Sicurezza del macchinario – Parti dei sistemi di comando legate alla sicurezza –
Principi generali per la progettazione.
La ISO 13849-1:2006 nasce come revisione della ISO 13849-1:1999/EN 954-1.
Le complesse formule matematiche proprie della teoria della affidabilità dei sistemi sono state sostituite da tabelle pre-calcolate.
Alcuni concetti della EN 954 sono stati mantenuti: categorie, ridondanza, monitoraggio.
Alcuni sono stati modificati: grafico dei rischi, scelta delle categorie.
Il ruolo delle categorie non è più centrale come nella EN 954-1.
Al posto delle categorie, per valutare il grado di resistenza ai guasti, viene introdotto il concetto di Livello di prestazione (PL o Performance Level) che sta
a indicare la capacità della parte del sistema di controllo della macchina relativo alla sicurezza (indicato di seguito con SRP/CS) di garantire la protezione
entro predefinite condizioni di unzionamento.
Il parametro usato per valutare il PL del sistema di sicurezza è la sua Probabilità media di guasto pericoloso/ora.
È considerato pericoloso un guasto che, se non rilevato, inibisce la funzione di protezione del sistema.
Sono previsti 5 livelli, da PLa a PLe.
Quanto maggiore è il contributo alla riduzione del rischio tanto più bassa è la Probabilità media di guasto pericoloso/ora.
Il PL è funzione della architettura del sistema di controllo, della affidabilità dei componenti, della capacità di rilevare per tempo eventuali guasti interni
che potrebbero limitare la funzione di sicurezza e della qualità del progetto.
Il seguente prospetto riassume gli aspetti qualitativi e quantitativi da rispettare se si vuole progettare un sistema di controllo di sicurezza conforme
alla ISO 13849-1.
Consultare anche glossario.
 |
Il progettista, per poter dichiarare un determinato valore di PL, deve quindi non solo calcolare la Probabilità media di guasto pericoloso/ora del circuito
di controllo realizzato, ma deve anche dimostrare di aver ottemperato a tutti i requisiti riguardanti gli aspetti qualitativi stabiliti dalla norma.
Il progetto dovrà poi essere validato utilizzando la ISO 13849-2 Sicurezza del macchinario - Parti dei sistemi di comando legate alla sicurezza - Parte
2: Validazione, che definisce le procedure e le condizioni da seguire per la convalida mediante analisi e prove:
• della funzione di sicurezza fornita
• della categoria raggiunta
• del livello di prestazione raggiunto.
| IMPORTANTE! |
Il valore della Probabilità media di guasto pericoloso/ora è solo uno dei parametri che contribuiscono all’assegnazione del PL.
Per poter rivendicare un valore di PL bisogna altresì dimostrare e documentare di aver preso in considerazione e rispettato tutti i requisiti relativi
• al controllo dei guasti sistematici
• all’uso di componenti robusti e affidabili (rispondenti a norme di prodotto, ove disponibili)
• all’uso di norme di buona tecnica
• di aver tenuto conto delle condizioni ambientali in cui dovrà operare il sistema di sicurezza
• nel caso sia stato necessario scrivere software, di aver adottato tutti gli aspetti di organizzazione esemplificati nel modello di sviluppo a V
di Fig. 6 della norma ISO 13849-1 e di aver rispettato i requisiti di sviluppo sia per il software applicativo che per quello incorporato. |
Il processo di progettazione di un SRP/CS secondo la ISO 13849-1 può essere riassunto nei seguenti otto passi:
1 - Individuazione della funzione di sicurezza tramite l’analisi dei rischi
2 - Assegnazione del Performance Level richiesto (PLr) tramite il grafico dei rischi
3 - Scelta della struttura del sistema (architetture) e delle tecniche di autodiagnosi
4 - Realizzazione tecnica del sistema di controllo
5 - Calcolo di MTTFd, DCavg e verifica di CCF
6 - Calcolo di PL tramite la Tabella 5
7 - Verifica del PL (se il PL calcolato è inferiore al PLr occorre ritornare al passo 3)
8 - Validazione.
Individuazione della funzione di sicurezza e assegnazione del Performance Level richiesto - PLr
Per ogni funzione di sicurezza individuata (tramite l’uso della ISO 14121 – Risk Assessment) il progettista decide il contributo alla riduzione del rischio
che essa deve fornire, ossia il PLr.
Questo contributo non copre il rischio complessivo della macchina, ma solo quella parte del rischio legata alla applicazione di quella particolare funzione
di sicurezza.
Il Parametro PLr rappresenta il Livello di Prestazione richiesto per quella funzione di sicurezza.
Il parametro PL rappresenta invece il Livello di prestazione dell’hardware che la implementa.
V
a da sé che il PL dell’hardware deve almeno essere uguale o superiore al PLr stabilito.
Lo strumento che viene utilizzato per stabilire quale dovrà essere il contributo alla riduzione del rischio fornito dalla funzione di sicurezza è un grafico
del tipo ad albero delle decisioni che porta ad individuare in modo univoco il valore di PLr.
Se vengono individuate più funzioni di sicurezza, per ognuna di esse occorre definire il PLr.
 |
Nota: Al contrario di quanto veniva detto nella EN954-1 a proposito delle Categorie, qui i PLr sono pienamente gerarchici”.
PLr(e) fornisce il più alto contributo alla riduzione del rischio, PLr(a) il più basso. |
Realizzazione del sistema di controllo di sicurezza e calcolo del PL
Dopo aver deciso il valore di PLr necessario bisogna progettare un SRP/CS idoneo, calcolare il PL risultante e verificare che sia maggiore o uguale al PLr.
Dalla figura 3 si è visto che per ricavare il valore di PL occorre calcolare la Probabilità media di guasto pericoloso/ora del sistema di controllo progettato.
Esistono diversi metodi per effettuare una stima della Probabilità media di guasto pericoloso/ora di un sistema di controllo di sicurezza.
L’uso di questi metodi presuppone che per ogni componente si conosca:
• il tasso di guasto (λ)
• la percentuale di ripartizione del tasso di guasto per tutte le modalità di guasto del componente (es. per un interruttore ad azione positiva:
il contatto non si apre quando richiesto = 20% dei casi, il contatto non si chiude quando richiesto = 80% dei casi)
• l’effetto che ha ogni guasto sul comportamento del sistema di sicurezza (es. guasto pericoloso- λd oppure guasto non pericoloso- λs)
• la percentuale di guasti pericolosi rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi:
λdd = λd x DC
• la percentuale di guasti pericolosi non rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi:
λdu = λd x (1-DC).
La ISO 13849-1 semplifica il calcolo fornendo una tabella basata sulla modellazione di Markov nella quale il valore di probabilità media di guasto pericoloso per ora è già precalcolato per diverse combinazioni di Categorie, e di valori di massima di MTTFd e di DCavg che vengono determinati anch’essi tramite tabelle.
Indicazione di
MTTFd |
Valori espressi in anni |
|
Definizione
DCavg |
Valore di DC
DCavg |
| Basso |
3 ≤ MTTFd < 10 |
|
Nessuna |
DC < 60% |
| Medio |
10 ≤ MTTFd < 30 |
|
Basso |
60% ≤ DC < 90% |
| Alto |
30 ≤ MTTFd < 100 |
|
Medio |
90% ≤ DC < 99% |
| |
|
|
Alto |
Alto 99% ≤ DC |
Il problema si riconduce quindi alla scelta dell’architettura, al calcolo di DCavg in funzione delle tecniche di autodiagnosi implementate, al calcolo semplificato di MTTFd del circuito progettato e alla verifica che siano rispettate le condizioni di indipendenza di funzionamento dei canali (CCF) nel caso di
architetture ridondanti (Cat. 2,3 e 4).
La combinazione di Categoria e DCavg adottata identifica una delle sette colonne di tabella 5; il valore di MTTFd calcolato determina quale parte della
colonna considerare. Sulla sinistra del grafico si legge poi il valore di PL corrispondente.
 |
Può capitare che la parte di colonna scelta comprenda due o tre possibili valori di PL (es. nel caso di Cat. 3, DCavg = medio e MTTFd = low sono possibili
i seguenti tre valori: PLb, PLc, PLd); in questi casi, per poter ricavare il valore di PL corretto si usa la tabella K.1 dell’Annesso K della Norma (qui non
riportata) che fornisce in modo dettagliato i valori di Probabilità media di guasto pericoloso per ora e PL in funzione del valore puntuale di MTTFd e della
combinazione di Categoria e DCavg implementati.
La Norma può essere usata solo se per il progetto del sistema di controllo ci si avvale di una (o più) delle cinque architetture prefissate.
Ad ogni architettura corrisponde una delle Categorie definite nella EN 954-1.
In un sistema progettato secondo la EN 954-1 la scelta della categoria è direttamente correlata al rischio tramite il grafico dei rischi; la ISO 13849-1,
invece, è più flessibile, infatti per ogni Livello di Prestazione richiesto sono possibili più scelte.
Ad esempio si veda la tabella 5: per ottenere un sistema con PL pari a “c” sono possibili le seguenti cinque alternative:
1. Categoria 3 con MTTFd = basso e DCavg media
2. Categoria 3 con MTTFd = medio e DCavg bassa
3. Categoria 2 con MTTFd = medio e DCavg media
4. Categoria 2 con MTTFd = alto e DCavg bassa
5. Categoria 1 con MTTFd = alto.
Combinazione di più SRP/CS
Una funzione di sicurezza può essere composta da uno o più SRP/CS, e più funzioni di sicurezza possono utilizzare gli stessi SRP/CS.
I singoli SRP/CS poi, potrebbero essere realizzati con architetture diverse.
Se la funzione di sicurezza è realizzata collegando in serie più SRP/CS (es. barriera di sicurezza, logica di controllo, uscita di potenza) e se per ciascuno
di essi è noto il PL, la norma fornisce un modo semplice per calcolare il PL totale.
Si identifica la parte col PL più basso (PL low),
Si identifica il numero di parti che hanno PL = PL low
Si inseriscono i dati nella tabella seguente e si ricava il PL totale
 |
Il PL ricavato tramite questa tabella si riferisce a valori di Probabilità media di guasto pericoloso per ora che si trovano a metà per ognuno degli intervalli di Tabella 3 della ISO 13849-1
Risulta: PL low = d N low = 1 (< 3)
Quindi: PL complessivo = d
e il valore di Probabilità media di guasto pericoloso per ora dell’intero sistema sarà un numero compreso fra 1 x 10-6 e 1 x 10-7 (vedere Tabella 3
della ISO 13849-1).
