossibilità di raggiungere il PL richiesto.

 

Le cose si complicano ancora di più nel caso che i singoli rischi richiedano PL r diversi.

 

Per superare questi problemi è consentito separare i rischi, se questo è possibile, e assegnare ad ognuno di essi una funzione di sicurezza separata.

 

Questa possibilità deve essere analizzata dal progettista durante il processo di valutazione del rischio. Prima si identifica la zona pericolosa, poi si identificano tutti i movimenti pericolosi delle varie parti della macchina che insistono sulla stessa zona pericolosa, si considerano le operazioni da svolgere e quali sono le parti del corpo a rischio.

 

Se dall’analisi si evince che è possibile separare i vari movimenti pericolosi allora ad ogni movimento pericoloso si
assegna una funzione di sicurezza separata e si calcola il relativo PL.


Esempio 1
In una cella di produzione che coinvolge più robot su operazioni diverse la funzione di arresto a seguito dell’intrusione della barriera, può essere valutata singolarmente per ciascun robot.

cella robotizzata

 

 

Per l'esempio della cella di lavorazione illustrata, si possono individuare le
seguenti funzioni di sicurezza:
SF1: L’interruzione della barriera di sicurezza comporta l'arresto di tutti gli azionamenti del robot 1
SF2: L’interruzione della barriera di sicurezza comporta l'arresto di tutti gli azionamenti del robot 2
SF3: L’interruzione della barriera di sicurezza comporta l'arresto di tutti gli azionamenti del robot 3 

 

 

 


La stessa considerazione vale per esempio per una tavola rotante dotata di più dispositivi di serraggio; la valutazione del rischio può essere fatta separatamente per ogni pinza.

 


Esempio 2
In un robot di saldatura l’operatore è esposto contemporaneamente al rischio di schiacciatura dovuto al movimento della testa del robot e al rischio di bruciatura dovuto all’utensile montato sulla testa, in questo caso testa del robot e utensile vanno contemporaneamente presi in considerazione nella valutazione della funzione di sicurezza.

 


Esempio 3
La funzione di sicurezza di un robot in modalità di apprendimento richiede che sia possibile mantenere alimentato il
robot solo se la porta di ingresso della cella è aperta, che sia usato un dispositivo di abilitazione locale ad azione mantenuta e che il robot possa funzionare solo a velocità ridotta di sicurezza.

Nel calcolo del PFHD vanno perciò inserite le probabilità di guasto di tutti e tre i dispositivi perché il guasto pericoloso anche di uno solo di essi porta immediatamente a una condizione di pericolo.

 

Individuazione della funzione di sicurezza e specifica di progettazione


Per decidere quali funzioni di sicurezza siano necessarie bisogna tener conto dell’uso previsto della macchina (incluso l’uso scorretto ragionevolmente prevedibile). Per ogni funzione di sicurezza deve essere redatto un documentato nel quale sono dettagliate almeno le seguenti specifiche:

  • Risultato della valutazione dei rischi per ogni pericolo (Valore di PL r)
  • Comportamento che si intende ottenere o impedire con la funzione di sicurezza (es. all’apertura del riparo la
    macchina esegue uno stop Cat.0)
  • Uso previsto della macchina e uso scorretto ragionevolmente prevedibile
  • Funzionamento in condizioni di emergenza
  • Tempo di risposta della funzione di sicurezza
  • Modalità di ripristino dopo un’azione di protezione (funzionamento automatico oppure manuale)
  • Modalità di intervento (relative a una zona o parte della macchina)
  • Necessità di sospensione della funzione di sicurezza (muting, banking)
  • Modalità di by-pass della funzione di sicurezza per riparazione, messa a punto, pulizia, ricerca guasti ecc.
  • Eventuale descrizione delle interconnessioni tra diverse funzioni di sicurezza
  • Frequenza di intervento della funzione di sicurezza
  • Priorità delle funzioni che, se attive contemporaneamente possono causare conflitti di funzionamento

 

Per aiutare il progettista, la norma elenca le principali funzioni di sicurezza che in genere sono implementate in un
SRP/CS e per alcune di esse fornisce i principali requisiti di sicurezza:

  • Funzione di arresto legata alla sicurezza avviata da una misura di salvaguardia
  • Funzione di ripristino manuale
  • Funzione di avviamento/riavviamento
  • Funzione di comando locale
  • Funzione di inibizione (Muting)
  • Funzione di comando ad azione mantenuta
  • Funzione dispositivo di abilitazione
  • Prevenzione dell’avviamento inatteso
  • Fuga e salvataggio di persone intrappolate
  • Funzione di isolamento e dissipazione di energia
  • Modalità di comando e selezione di modalità
  • Funzione di arresto d’emergenza


Funzione di arresto di sicurezza

La funzione di arresto avviata dall’attuazione di un dispositivo di protezione deve portare la macchina in uno stato sicuro nel minor tempo possibile.
La funzione di arresto deve avere la priorità su una fermata per motivi operativi.
Quando un gruppo di macchine lavora insieme in modo coordinato, si deve aver cura di segnalare al controllo di supervisione e/o alle altre macchine l’esistenza di tale arresto di sicurezza.
Dopo l’attuazione di un comando di arresto da parte di un dispositivo di protezione, la condizione di arresto deve essere mantenuta fino al sussistere di condizioni sicure per il riavvio.

 

Funzione di ripristino manuale

Il Reset ripristina il mezzo di protezione e annulla il comando di arresto sicuro. Se stabilito dalla valutazione del rischio, tale annullamento deve essere confermato mediante un’azione manuale, separata e deliberata (ripristino manuale).
La funzione di ripristino manuale deve:

  • Essere autorizzata attraverso un dispositivo separato, compreso nella SRP/CS e azionato manualmente
  • Essere abilitata solo se tutti i mezzi di protezione sono operativi
  • Non avviare essa stessa un movimento o una situazione pericolosa
  • Avvenire mediante un’azione deliberata
  • Abilitare il sistema di comando affinché accetti il comando di avvio
  • Essere abilitata solo dopo aver disinserito l’attuatore dalla sua posizione di ON

 

Funzione di Muting

La funzione di Muting non deve esporre le persone a situazioni pericolose. Durante il Muting, le condizioni di sicurezza devono essere garantite con altri mezzi. Al termine del Muting, tutte le funzioni di sicurezza della SRP/CS devono essere ripristinate automaticamente. Il PL delle parti del SRP/CS che realizzano la funzione di Muting devono essere tali da non diminuire il livello di sicurezza della funzione di sicurezza alla quale è associato il Muting.

 

Parametri legati alla sicurezza

Quando lo scostamento di parametri quali posizione, velocità, temperatura o pressione, oltre i limiti impostati può causare problemi di sicurezza, il sistema di comando deve attuare misure appropriate (per esempio attuazione dell’arresto, segnale di avvertimento, allarme).

 

Fluttuazioni, perdita e ripristino di fonti di alimentazione

Quando si verificano fluttuazioni nei livelli di alimentazione al di fuori dell’intervallo operativo di progettazione, inclusa la perdita dell’alimentazione, la SRP/CS deve continuare a fornire o inviare segnali d’uscita che consentano alle altre parti del sistema macchina di mantenere uno stato sicuro.

 

E – Stop

L’E-Stop è definito “misura di protezione complementare” (non è una funzione di sicurezza).

Viene usato per ridurre il rischio dovuto a guasti o incidenti non ragionevolmente prevedibili a parti della macchina, inclusi guasti ai dispositivi di protezione. Poiché deve essere disponibile in caso di avaria degli altri dispositivi protezione, anche ad essa conviene applicare la EN ISO 13849-1.

Deve essere disponibile e operativo in ogni momento e deve bypassare tutte le altre funzioni e modi operativi della macchina (senza compromettere eventuali strutture progettate per il rilascio di persone intrappolate). Qualsiasi comando di avviamento (volontario, non intenzionale, o imprevisto) non deve avere efficacia su quelle parti della macchina fermate dal comando di E-stop fino a quando il dispositivo non venga ripristinato manualmente.

Il PL r della funzione E-Stop dovrebbe essere uguale a quello della funzione di sicurezza con PL r più alto coinvolta nella realizzazione del SRP/CS.

 

Funzione di controllo locale

Quando una macchina è controllata localmente, ad es. mediante un dispositivo di controllo portatile occorre che:

  • Il selettore del dispositivo di controllo locale deve essere situato al di fuori della zona di pericolo
  • Il controllo locale deve essere attivo solo nella parte della zona pericolosa individuata dall’analisi di rischio
  • Il passaggio da controllo locale a controllo principale non deve creare una situazione pericolosa

 

Tempo di risposta

Quando, a seguito della valutazione di rischio, si ritiene che il tempo di risposta dell'SRP / CS possa essere determinante ai fini della sicurezza, esso dovrà essere sommato al tempo di risposta degli altri dispositivi che compongono il sistema di controllo di sicurezza in modo da formare il tempo complessivo di risposta della macchina.

Il tempo di risposta complessivo richiesto per l’arresto della macchina può influenzare la progettazione della parte
relativa alla sicurezza, ad es. potrebbe essere necessario aggiungere un sistema di frenatura.

 

Realizzazione di una Funzione di sicurezza tramite un SRP/CS

Una funzione di sicurezza può essere implementata mediante una o più SRP/CS.

 

Si possono usare tutte le tecnologie disponibili, anche in combinazione; elettrica, idraulica, pneumatica, meccanica ecc.

È anche possibile che una SRP/CS implementi funzioni di sicurezza e normali funzioni di comando (per esempio una
Barriera Fotoelettrica o un Controllo a due mani possono essere usati sia per protezione che per avviamento ciclo).

 

Rappresentazione schematica a blocchi di una tipica funzione di sicurezza

funzione di sicurezza 

Diverse funzioni di sicurezza possono condividere una o più SRP/CS

 

condivisione funzioni di sicurezza


Il progettista deve decidere il contributo alla riduzione del rischio che è necessario sia fornito da ciascuna funzione di sicurezza.

 

Questo contributo non copre il rischio complessivo della macchina, ma solo quella parte del rischio che deriva dalla applicazione di quella particolare funzione di sicurezza.

La valutazione del PL r va dunque fatta separatamente per ogni singola funzione di sicurezza.

 

Questo accorgimento agevola l’esecuzione dei calcoli e evita di penalizzare eccessivamente il valore di PFHD ottenuto poiché non si introducono nel calcolo dati di affidabilità di componenti che non contribuiscono a quella funzione di sicurezza.

 

Fase di progettazione di SRP/CS – Aspetti organizzativi

Prima di realizzare un SRP/CS, al fine di ridurre il più possibile l’introduzione di guasti sistematici durante la fase di progettazione oppure a seguito di successive modifiche, è necessario dotarsi di una organizzazione gestionale che segua procedure strutturate che coprano l’intero ciclo di vita del SRP/CS. Ogni attività di progettazione dovrebbe essere adeguatamente specificata, documentata e verificata.


Calcolo del PL e del PFHD delle SRP/CS

Il PL dipende da numerosi fattori, inclusi la struttura hardware e software, la capacità di rilevare per tempo eventuali guasti interni che potrebbero limitarne le prestazioni di sicurezza, l’affidabilità dei componenti, la capacità di limitare i guasti da causa comune, la qualità del processo di progettazione, le sollecitazioni operative, le condizioni ambientali e il ciclo operativo della macchina.

 

Si devono considerare tutti i casi di uso previsto e uso scorretto ragionevolmente prevedibile.
Il seguente prospetto riassume gli aspetti quantificabili, assegnando ad essi un valore complessivo di probabilità di guasto, e gli aspetti qualitativi che devono essere soddisfatti al fine di ottenere un PL.


aspetti qualitativi

 
IMPORTANTE!
Il valore della Probabilità media di guasto pericoloso/ora è solo uno dei parametri che contribuiscono all’assegnazione del PL. Per poter rivendicare un valore di PL bisogna altresi dimostrare e documentare di aver preso in considerazione e rispettato tutti i requisiti relativi
- al controllo dei guasti sistematici
- all’uso di componenti robusti e affidabili (rispondenti a norme di prodotto, ove disponibili)
- all’uso di norme di buona tecnica
- di aver tenuto conto delle condizioni ambientali in cui dovrà operare il sistema di sicurezza
- nel caso sia stato necessario scrivere software, di aver adottato tutti gli aspetti di organizzazione esemplificati
nel modello di sviluppo a V di Fig. 6 della norma ISO 13849-1 e di aver rispettato i requisiti di sviluppo sia per il
software applicativo che per quello incorporato.

 

Il metodo usato per valutare la parte del PL legata agli aspetti quantitativi è quello di calcolare la probabilità che
all’SRP/CS possa capitare un guasto pericoloso in un determinato periodo di tempo, in particolare in un’ora, tenendo conto dell’affidabilità dei suoi componenti.

 

Quanto maggiore è il contributo alla riduzione del rischio fornito dal SRP/CS tanto più bassa deve essere la sua Probabilità di guasto pericoloso/ora (PFHD).
È considerato pericoloso un guasto che, se non rilevato, inibisce la funzione di protezione del sistema.

 

Esistono diversi metodi per effettuare una stima della Probabilità media di guasto pericoloso/ora di un sistema o di un sottosistema. Questi metodi richiedono l’uso di complesse formule matematiche proprie della teoria della affidabilità dei sistemi e che per ogni componente si conosca:

  • Il tasso di guasto (λ)
  • La percentuale di ripartizione del tasso di guasto per tutte le modalità di guasto del componente (es. per un interruttore ad azione positiva: il contatto non si apre quando richiesto = 20% dei casi, il contatto non si chiude quando richiesto = 80% dei casi)
  • L’effetto che ha ogni guasto sul comportamento del sistema di sicurezza (es. guasto pericoloso - oppure guasto non pericoloso)
  • La percentuale di guasti pericolosi rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi
  • La percentuale di guasti pericolosi non rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi

 

L’ISO 13849-1 semplifica questo processo sostituendo le formule matematiche con tabelle pre-calcolate per diverse combinazioni di Categorie, di valori di massima di MTTFD e di DCavg che vengono determinati anch’essi tramite tabelle.

 

Il processo di progettazione di un SRP/CS può essere riassunto nei seguenti passi:

  • Scelta della struttura del sistema (Categoria)
  • Calcolo di MTTFD
  • Scelta delle tecniche di autodiagnosi e calcolo di DCavg
  • Verifica di CCF per le architetture ridondanti
  • Calcolo di PL tramite la Tabella 5 o la Tabella K.1
  • Verifica del PL (se il PL calcolato è inferiore al PL r occorre ritornare al passo 1)
  • Validazione

Consultare anche glossario

 

Continua ... EN ISO 13849-1,2 (Categorie)