Sicurezza del macchinario – Parti dei sistemi di comando legate alla sicurezza – Principi generali per la progettazione.
In Europa, fino al 31 Dicembre 2011, le parti del sistema di controllo della macchina relative alla sicurezza possono essere progettate in conformità alla norma EN 954-1. A partire dal primo gennaio 2010 occorrerà usare in sua vece la ISO 13849-1:2006 oppure la IEC 62061:2005.
In ambito internazionale invece, i sistemi di controllo di sicurezza delle macchine devono già fin d’ora essere progettati in conformità ad almeno una delle due nuove norme ISO 13849-1:2006 oppure IEC 62061:2005 perché la ISO 13849-1:1999 è stata ritirata.

La EN 954-1 è norma armonizzata dal 1996. Classifica il sistema di controllo di sicurezza entro una di cinque categorie.

Categorie di sicurezza

Per differenti parti della macchina la valutazione del rischio può condurre a diversi livelli di rischio. Di conseguenza, il grado (categoria) di sicurezza delle misure da adottare va commisurato al rischio da proteggere.

Per selezionare la categoria di sicurezza più idonea in funzione del rischio da proteggere occorre usare il cosiddetto grafico dei rischi.

Selezione della categoria

S gravità del danno
S1 lesione leggera (normalmente reversibile).
S2 lesione grave (normalmente irreversibile) o morte della persona.

F frequenza / durata di esposizione al rischio
F1 da rara a abbastanza frequente e/o tempo di esposizione corto.
F2 da frequente a continua e/o tempo di esposizione lungo.

P possibilità di evitare il pericolo
P1 possibile in particolari condizioni (fuga o intervento di terze persone).
P2 quasi impossibile (il fenomeno si manifesta rapidamente).

La resistenza ai guasti delle Cat. B e Cat.1 trae origine dalla robustezza dei componenti (si cerca di evitare il guasto).
La resistenza ai guasti delle categorie 2,3,4 trae origine dalla struttura del sistema (si cerca di controllare il guasto)
In particolare si controlla il guasto tramite monitoraggio ciclico per la Cat.2, ridondanza per la Cat.3 , ridondanza e monitoraggio per la Cat.4.

Alle categorie corrispondono precisi requisiti funzionali.
Le modalità di guasto dei componenti sono definite e catalogate.
Esiste quindi una esatta corrispondenza fra le categorie e il comportamento del sistema in caso di guasto (approccio deterministico).
Nota bene: il rapporto fra le categorie non è in tutti i casi pienamente gerarchico.

CATEGORIA	REQUISITI	COMPORTAMENTO	PRINCIPI DI SICUREZZA
B	Dispositivi progettati, costruiti e combinati in conformità alle norme di riferimento per poter fare fronte agli eventi previsti.	Un guasto può condurre alla perdita delle funzioni di sicurezza.	Utilizzo di componenti selezionati.
1	Stessi requisiti della categoria B ma con utilizzo di principi di sicurezza e componenti affidabili e collaudati.	Un guasto può condurre alla perdita delle funzioni di sicurezza ma con minori probabilità rispetto alla categoria B.
2	Sono utilizzati i requisiti della categoria 1. Inoltre: La funzione di sicurezza del dispositivo si basa su di un controllo ciclico comandato dal sistema di controllo della macchina.	Un guasto può portare alla momentanea perdita della funzione di sicurezza. Il guasto viene rilevato all’esecuzione del test prima dell’inizio del successivo ciclo di lavoro della macchina.	Utilizzo di strutture e circuiti di sicurezza in grado di effettuare il rilevamento del guasto e l’arresto della macchina.
3	Sono utilizzati i requisiti della categoria 1. Inoltre: Un singolo guasto non deve portare alla perdita della funzione di sicurezza. Quando possibile il singolo guasto deve essere rilevato.	Non tutti i guasti possono essere rilevati. Quando si verifica un singolo guasto la funzione di sicurezza è sempre attiva. L’accumulo di guasti non rilevati può condurre alla perdita della funzione di sicurezza.
4	Sono utilizzati i requisiti della categoria 1. Inoltre: Un singolo guasto non può portare alla perdita della funzione di sicurezza. Un singolo guasto è rilevato prima o al momento della richiesta della funzione di sicurezza. Se ciò non è possibile l’accumulo di guasti non deve condurre alla perdita della funzione di sicurezza.	Il rilevamento del guasto verrà effettuato in tempo utile a prevenire la perdita della funzione di sicurezza.

Limiti di impiego della EN 954-1

Il comportamento del sistema in caso di guasto non può però essere il solo metodo per determinare la prestazione di sicurezza di un sistema di controllo. Altri fattori, come ad esempio l’affidabilità dei componenti, possono svolgere un ruolo importante, forse determinante.
Questo concetto, in verità, è stato riconosciuto nella norma EN 954-1 in cui si afferma (allegato B) che “l’affidabilità dei componenti e la tecnologia
utilizzata nella particolare applicazione possono portare ad una deviazione dalla categoria prevista”.
Il processo di selezione della Categoria dovrebbe essere quindi il seguente:

• si individua prima la Categoria teorica, o di “Riferimento” sulla base dell’analisi del rischio (tramite il “grafico dei rischi”)
• quindi si modifica la scelta della categoria in base alla affidabilità dei componenti, alla tecnologia utilizzata, ecc.

Purtroppo la seconda fase di questo processo è in gran parte empirica, e poche indicazioni vengono fornite all’interno della norma.
Di conseguenza la selezione della categoria viene quasi sempre fatta riferendosi solo al grafico dei rischi senza considerare le modifiche dovute ad altri fattori oppure le modifiche apportate sono di natura così soggettiva che poi diventa difficile comprovare la sicurezza del sistema.

Inoltre, il prepotente ingresso dell’elettronica e in particolare dell’elettronica programmabile nei sistemi di controllo delle macchine ha reso ancora più evidente le carenze del modello deterministico, impraticabile per sistemi di controllo complessi, vale a dire sistemi che fanno uso di PLC, linee di comunicazione, azionamenti a velocità variabile e sensori programmabili.
Per valutare la prestazione di sicurezza di un sistema complesso è più conveniente calcolare quale sia la probabilità che esso possa fornire la sua funzione di protezione quando richiesto. Oppure, in altri termini, calcolare quale sia la probabilità che possa verificarsi un guasto pericoloso in un determinato periodo di tempo tenendo conto dell’affidabilità dei suoi componenti.

Le nuove norme

Proprio per superare i limiti di applicazione della EN 954-1 sono state elaborate due nuove norme: la ISO 13849-1:2006 e la IEC 62061:2005 le quali, unendo i complessi concetti probabilistici a quelli deterministici noti cercano di adattarsi all’evoluzione tecnologica del settore del macchinario industriale.

Entrambe sono armonizzate per la Direttiva 98/37/CE per il seguente requisito essenziale di sicurezza:

     Allegato I : 1.2 Comandi

E lo saranno anche nei confronti della nuova Direttiva Macchine 2006/42/CE (Allegato I: 1.2 Sistemi di comando).

La ISO 13849-1 può essere utilizzata indipendentemente dal tipo di tecnologia e di energia utilizzata (meccanica, idraulica, pneumatica, elettrica).
È valida solo per le cinque architetture in essa specificate.


La IEC 62061 è più adatta per sistemi di comando che usano energia elettrica.
Vengono fornite formule per il calcolo dell’affidabilità dei sottosistemi solo per le quattro architetture in essa descritte e considerate tipiche del macchinario industriale, ma può essere utilizzata anche per altre architetture.
Consente di integrare sottosistemi progettati in conformità con la ISO 13849-1: 1999 (EN 954-1).