1 uni en iso 13849-1: i circuiti di comando e la sicurezza sulle macchine angelo maggioni quadra...
TRANSCRIPT
1
UNI EN ISO 13849-1: i circuiti di comando e la sicurezza
sulle macchine
Angelo Maggioni Quadra S.r.l.www.quadrasrl.net
2
Allegato I, Direttiva 2006/42/CESicurezza ed affidabilità dei sistemi di comando (§1.2.1)
• I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che:– resistano alle previste sollecitazioni di servizio e agli influssi esterni,– un'avaria nell'hardware o nel software del sistema di comando un'avaria nell'hardware o nel software del sistema di comando
non crei situazioni pericolose,non crei situazioni pericolose,– errori della logica del sistema di comando non creino situazioni
pericolose,– errori umani ragionevolmente prevedibili nelle manovre non creino
situazioni pericolose.
3
Proroga norma UNI EN 954-1:1998• Con la “Comunicazione della Commissione
nell’ambito dell’applicazione della direttiva 2006/42/CE del Parlamento europeo e del Consiglio, relativa alle macchine e che modifica la direttiva 95/16/CE (rifusione) 2009/C 321/09”, pubblicata sulla Gazzetta ufficiale dell’Unione europea C 321 del 29/12/2009, è stata prolungata è stata prolungata la data di cessazione della presunzione di la data di cessazione della presunzione di conformità della norma UNI EN 954-1:1998 conformità della norma UNI EN 954-1:1998 (inizialmente prevista per il 28/12/2009) al al 31/12/2011.31/12/2011.
4
Norme armonizzate• UNI EN ISO 13849-1 (2008)UNI EN ISO 13849-1 (2008):
Sicurezza del macchinario. Parti dei sistemi di comando legate alla sicurezza. Parte 1: principi generali per la progettazione.
• CEI EN 62061 (2005)CEI EN 62061 (2005): Sicurezza del macchinario. Sicurezza funzionale dei sistemi di comando e controllo elettrici, elettronici ed elettronici programmabili correlati alla sicurezza.
PL PL
SILSIL
5
Applicazione raccomandata delle norme CEI EN 62061 & UNI EN ISO 13849-1
6
DefinizioniUNI EN ISO 13849-1
• Parte del sistema di comando correlata alla sicurezza – SRP/CS (Safety Related part of Control System)
– Parte di un sistema di comando che risponde a segnali di ingresso legati alla sicurezza e genera dei corrispondenti segnali di uscita legati alla sicurezza
• Guasto pericoloso (Dangerous failure)– Guasto che può potenzialmente portare la SRP/CS in uno stato
pericoloso o non in grado di effettuare la sua funzione.• Livello di prestazione – PL (Performance Level)
– Livello discreto usato per specificare l’abilità di un sistema di comando legato alla sicurezza di effettuare una funzione di sicurezza in determinate condizioni
• Livello di prestazione richiesto – PLr (required Performance Level)– Livello di prestazione (PL) applicato in modo da raggiungere i requisiti
richiesti per quanto riguarda la riduzione dei rischi
7
Processo iterativo per la progettazione
della SRP/CSUNI EN ISO 13849-1
8
Misure protettive per la riduzione del rischioUNI EN ISO 13849-1
• Le misure protettive per la riduzione del rischio che dovrebbero essere applicate sono:– riduzione della probabilità di guasti a livello dei probabilità di guasti a livello dei
componenticomponenti; lo scopo è quello di ridurre la probabilità di guasti che possano compromettere le funzioni di sicurezza; ciò può essere fatto aumentando l’affidabilità dei componenti, per esempio con la selezione di componenti testati o progettati secondo metodologie comprovate in modo da ridurre o escludere guasti critici
– miglioramento della struttura miglioramento della struttura della SRP/CS; lo scopo è quello di evitare gli effetti pericolosi di un guasto; per questo scopo può essere utile l’utilizzo di una struttura ridondante e/o monitorata
• Entrambe queste soluzioni possono essere applicate singolarmente o in modo combinato
9
Funzioni di sicurezzaUNI EN ISO 13849-1 – §5
10
PL richiesto (PLr)• Per ogni funzione di sicurezza che deve essere svolta da una
SRP/CS, si deve determinare e documentare un livello di prestazione richiesto (PLr). La determinazione del PLr è il risultato della valutazione dei rischi e si riferisce all’entità della riduzione del rischio a carico delle parti del sistema di comando legate alla sicurezza.
• Quanto maggiore è l’entità della riduzione del rischio richiesta da parte della SRP/CS, tanto più elevato deve essere il PLr.
• La valutazione del rischio prende in considerazione una una situazione precedente alla messa in atto della funzione di situazione precedente alla messa in atto della funzione di sicurezza previstasicurezza prevista; la riduzione del rischio mediante altre misure tecniche indipendenti dal sistema di comando (per esempio ripari fissi) o funzioni di sicurezza aggiuntive, può essere considerata nella determinazione del PLr.
11
Grafico per la determinazione del PLr per la funzione di sicurezza
UNI EN ISO 13849-1 – Allegato A
12
Stima del PL UNI EN ISO 13849-1
• Il PL della SRP/CS deve essere determinato stimando i seguenti aspetti:
– MTTFd di ciascun componente [appendici C e D];
– DC (copertura diagnostica) [appendice E];
– architettura e comportamento della funzione di sicurezza in condizioni di avaria [punto 6];
– CCF (guasti di causa comune) [appendice F];
– software legato alla sicurezza [punto 4.6 e appendice J];
– guasti sistematici [appendice G];
– capacità di eseguire la funzione di sicurezza nelle condizioni ambientali previste.
13
Tempo medio ad un guasto pericoloso (MTTFd) UNI EN ISO 13849-1
• Il valore del MTTFd per ogni canale è espresso in tre livelli (vedi tabella); dovrebbero essere tenuti in considerazione i valori di ogni canale preso singolarmente (ad esempio singolo canale oppure ogni canale di un sistema ridondante).
• Per il MTTFd, viene preso in considerazione un tempo massimo di 100 anni.
14
Tempo medio ad un guasto pericoloso (MTTFd) UNI EN ISO 13849-1
• Per la stima del MTTFd di un componente, si possono utilizzare, nell’ordine dato, i seguenti criteri:– utilizzare i dati forniti dal costruttore;– utilizzare i metodi esposti in allegato C ed in allegato D;– scegliere un tempo di 10 anni.
15
Norme che trattano MTTFNorme che trattano MTTFdd o B o B10d10d dei componenti dei componentiUNI EN ISO 13849-1 – Allegato C - Paragrafo C.2UNI EN ISO 13849-1 – Allegato C - Paragrafo C.2
16
Calcolo e valutazione del MTTFCalcolo e valutazione del MTTFdd UNI EN ISO 13849-1 – Allegato C – Paragrafo C.4 UNI EN ISO 13849-1 – Allegato C – Paragrafo C.4
• Per i componenti pneumatici, meccanici ed elettromeccanici, il parametro B10d è il numero di cicli in cui il 10% dei componenti si guasta pericolosamente
dove nop è il numero di operazioni all’anno
• Il tempo medio entro il quale il 10% dei componenti pneumatici, meccanici ed elettromeccanici si guasta pericolosamente è dato da
• La relazione con il tempo medio al guasto pericoloso è la seguente10T
0,1
TMTTF 10d
10dd
op
10d10d n
BT
op
10dd n0,1
BMTTF
17
Metodo semplificato per la stima del MTTFd per ogni canale
UNI EN ISO 13849-1 – Allegato D
• Il valore di MTTFd di tutti i singoli componenti che compongono un canale sono usati nel calcolo
• MTTFd è quello complessivo dell’intero canale• MTTFdi, MTTFdj è il MTTFd di ogni componente che ha un ruolo
nell’esecuzione della funzione di sicurezza• La prima somma è quella in cui i componenti hanno valori di
MTTFdi diversi tra di loro; la seconda è quella in cui gli nj componenti hanno MTTFdj identici
18
• MTTFd per diversi canali, simmetrizzazione del MTTFd per ogni canale– In una SRP/CS ridondante, se il valore del MTTFd è lo stesso per ogni canale
il valore complessivo è il medesimo di quello dei canali.– Se il MTTFd dei canali differisce, ci sono due possibilità:
• deve essere utilizzato il valore più basso come assunzione del caso peggiore;• la seguente equazione può essere usata per stimare il valore di MTTFd
assumibile per ogni canale:
dove MTTFd C1 e MTTFd C2 sono i due valori dei canali ridondanti
Metodo semplificato per la stima del MTTFd per ogni canale
UNI EN ISO 13849-1 – Allegato D
19
Copertura diagnostica (DC)UNI EN ISO 13849-1
• Il valore di DC viene espresso in quattro livelli (vedi tabella)• Per la stima di DC, nella maggior parte dei casi la failure mode and
effects analysis (FMEA) o metodi simili possono essere utili. In questo caso tutti i guasti rilevanti o i modi di guasto possono essere considerati.
• In alternativa, è possibile utilizzare il metodo semplificato, sottoforma di tabella, riportato in Allegato E.
20
Criteri di stima della copertura diagnostica mediaUNI EN ISO 13849-1 – Allegato E
21
Requisiti per le categorieUNI EN ISO 13849-1
CategoriaCategoria Riassunto dei requisitiRiassunto dei requisiti Comportamento Comportamento del sistemadel sistema
Princìpi per Princìpi per ottenere la ottenere la sicurezzasicurezza
MTTFMTTFdd
di ogni di ogni canalecanale
DCDCavgavg CCFCCF
B
Le parti legate alla sicurezza dei sistemi di comando e/o delle
loro attrezzature di protezione e dei loro componenti devono essere progettate, costruite,
scelte, montate e combinate in conformità alle relative norme in
modo che possano resistere alle influenze previste.
Devono essere usati princìpi di sicurezza basilari.
Il verificarsi di un guasto può portare
alla perdita della funzione di sicurezza.
Essenzialmente caratterizzati
dalla scelta dei componenti
Da basso a medio
NessunaNon
rilevante
1
Si devono applicare i requisiti della categoria B.
Devono essere usati componenti e princìpi di sicurezza ben collaudati.
Il verificarsi di un guasto può portare
alla perdita della funzione di
sicurezza, ma la probabilità che si
verifichi è minore di quella della categoria B.
Essenzialmente caratterizzati
dalla scelta dei componenti
Alto NessunaNon
rilevante
22
CategoriaCategoria Riassunto dei requisitiRiassunto dei requisiti Comportamento Comportamento del sistemadel sistema
Princìpi per Princìpi per ottenere la ottenere la sicurezzasicurezza
MTTFMTTFdd
di ogni di ogni canalecanale
DCDCavgavg CCFCCF
2
Si devono applicare i requisiti della categoria B e l’uso di princìpi di sicurezza ben
collaudati.
La funzione di sicurezza deve essere verificata ad opportuni
intervalli dal sistema di controllo della macchina.
Il verificarsi di un guasto può portare
alla perdita della funzione di sicurezza
nell’intervallo tra le due verifiche.
La perdita della funzione di
sicurezza viene rilevata dalla
verifica.
Essenzialmente caratterizzati dalla struttura
Da basso a
alto
Da bassa a media
Rilevante
Requisiti per le categorieUNI EN ISO 13849-1
23
CategoriaCategoria Riassunto dei requisitiRiassunto dei requisiti Comportamento Comportamento del sistemadel sistema
Princìpi per Princìpi per ottenere la ottenere la sicurezzasicurezza
MTTFMTTFdd
di ogni di ogni canalecanale
DCDCavgavg CCFCCF
3
Si devono applicare i requisiti della categoria B e l’uso di princìpi di sicurezza ben
collaudati.Le parti legate alla sicurezza devono essere progettate in
modo che un singolo guasto in una qualsiasi di queste parti non
porti ad una perdita della funzione di sicurezza e
ogniqualvolta sia ragionevolmente possibile il
singolo guasto venga rilevato.
Quando si verifica il singolo guasto la
funzione di sicurezza viene
sempre assicurata. Vengono rilevati
alcuni ma non tutti i guasti. L'accumulo
di guasti non rilevati può portare alla perdita della
funzione di sicurezza.
Essenzialmente caratterizzati dalla struttura
Da basso a
alto
Da bassa a media
Rilevante
Requisiti per le categorieUNI EN ISO 13849-1
24
CategoriaCategoria Riassunto dei requisitiRiassunto dei requisiti Comportamento del Comportamento del sistemasistema
Princìpi per Princìpi per ottenere la ottenere la sicurezzasicurezza
MTTFMTTFdd
di ogni di ogni canalecanale
DCDCavgavg CCFCCF
4
Si devono applicare i requisiti della categoria B
e l’uso di princìpi di sicurezza ben collaudati.
Le parti legate alla sicurezza devono essere progettate in modo che
un singolo guasto in una qualsiasi di queste parti non porti ad una perdita
della funzione di sicurezza e il singolo
guasto venga rilevato in corrispondenza o prima
della successiva richiesta della funzione di
sicurezza.
Se ciò non è possibile, un accumulo di guasti non
deve portare alla perdita della funzione di
sicurezza.
Quando si verifica il singolo guasto la
funzione di sicurezza viene sempre
assicurata.
Il rilevamento di guasti accumulati
riduce la probabilità di perdita della
funzione di sicurezza (DC alta).
I guasti vengono rilevati in tempo per
evitare la perdita della funzione di
sicurezza.
Essenzialmente caratterizzati dalla struttura
Alto
Alta (compreso
l’accumulo dei guasti)
Rilevante
Requisiti per le categorieUNI EN ISO 13849-1
25
• Per una stima più semplice del PL possono essere fatte le seguenti assunzioni se l’architettura utilizzata rientra in quelle riportate al §6.2 della norma UNI EN ISO 13849-1:– un tempo di utilizzo di 20 annitempo di utilizzo di 20 anni;– un tasso di guasto costante tasso di guasto costante per tutto il periodo di utilizzo;– per una categoria 2, un rapporto rrdd ≤ 1/100 r ≤ 1/100 rtt;– per una categoria 2 un MTTFd,TE maggiore della metà del MTTFd,L.
MTTFd,TE = MTTFd del componente che esegue il test per la rilevazione dei guasti
MTTFd,L = MTTFd del componente che esegue le funzioni della SRP/CS• Il PL di ogni SRP/CS dipende dall’architettura, dal MTTFd per ogni canale e dal
DCavg.• Nel caso di architetture con PLr da a a c, le misure per evitare i guasti possono
essere sufficienti; per applicazioni con rischi maggiori, PLr da d a e, la struttura della SRP/CS deve prevedere misure per evitare, individuare e tollerare i guasti.
• Misure pratiche includono la ridondanzaridondanza, la diversitàdiversità e il monitoraggiomonitoraggio.• Per le categorie 2, 3 e 4, devono essere previste sufficienti misure per la riduzione
dei guasti di causa comune (CCF)guasti di causa comune (CCF).
Procedura semplificata per la stima del PL UNI EN ISO 13849-1
26
Stima numerica del PLUNI EN ISO 13849-1 – Allegato K
27
Stima numerica del PLUNI EN ISO 13849-1 – Allegato K
28
MTTFd
basso
MTTFd medio
MTTFd alto
Procedura semplificata per la stima del PL UNI EN ISO 13849-1
29
Esempio di calcolo – Riparo mobile interbloccato
• Funzione di sicurezza: arresto del funzionamento del motore all’apertura di un riparo mobile
• Il riparo è interbloccato per mezzo di due microinterruttori (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza (K1)
• La concordanza dei sensori di ingresso viene monitorata dal modulo di sicurezza che in questo modo rileva eventuali guasti dei sensori
• I teleruttori (Q1 e Q2) tolgono l’alimentazione al motore; i contattori vengono monitorati inserendo contatti nel circuito di ripristino del modulo di sicurezza
• Il guasto di un singolo componente non comporta la perdita della funzione di sicurezza
30
Dati forniti dal costruttore• Il modulo di sicurezza viene dichiarato dal costruttore conforme alla
categoria 4, PL e (oppure SIL 3) e PFHD,K1=2,3110-9
• B10d,B1= 1.000.000 cicli
• B10d,B2= 500.000 cicli
• nop= 35.040 (365 giorni, 24 ore/giorno, top=900 s)
• B10d,Q1=B10d,Q2=2.000.000 cicli
• Q1 e Q2 sono teleruttori a contatti legati
31
CalcoliUNI EN ISO 13849-1
• MTTFd,Q1= 570,77 anni• MTTFd,Q2= 570,77 anni• MTTFd,B1= 285,38 anni• MTTFd,B2= 142,69 anni
• T10d,Q1= 57 anni• T10d,Q2= 57 anni• T10d,B1= 28,5 anni• T10d,B2= 14,2 anni (componente da sostituire prima del mission time)
32
CalcoliUNI EN ISO 13849-1
• DCB1 = DCB2 = 99% controllo della concordanza dei segnali in ingresso
33
CalcoliUNI EN ISO 13849-1
• DCQ1 = DCQ2 = 99% monitoraggio diretto da parte del modulo di sicurezza grazie alla retroazione ed ai contatti legati
34
Calcolo sottosistemiUNI EN ISO 13849-1
• Sottosistema 1 (sensori B1 e B2)
– Si applica la limitazione dei canali a 100 anni
– MTTFd = 100 anni (alto)
– DC = 99% (alta)
– Categoria 4
– PL = e PFHD = 2,4710-8
35
Calcolo sottosistemiUNI EN ISO 13849-1
• Sottosistema 3 (contattori Q1 e Q2)
– Si applica la limitazione dei canali a 100 anni
– MTTFd = 100 anni (alto)
– DC = 99% (alta)
– Categoria 4
– PL = e PFHD = 2,4710-8
36
Risultato finaleUNI EN ISO 13849-1
• Per ottenere il valore finale si sommano i valori di PFHD dei singoli sottosistemi
• PFHD,totale= PFHD,B1//B2+PFHD,K1+PFHD,Q1//Q2 =
= (2,47 + 0,231 + 2,47)10-8 = 5,17110-8 PL = e
37
Esclusione di guastiUNI EN ISO 13849-1
• Non è sempre possibile valutare gli SRP/CS senza escludere determinati guasti. Per l’esclusione dei guasti fare riferimento alla Per l’esclusione dei guasti fare riferimento alla norma UNI EN ISO 13849-2norma UNI EN ISO 13849-2.
• La norma UNI EN ISO 13849-2 riporta un elenco dei guasti che è possibile escludere suddivisi a seconda della tecnologia (meccanica, pneumatica, idraulica ed elettrica).
• L’esclusione di guasti è un compromesso tra i requisiti di sicurezza e la teorica possibilità di accadimento di un guasto.
• L’esclusione di un guasto può essere basata su:– improbabilità tecnica improbabilità tecnica di avere un certo tipo di guasto,– esperienza tecnica esperienza tecnica comunemente accettata, indipendente da un
particolare tipo di applicazione,– requisiti tecnici requisiti tecnici relativi all’applicazione e a specifici rischi.
38
Esclusione di guastiISO/TR 23849:2010
• Non è opportuno che il raggiungimento di un PL pari ad “e” sia basato unicamente sull’esclusione di guasti (ISO/TR 23849:2010); in generale, è necessario essere sempre più critici sulla possibilità di escludere un guasto al crescere del livello di prestazione richiesto.
• In generale, l’esclusione dei guasti non dovrebbe essere In generale, l’esclusione dei guasti non dovrebbe essere applicabile agli aspetti meccanici dei microinterruttori di applicabile agli aspetti meccanici dei microinterruttori di interblocco e degli interruttori azionati manualmente (ad es. interblocco e degli interruttori azionati manualmente (ad es. comando di arresto di emergenza). comando di arresto di emergenza).
• Le esclusioni dei guasti permesse per i guasti di tipo meccanico sono descritti dalla norma UNI EN ISO 13849-2.
39
Esempio – Riparo mobile interbloccato
• Funzione di sicurezza: arresto del funzionamento del motore all’apertura di un riparo mobile interbloccato con un microinterruttore a spinetta
40
Esempio – Riparo mobile interbloccato
Il riparo è interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza.
Non escludendo il guasto di tipo meccanico (ad esempio allentamento della camme) del microinterruttore, la SRP/CS nel suo complesso è in categoria 1.
Eseguendo gli opportuni calcoli, si ottiene:
PFHPFHd,totaled,totale= 1,17= 1,171010-6 -6 PL = c PL = c
41
Esempio – Riparo mobile interbloccato
Il riparo è interbloccato per mezzo di n. 1 microinterruttore B con n. 2 contatti (B1 e B2) il cui segnale viene portato in ingresso ad un modulo di sicurezza.
Escludendo il guasto di tipo meccanico del microinterruttore, la SRP/CS nel suo complesso è in categoria 4.
Eseguendo gli opportuni calcoli, si ottiene:
PFHPFHd,totaled,totale= 5,171= 5,1711010-8 -8 PL = e PL = e