IEC 62061 Sicurezza del macchinario

Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per il controllo delle macchine

La IEC 62061 è derivata dalla IEC 61508 “Sicurezza funzionale dei sistemi elettrici/elettronici/elettronici programmabili relativi alla sicurezza”.
 
La IEC 61508 è la norma internazionale  di riferimento per la sicurezza funzionale dei sistemi elettrici elettronici ed elettronici programmabili.
È divisa in sette parti. Le prime tre parti stabiliscono i requisiti di sicurezza sia per l’hardware che per il software mentre le rimanenti parti sono informative, di supporto per la corretta applicazione delle prime tre.
 
La IEC 62061 conserva le caratteristiche della IEC 61508, ne semplifica i requisiti di sicurezza (sia per l’hardware che per il software) adattandoli alle esigenze del macchinario industriale.
 
Sono presi in considerazione requisiti di sicurezza solo per il funzionamento “high demand mode” (richiesta della funzione di sicurezza maggiore di una volta per anno).
 

Gestione della sicurezza funzionale 

Vengono precisati tutti quegli aspetti del processo di progettazione che sono necessari per raggiungere la sicurezza funzionale richiesta, che vanno quindi dall’assegnazione delle prescrizioni di sicurezza, alla documentazione, alla gestione del progetto fino alla validazione dello stesso.
 
Per ogni progetto dovrà essere redatto, documentato e aggiornato, per quanto necessario, un Piano della sicurezza funzionale.
Il piano della sicurezza funzionale dovrà individuare le persone, i reparti e le risorse responsabili delle attività di progettazione e costruzione del sistema di sicurezza.
 

Livello di integrità della sicurezza (Safety Integrity Level: SIL)

Un sistema di controllo della sicurezza (SCS), per essere idoneo a svolgere la funzione di sicurezza assegnata nelle condizioni operative specificate e durante tutti i tempi di missione, deve avere un certo grado o livello di integrità della sicurezza (SIL). Sono definiti tre livelli, in cui il livello di integrità della sicurezza 3 ha il livello di integrità della sicurezza più alto e il livello di integrità della sicurezza 1 ha il livello più basso. Il SIL deve essere definito per ciascuna funzione relativa alla sicurezza risultante dall’analisi dei rischi.

Vengono fornite una metodologia e delle prescrizioni per:
  • Specificare i requisiti funzionali per ogni funzione di sicurezza da realizzare
  • Assegnare il Livello di Integrità della Sicurezza (SIL) per ogni funzione di sicurezza individuata
  • Consentire la progettazione di un sistema di controllo di sicurezza (SRECS) idoneo alla funzione di sicurezza da realizzare
  • Validare lo SRECS

Attribuzione del SIL

Per l’assegnazione del SIL si può usare il metodo descritto nell’allegato A (la norma consente tuttavia di avvalersi anche delle tecniche descritte nella IEC 61508-5). Per ogni pericolo individuato occorre valutare:
  • Il grado di severità (Se) del possibile danno
  • Probabilità del verificarsi di tale danno

La probabilità che accada un evento pericoloso è funzione di:

  • Frequenza e la durata (Fr) di esposizione al pericolo
  • Probabilità di evento pericoloso (Pr)
  • L’abilità di evitare o limitare il danno (Av)

Ne deriva che per ogni pericolo individuato devono essere valutati i parametri seguenti:

  • Grado di gravità (Se) del danno
  • Frequenza e tempo (Fr) di esposizione al pericolo
  • Probabilità che accada ‘evento pericoloso (Pr) associato a ciascuna modalità di funzionamento della macchina
  • Possibilità di evitare il pericolo (Av). Maggiore è la difficolta per evitare il pericolo, più il valore di AV è elevato
Gravità (Se)

La gravità viene decisa in base alle conseguenze di un infortunio.

Consequenza Gravità (Se)
Irreversibile: more, perdita di un occhio o di un arto 4
Irreversibile: rottura di arto(i), perdita di dito(a) 3
Reversibile: lesioni che richiedono l’attenzione di un medico 2
Reversibile: lesioni che richiedono un primo soccorso 1

Tabella A1 – Classificazione della Gravità (Se)

Frequenza e durata dell'esposizione al rischio (Fr)

L’intervallo medio tra l’esposizione al rischio e la frequenza media di accesso alla zona pericolosa, viene stimata considerando i seguenti aspetti:

  • Tutte le modalità di utilizzo (normale funzionamento, manutenzione)
  • La natura dell’accesso (per l’alimentazione manuale di materiali, impostazioni)
  • Tempo trascorso nella zona pericolosa
  • Frequenza di accesso
Classificazione della frequenza e durata dell’esposizione al rischio (Fr)
Frequenza di esposizione Durata dell’esposizione ≥ 10 min Durata dell’esposizione < 10 min
≥ 1 per ora 5 5
Da < 1 per ora a ≥ 1 per giorno 5 4
Da < 1 per giorno a ≥ 1 per 2 settimana 4 3
Da < 1 per 2 settimana a ≥ 1 per anno 3 2
< 1 per anno 2 1

Tabella A2 – Frequeenza e durata di esposizione al rischio (Fr)

Probabilità che accada un evento pericoloso (Pr)

Questo parametro può essere stimato tenendo conto del comportamento umano (stress, abilità, complessità della macchina) rispetto all’interazione con le parti della macchina da cui potrebbe derivare il pericolo.

Per considerare il caso peggiore si dovrebbe considerare una probabilità molto alta.

Per poter utilizzare della probabilità di accadimento
dell’evento inferiori, sono richiesti elevati livello di competenze degli operatori e una conoscenza approfondita dell’applicazione.

Probabilità dell’evento Probabilità (Pr)
Molto alta 5
Probabile 4
Possibile 3
Rara 2
Trascurabile 1

Tabella A3 – Classificazione della probabilità che accada un evento pericoloso (Pr)

Probabilità di evitare o limitare il danno (Av)

Tiene conto:

  • Velocità improvvisa, rapida o lenta del verificarsi di un evento pericoloso
  • Possibilità di sottrarsi al pericolo spostandosi
  • La natura del componente pericoloso
  • Possibilità di riconoscere il pericolo
Probabilità di evitare o limitare il danno (Av)
Impossibile 5
Rara 3
Probabile 1

Tabella A4 – classificazione della probabilità di evitare o limitare il danno (Av)

Attenzione: l’opzione “probabile” va scelta solo se il pericolo è chiaramente riconoscibile e se il tempo per intervenire o per abbandonare l’area pericolosa è sufficiente.

La somma dei punteggi per gli attributi di frequenza, probabilità che accada l’evento pericoloso e la possibilità di evitarlo fornisce la classe di probabilità (Cl) del pericolo:

Cl = Fr + Pr + Av

La tabella seguente, che è un estratto del form di figura A.3 della norma IEC 62061, permette di ricavare in modo semplice il SIL da assegnare alla funzione di sicurezza.

Conseguenze Severità Classe CL
4 5-7 8-10 11-13 14-15
Morte, perdita di un occhio o di un braccio 4 SIL 2 SIL 2 SIL 2 SIL 3 SIL 3
Permanente: perdita di dita 3   OM SIL 1 SIL 2 SIL 3
Reversibile: intervento medico 2     OM SIL 1  SIL 2
Reversibile: pronto soccorso 1       OM SIL1

Tabella 3 della IEC 62061

Attribuzione dei requisiti di sicurezza specifici (SRS) e dei requisiti funzionali di sicurezza

La specificazione dei requisiti di sicurezza (SRS) deve includere almeno le seguenti caratteristiche della macchina:

  • Tempo di ciclo
    – prestazioni del tempo di risposta
    – condizioni ambientali
    – frequenza di commutazione e duty cycle di eventuali dispositivi elettromeccanici utilizzati.
  • Interazioni uomo-macchina
  • Comportamento della macchina in condizioni di lavoro normali
  • Reazione richiesta della funzione di sicurezza

La specificazione dei requisiti funzionali deve descrivere i dettagli di ciascuna funzione di sicurezza, in particolare:

  • Descrizione della funzione di sicurezza
  • Condizioni di ripristino e condizioni di riavvio della macchina dopo l’attivazione della funzione di sicurezza
  • Tempo di risposta della funzione di sicurezza
  • Interfacce della funzione di sicurezza con le altre parti del sistema di controllo della macchina
  • Modalità di funzionamento della macchina in cui la funzione di sicurezza deve essere attiva o disattivata

Processo di progettazione di un SCS (sistema di controllo relativo alla sicurezza)

Ogni funzione di sicurezza deve essere descritta in termini di:

  • Requisiti operativi (modalità di funzionamento, tempo di ciclo, condizioni ambientali, tempo di risposta, tipo di interfaccia con altri componenti o sottosistemi, livello EMC, ecc.)
  • Requisiti di sicurezza (SIL).

Ciascuna funzione di sicurezza deve essere suddivisa in sotto funzioni, ad es. sotto funzione per segnali di ingresso, sotto funzione per elaborazione dati logici, sotto funzione per segnali di uscita.

Un sottosistema è quindi associato a ciascuna sotto funzione.

I sottosistemi possono essere costituiti da componenti di qualsiasi tecnologia, elettrici, elettronici, pneumatici, idraulici, interconnessi tra loro. I singoli componenti sono chiamati elementi di sottosistema.

La realizzazione tecnica di un SCS assumerà quindi una struttura tipica come quella mostrata in figura (esempio di controllo accessi attuato tramite barriera fotoelettrica).

Fig. 13 – Struttura tipica di un SCS

Un SCS può implementare più funzioni di sicurezza. Ciascuna funzione di sicurezza può essere composta da più sottosistemi. Un sottosistema può condividere più sottofunzioni.

Fig. 14  – Struttura generale di un SCS

Se un sottosistema condivide funzioni di sicurezza con diversi livelli di integrità della sicurezza, il suo hardware e software devono essere trattati come se richiedessero il livello di integrità della sicurezza più alto.

Se un sottosistema implementa sia funzioni di sicurezza che altre funzioni, tutto il suo hardware e software deve essere trattato come relativo alla sicurezza a meno che le funzioni di sicurezza e le altre funzioni non siano sufficientemente indipendenti.

Se la comunicazione di dati digitali viene utilizzata come parte di un SCS, devono essere soddisfatti i requisiti pertinenti alla sicurezza funzionale dei bus di campo (IEC 61784-3) in conformità con l’obiettivo SIL della funzione di sicurezza.

Utilizzo di un sottosistema pre-progettato

È possibile combinare sottosistemi progettati con questa norma con sottosistemi progettati con altre norme di sicurezza. La tabella 4 della IEC 62061 fornisce una corrispondenza con i valori SIL o PL di sottosistemi progettati con altre norme.

IEC 62061 IEC 62061 IEC 61508 ISO 13849
PFH SIL  almeno … almeno …
< 10-5 SIL1 SIL1 PL b,c
< 10-6 SIL2 SIL2 PL d
< 10-7 SIL3 SIL3 PL e

Fig. 15 – Tabella S4 – SIL e PFH richiesti per i sottosistemi pre-progettati

La colonna IEC 61508 include standard basati su SIL che soddisfano gli stessi vincoli architetturali, come IEC 61800-5-2 e IEC 60947-5-3.

Non è possibile individuare una perfetta corrispondenza bi-univoca tra PL e SIL; tuttavia è possibile confrontare la parte probabilistica di PL e SIL perché utilizzano lo stesso concetto per definire il grado di resistenza ai guasti, ovvero il PFH. Dato che il calcolo e i metodi utilizzati non sono gli stessi per entrambi gli standard sarà possibile confrontare i range ma non i valori esatti del calcolp.

Inoltre, vengono imposte alcune restrizioni:

  • PLb non corrisponde a SIL1 nel caso di una struttura di Categoria B.
  • Non si può presumere corrispondenza tra IEC 62061 e IEC 61511 (tutte le parti) o ISO 26262.

PLC di sicurezza, safety bus, azionamenti, barriere fotoelettriche di sicurezza e in genere tutti i dispositivi di sicurezza complessi che integrano logica programmabile e che fanno uso di software embedded, se vengono usati per la realizzazione di uno SRP/CS devono essere conformi alle rispettive norme di prodotto, se esistono, e alla IEC 61508 per gli aspetti che riguardano la sicurezza funzionale.