Ing. Paolo Corbo – Villasanta (MB), 26 Dicembre 2014 

L’automazione di fabbrica prevede a breve la fusione in un’unica norma globale, la IEC/ISO 17305 degli standard relativi ai sistemi strumentati di sicurezza ISO 13849 e IEC 62061 per il controllo delle macchine.

Progetto di norma IEC/ISO 17305
La sicurezza funzionale
Norme Europee e Internazionali applicabili
PL e SIL
Scarica il pdf

Progetto di norma IEC/ISO 17305

Il nuovo documento allo studio (progetto di Norma prISO/IEC 17305, in cura ai comitati “Joint ISO/TC 199 – IEC/TC 44) deriva da una proposta del 2011 di armonizzazione dei lavori relativi alle norme IEC 62061 ed ISO 13849-1 che in precedenza non avevano trovato convergenza in un unico documento normativo per la progettazione, costruzione, verifica e validazione dei circuiti di sicurezza delle macchine.   

In termini di tempi di pubblicazione, adozione e implementazione si prevede la pubblicazione del documento DIS (Draft) per il 2016, lo FDIS (Final draft) nel 2017. Il primo CD (Committe draft) è del 2014. 

Il nuovo documento prevede una perfetta compatibilità all’indietro con i due standard attualmente in vigore, questo per favorire la combinazione dei due standard ISO 13849 e IEC 62061. 

Non è presente al momento nessun cambiamento fondamentale per i metodi di base ISO 13849 e IEC 62061.  

Sono forniti chiarimenti e pratiche per l’applicazione. I metodi forniti sono di tipo flessibile e i metodi di progettazione sono adattati dalle basse alle alte complessità attraverso uno strumento unitario. 

L’approccio relativo ai requisiti di sicurezza funzionale è desunto ai metodi basati sull’analisi dei rischi ISO 12100. 

L’approccio affidabilistico promuove i requisiti di affidabilità definiti dalle norme relative al componente e alle comuni pratiche accettate 

La sicurezza funzionale

La sicurezza funzionale è quella frazione delle parti e dei sistemi correlati alla sicurezza della macchina da cui dipende il corretto e sicuro funzionamento in relazione a determinati  stimoli generati dalle variabili controllate. 

Per meglio chiarire il concetto di sicurezza funzionale descriviamo il seguente caso. 

Gli operatori che agiscono in prossimità di un pericolo generato  in una macchina possono essere schermati da questo attraverso un dispositivo di protezione fisso (un pannello di chiusura fisso, una griglia fissa, barriere fisse antiintrusione, ecc.): questa soluzione è una misura di protezione che risolve la presenza di un pericolo, tuttavia questa categoria non rientra in un sistema di protezione attuato mediante il concetto di sicurezza funzionale.  

In effetti, nella misura in cui non vi sia necessità di rimuovere il dispositivo di protezione fisso durante il regime operativo della macchina, non è necessario monitorarne lo stato di chiusura. 

In taluni casi è invece necessario prevederne l’apertura per ragioni operative o manutentive anche con sorgente energetica non sezionata oppure con macchina in regime di “pronto ad operare”. L’apertura deve essere monitorata affinché questa possa condurre ad uno stato sicuro. In questo caso l’interdizione dell’energia passa attraverso un sistema attivo che risponde ad uno stimolo proveniente da una variabile controllata: poiché l’apertura della protezione potrebbe portare ad un contatto con l’operatore, la macchina viene fermata oppure l’azionamento della macchina interdetto da un sistema attivo. Il sistema di controllo e attuazione così concepito deve essere sviluppato con concetti di sicurezza funzionale. 

Considerando l’esempio precedente, le funzioni “Disattiva lo stato di azionamento della macchina quando una protezione mobile viene aperta” o “Interdici la possibilità di azionare la macchina quando una protezione mobile è aperta assumono il ruolo di “Funzione di sicurezza”. Funzione di sicurezza è dunque la sequenza degli eventi congiungenti la causa e l’effetto, sequenza che coinvolge tutte e sole le parti del sistema di controllo, inclusi il sensore o iniziatore che genera la causa e l’attuatore che genera l’effetto,  ovvero tutti i dispositivi attivi coinvolti nell’attuazione dell’evento stabilito (effetto) a fronte dell’evento rilevato (causa). 

La funzione di sicurezza deve essere caratterizzata anche da una cifra di merito denominata “Integrità della funzione di sicurezza ovvero da un’informazione che ne contraddistingua i livelli di affidabilità sistematici e casualiLa funzione di sicurezza, infatti, deve essere attuata da una struttura di controllo non standard ovvero affidabile con affidabilità accertata. Una funzione di sicurezza non attendibile o di cui non sia tenuta sotto controllo l’attendibilità non può svolgere funzione di sicurezza quando il livello di riduzione di rischio atteso è sostanziale e apprezzabile. Sistemi di controllo non caratterizzati da funzione di sicurezza e integrità della funzione di sicurezza vanno sotto il nome di BPCS ovvero Basic Process Control Systems (vedi EN61511, Abbreviazioni e definizioni) 

Di converso, le apparecchiature destinate a realizzare l’implementazione di una o più funzioni di sicurezza sono incluse nel cosiddetto SRP/CS ovvero Safety Related Part of a Control System (vedi EN13849-1, Termini e definizioni) oppure nel cosiddetto SRECS “Safety-related electricalelectronic and programmable elecronic control systems for machinery” (vedi EN62061, Termini e definizioni). 

Norme Europee e Internazionali applicabili

Alcune delle norme più significative in ambito macchine, peraltro (solo le prime tre) armonizzate alla Direttiva Macchine 2006/42/CE e convergenti sul tema della sicurezza funzionale, sono le seguenti: 

EN ISO 13849-1:2008 Sicurezza del macchinario – Parti dei sistemi di comando legate alla sicurezza – Parte 1: Principi generali per la progettazione (ISO 13849-1:2006) 

E’ la norma che, sviluppata in sede ISO, descrive gli SRP/CS attraverso le Categorie e PL – Performance LevelQuesta norma si applica a qualunque sistema sia esso di natura elettrico, meccanico, elettromeccanico, specifica i requisiti di sicurezza e fornisce linee guida sui principi di progettazione  delle parti dei sistemi di comando legate alla sicurezza. Per queste parti specifica le categorie e descrive le caratteristiche delle funzioni di sicurezza. Sostituisce definitivamente, a partire dal 1 gennaio 2012, la norma superata EN954-1:1996. 

EN ISO 13849-2:2008 Sicurezza del macchinario – Parti dei sistemi di comando legate alla sicurezza – Parte 2: Validazione (ISO 13849-2:2003) 

Questa norma va usata in modo congiunto alla precedente e specifica il processo di validazione, comprendente sia l’analisi che le prove, per le funzioni di sicurezza e le categorie per le parti del sistema di comando legate alla sicurezza. 

EN 62061:2005 Sicurezza del macchinario – Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza (IEC 62061:2005) 

E’ la norma che, sviluppata in sede IEC, duale della EN13849-1, descrive i sistemi SRECS in termini di SIL (Safety Integrity Level) come la EN61508 ma solo fino ad un livello di integrità funzionale SIL3 e ciononostante è applicabile alle macchine e determina risultati equivalenti. In linea di principio può essere applicata solo a sistemi elettrici. 

Performance Level (PL)

I performance level sono, come detto, descritti nelle norme EN138491-1,2: sono classificati in 5 livelli consecutivi da “PLa”, ovvero quello a minore integrità, a “PLe” ovvero quello a massima integrità.  

I livelli di integrità (PLaPLbPLcPLdPLe) vanno letti come fattori di riduzione del rischio e sono associati ad una probabilità oraria che la funzione di sicurezza perda di efficacia o venga meno alla sua azione. Tale probabilità non deve essere intesa come probabilità di accadimento pericoloso ma solo, come detto, come probabilità di perdita della funzione di sicurezza.  

In ogni caso la stessa norma EN13849-1 riporta all’allegato A un grafico di rischio sintetico che associa un livello di rischio dedotto in modo qualitativo ad un predefinito livello di integrità, adeguato per ottenere la riduzione di rischio in generale accettabile per il livello di rischio totalizzato.  

I parametri che conducono alla determinazione del livello di integrità sono i seguenti:  

  • MTTFd  Mean Time to Dangerous Failure ovvero il tempo medio all’evento pericoloso 
  • DC Diagnostic Coverage ovvero la capacità di auto diagnostica del sistema strumentato di sicurezza 
  • CCF  Common Cause Failures ovvero l’insieme delle condizioni di guasto di modo comune in sistemi strumentati di sicurezza di tipo ridondato  

A questi vanno affiancati concetti più complessi e specifici relativi al sistema strumentato di sicurezza : 

  • Structure (Architettura)  
  • Comportamento del sistema in caso di guasto 
  • Guasti sistematici 
  • Capacità di esecuzione della funzione di sicurezza in determinate condizioni ambientali 
  • Safety related software  

Il concetto di Structure (Architettura) si riepiloga nelle 5 architetture predefinite e contraddistinte ordinatamente con 5 categorie: B, 1, 2, 3 e 4 dalla categoria base (B) alla categoria caratterizzata da maggiore reiezione al guasto (4). 

La Categoria B è la categoria base. La presenza di un solo guasto può condurre alla perdita della funzione di sicurezza. La categoria 1 presenta la stessa limitazione ma la probabilità del guasto è ridotta attraverso la corretta selezione del design e della componentistica.  

Nelle categorie 2, 3, 4 l’affidabilità del sistema strumentato di sicurezza è sotto controllo agendo sull’architettura e sull’auto diagnostica. 

In particolare, la categoria 2 si basa sul fatto che è implementato un monitoraggio periodico della funzione di sicurezza  (Test diagnostico. Nella categoria 3 e 4 si garantisce addizionalmente che anche un singolo guasto non conduca alla perdita della funzione di sicurezza. La categoria 4, infine, garantisce anche che l’accumulo di più guasti sia possibile senza perdita della funzione di scurezza. 

Le caratteristiche riepilogate poco sopra devono poi confluire nella corretta selezione del livello di integrità del sistema strumentato di sicurezza ovvero il livello PL ottenuto dal sistema di controllo. 

Nel diagramma precedente, estratto dalla norma EN13849-1, convergono le informazioni precedenticon queste si opera selezionando la colonna adeguata in ascissa, sulla base della categoria, ovvero sulla base dell’architettura, e sulla base della copertura diagnostica. Il livello MTTFd del singolo canale determina il posizionamento verticale sulle colonne a bande colorate: più elevato è il livello MTTFd più alto è il Performance Level raggiungibile. Come visibile dalla figura, un sistema in categoria 4, ad elevata copertura diagnostica e MTTFd alto matura in automatico un PLe. 

Safety Integrity Level (SIL)

La norma EN62061 (implementazione in ambito macchine della norma più ampia e trasversale EN61508)  è utile ad operare valutazioni del livello di integrità funzionale della funzione di sicurezza mettendo in atto concetti più ampi ma duali dei Performance Level: questi vanno sotto il nome di SIL ovvero Safety Integrity Level della sicurezza funzionale.  

I livelli di integrità funzionale, in sintesi i fattori di riduzione di rischio associati all’inserzione di un sistema strumentato di sicurezza, sono 3 e fissati in particolare in SIL1, SIL2 e SIL3, ordinatamente dal  meno al più efficace in termini di integrità.  

La cifra di merito “SIL” è la sintesi opportuna delle seguenti grandezze: 

  • PFHd Probability of Dangerous Failure per Hour ovvero rateo orario di guasto pericoloso (perdita della funzione di sicurezza) 
  • SFF Safe Failure Fraction ovvero frazione dei guasti sicuri 
  • DC Diagnostic Coverage ovvero fattore di copertura diagnostica 
  • ϐ Common failure ratio ovvero rateo di guasto di modo comune di architetture ridondate 
  • HFT Hardware Fault Tolerance ovvero livello di reiezione dell’architettura al guasto (ridondanza) 
  • T1 Proof Test Interval ovvero intervallo di tempo stabilito tra due test successivi completi della funzione di sicurezza  
  • T2 Diagnostic Test Interval ovvero intervallo di tempo stabilito tra due test successivi parziali (auto diagnostica) 

In particolare, senza entrare nello specifico di ciascun parametro, è importante sottolineare la valenza dei parametri PFHd e SFF. Il primo rappresenta, in termini molto semplici, la probabilità oraria di perdita della funzione di sicurezza ed è un termine probabilistico puro che si lega alle proprietà specifiche e all’affidabilità di ogni elemento componente la funzione di sicurezza; si lega anche all’architettura di sistema ed alle proprietà e alla frequenza della diagnostica.  

Il soddisfacimento del requisito relative al PFHd non è da solo sufficiente per poter dichiarare un SIL target raggiunto: è infatti necessario soddisfare anche il requisito relativo al secondo parametro (SFF), ovvero la frazione di guasti sicura. Ancora in termini molto semplici, questo parametro riporta il rateo di guasto sicuri di un sottosistema o di un elemento quando raffrontato con il numero complessivo di guasti. Tanto più elevato è il rateo SFF tanto più il sottosistema o l’elemento hanno tendenza a guastarsi in modo prevalentemente sicuro. 

L’uso concomitante delle due tabelle definisce il SIL raggiunto dalla funzione strumentato di sicurezza. 

La norma EN13849-1 riporta una tabella di corrispondenza teorica tra SIL (high/continuous mode) e PL.  

In generale i Performance Level hanno unicamente una corrispondenza limitata al SIL3 e non includono eventi catastrofici, verosimilmente possibili solo nell’industria di processo, richiamanti un livello di integrità della funzione di sicurezza pari a SIL4 e non applicabili alle macchine; per questa ragione il PLe, corrispondente al livello di integrità SIL 3 è definito come il livello di performance più elevato.