ISO 13849-1,2 Sicurezza del macchinario

Parti dei sistemi di comando legatealla sicurezza – Principi generali per la progettazione

Le EN ISO 13849-1,2 sono utilizzate nell’ambito della riduzione sistematica dei rischi descritta nella ISO 12100 per la parte che riguarda il progetto del sistema di controllo di sicurezza della macchina.

La norma ISO 13849-1 serve appunto come standard per progettare le parti del sistema di comando che servono per realizzare le funzioni di sicurezza. Si può usare per tutti i tipi di macchinari indipendentemente dal tipo di tecnologia utilizzata (elettrica, idraulica, pneumatica, ecc.) Queste parti possono essere costituite da hardware e/o software e possono
essere separate dal sistema di comando della macchina o farne parte integrante.

La ISO 13849-1 è applicabile solo nel caso che la funzione di protezione sia richiesta con frequenza superiore a una volta all’anno (funzionamento in High demand mode) oppure sia richiesta costantemente (Continuous mode of operation) perchè le tabelle e le formule contenute nella norma sono relative a questi due tipi di funzionamento.

Esempi di prodotti che sono comunemente integrati in un sistema di controllo di sicurezza sono: relè, elettrovalvole, interruttori di posizione, PLC, moduli di sicurezza configurabili, drive del motore, dispositivi di comando a due mani, apparecchiature sensibili alla pressione, barriere fotoelettriche, laser scanner.

Le parti del sistema di controllo della macchina legate alla sicurezza sono indicate con l’acronimo SRP/CS (Safety Related Parts of Control System).

Oltre all’implementazione le funzioni di sicurezza, un SRP/CS può anche implementare funzioni operative, ma solo le parti legate alla sicurezza rientrano nell’ambito di applicazione della norma.

Per valutare il livello di prestazione di sicurezza di un SRP/CS si usa il termine PL (Performance Level) che sta a indicare la capacità di un SRP/CS di garantire una riduzione dei rischi adeguata entro predefinite condizioni di funzionamento.

Il livello di prestazione è misurato con una scala a 5 livelli, da PLa a PLe; ad ogni livello è associato un intervallo di valori di probabilità media di guasto pericoloso (PFHD).
 
PL
Probabilità media di guasto pericoloso per ore (PFHD) 1/h
a ≥ 10-5 a < 10-4
b ≥ 3 x 10-6 a < 10-5
c ≥ 10-6 a < 3 x10-6
d ≥ 10-7 a < 10-6
e ≥ 10-8 a < 10-7
 
Fig. 5 – La Tabella della norma: Performance levels (PL)

Valutazione del rischio e assegnazione del Performance Level richiesto – PLr

Per ogni funzione di sicurezza individuata, il progettista deve decidere quale dovrà essere il contributo alla riduzione del rischio che essa deve fornire.

Questo contributo non copre il rischio complessivo della macchina, ma solo quella parte del rischio legata all’applicazione di quella particolare funzione di sicurezza.

Il Parametro che viene usato per indicare il contributo alla riduzione del rischio richiesto per quella funzione di sicurezza è il PLr (Performance Level Required).

Il parametro PL invece, rappresenta il Livello di prestazione raggiunto dall’hardware che implementa quella funzione di sicurezza. Va da sé che il PL deve almeno essere uguale o superiore al PLr.

Dopo aver deciso il valore di PLr necessario bisogna progettare un SRP/CS idoneo, calcolare il PL risultante e verificare che sia maggiore o uguale al PLr.

Lo strumento usato nella ISO 13849-1 per stabilire quale dovrà essere il contributo alla riduzione del rischio fornito dalla funzione di sicurezza è un grafico del tipo ad albero delle decisioni che porta ad individuare in modo univoco il valore di PL r. Se vengono individuate più funzioni di sicurezza, per ognuna di esse occorre definire il PLr.

S: gravità del danno
  • S1 Lesione leggera generalmente reversibile
  • S2 Lesione grave generalmente irreversibile o morte
F: frequenza e/o tempo di esposizione al rischio
  • F1 da rara a infrequente e/o tempo di esposizione breve
  • F2 da frequente a continua e/o tempo di esposizione lungo
P: possibilità di evitare il rischio o di limitare il danno 
  • P1 possibile entro certe condizioni
  • P2 scarsamente possibile

Fig. 6 – Grafico delle decisioni per determinare il valore di PL r

 
 
Considerazioni sui parametri S, F e P

Considerazioni sul parametro S

È necessario fare una valutazione sul tipo di lesioni che potrebbero derivare da un malfunzionamento della funzione di sicurezza. La EN 13849-1 propone solo due possibilità:

  • S1 = lesione leggera
  • S2 = lesione grave

Sono considerate lesioni leggere le graffi, sbucciature, lividi, lacerazioni senza complicanze. Sono considerate lesioni gravi le amputazioni, le perdite di funzionalità di un arto, la perdita di un occhio, morte.

Considerazioni sul parametro F

La distinzione fra F1 e F2 può essere formulata come segue:

Si sceglie F2 se la frequenza di esposizione al pericolo è maggiore di una volta ogni 15 minuti. Si sceglie F1 se la frequenza di esposizione al pericolo non è maggiore di una volta ogni 15 minuti e il tempo di esposizione accumulato non supera 1/20 del tempo operativo complessivo.

Considerazioni sulla probabilità di accadimento dell’evento pericoloso

La probabilità del verificarsi di un evento pericoloso dipende sia dal comportamento umano sia da guasti tecnici, dovrebbe essere basata su fattori come:

  • Dati di affidabilità del sistema di controllo
  • La storia degli incidenti su macchine analoghe (con lo stesso rischio, stesso processo, stessa azione dell’operatore e stessa tecnologia che causa il pericolo).

La probabilità di occorrenza è sempre valutata uguale a 1 perché nella maggior parte dei casi la probabilità corretta non è nota o è difficile da stimare.

Se la probabilità del verificarsi di un evento pericoloso può essere giudicata bassa, il PLr può essere ridotto un livello.

Grafico delle decisioni per determinare il valore di PLr se la probabilità (P) del verificarsi di un evento pericoloso può essere giudicata bassa

Fig. 7 – Grafico delle decisioni per determinare il valore di PLr

Sovrapposizioni dei pericoli

È possibile che una stessa persona possa essere sottoposta all’interazione simultanea di più pericoli dovuti per esempio alla presenza di più movimenti pericolosi della macchina che potrebbero potenzialmente crearle un danno.

Se la valutazione della probabilità di guasto fosse fatta prendendo in considerazione tutti i componenti coinvolti nell’insieme delle operazioni, si arriverebbe ben presto a valori di PFHD molto alti (anche se si usassero componenti con valori di MTTFD molto alti) con conseguente impossibilità di raggiungere il PL richiesto.

Le cose si complicano ancora di più nel caso che i singoli rischi richiedano PLr diversi.

Per superare questi problemi è consentito separare i rischi, se questo è possibile, e assegnare ad ognuno di essi una funzione di sicurezza separata.

Questa possibilità deve essere analizzata dal progettista durante il processo di valutazione del rischio. Prima si identifica la zona pericolosa, poi si identificano tutti i movimenti pericolosi delle varie parti della macchina che insistono sulla stessa zona pericolosa, quindi si considerano le operazioni da svolgere e quali sono le parti del corpo a rischio.

Se dall’analisi si evince che è possibile separare i vari movimenti pericolosi allora ad ogni movimento pericoloso si assegna una funzione di sicurezza separata e si calcola il relativo PL.

Esempio 1

In una cella di produzione che coinvolge più robot su operazioni diverse la funzione di arresto a seguito dell’intrusione della barriera, può essere valutata singolarmente per ciascun robot.

Per l’esempio della cella di lavorazione illustrata, si possono individuare le
seguenti funzioni di sicurezza:

  • SF1: L’interruzione della barriera di sicurezza comporta l’arresto di tutti gli azionamenti del robot 1
  • SF2: L’interruzione della barriera di sicurezza comporta l’arresto di tutti gli azionamenti del robot 2
  • SF3: L’interruzione della barriera di sicurezza comporta l’arresto di tutti gli azionamenti del robot 3

Fig. 8 – Cella di produzione che coinvolge più robot su operazioni diverse

La stessa considerazione vale per esempio per una tavola rotante dotata di più dispositivi di serraggio; la valutazione del rischio può essere fatta separatamente per ogni pinza.

Esempio 2

In un robot di saldatura l’operatore è esposto contemporaneamente al rischio di schiacciatura dovuto al movimento della testa del robot e al rischio di bruciatura dovuto all’utensile montato sulla testa, in questo caso testa del robot e utensile vanno contemporaneamente presi in considerazione nella valutazione della funzione di sicurezza.

Esempio 3

Un robot in modalità di apprendimento può essere mantenuto attivo ed alimentato anche quando la porta di ingresso della cella è aperta solo se viene usato un dispositivo di abilitazione locale ad azione mantenuta ed il robot sia in
modalità di funzionamento a velocità ridotta di sicurezza.
 
Nel calcolo del PFHD vanno perciò inserite le probabilità di guasto di tutti e tre i dispositivi perché il guasto pericoloso anche di uno solo di essi porta immediatamente a una condizione di pericolo.
Identification of the safety function and design specification
Per decidere quali funzioni di sicurezza siano necessarie bisogna tener conto dell’uso previsto della macchina (incluso l’uso scorretto ragionevolmente prevedibile). Per ogni funzione di sicurezza deve essere redatto un documentato nel quale sono dettagliate almeno le seguenti specifiche:
  • Risultato della valutazione dei rischi per ogni pericolo (Valore di PLr)
  • Comportamento che si intende ottenere o impedire con la funzione di sicurezza (es. all’apertura del riparo la macchina esegue uno stop Cat.0)
  • Uso previsto della macchina e uso scorretto ragionevolmente prevedibile
  • Funzionamento in condizioni di emergenza
  • Tempo di risposta della funzione di sicurezza
  • Modalità di ripristino dopo un’azione di protezione (funzionamento automatico oppure manuale)
  • Modalità di intervento (relative a una zona o parte della macchina)
  • Necessità di sospensione della funzione di sicurezza (muting, banking)
  • Modalità di by-pass della funzione di sicurezza per riparazione, messa a punto, pulizia, ricerca guasti ecc.
  • Eventuale descrizione delle interconnessioni tra diverse funzioni di sicurezza
  • Frequenza di intervento della funzione di sicurezza
  • Priorità delle funzioni che, se attive contemporaneamente possono causare conflitti di funzionamento
Per aiutare il progettista, la norma elenca le principali funzioni di sicurezza che in genere sono implementate in un SRP/CS e per alcune di esse fornisce i principali requisiti di sicurezza:
  • Funzione di arresto legata alla sicurezza avviata da una misura di salvaguardia
  • Funzione di ripristino manuale
  • Funzione di avviamento/ri-avviamento
  • Funzione di comando locale
  • Funzione di inibizione (Muting)
  • Funzione di comando ad azione mantenuta
  • Funzione dispositivo di abilitazione
  • Prevenzione dell’avviamento inatteso
  • Fuga e salvataggio di persone intrappolate
  • Funzione di isolamento e dissipazione di energia
  • Modalità di comando e selezione di modalità
  • Funzione di arresto d’emergenza

Funzione di arresto di sicurezza

La funzione di arrest Result of the risk assessment for each hazard (PL r value) o avviata dall’attuazione di un dispositivo di protezione deve portare la macchina in uno stato sicuro nel minor tempo possibile.
 
La funzione di arresto deve avere la priorità su una fermata per motivi operativi.
Quando un gruppo di macchine lavora insieme in modo coordinato, si deve aver cura di segnalare al controllo di supervisione e/o alle altre macchine l’esistenza di tale arresto di sicurezza.
 
Dopo l’attuazione di un comando di arresto da parte di un dispositivo di protezione, la condizione di arresto deve essere mantenuta fino al sussistere di condizioni sicure per il riavvio.
 

Funzione di ripristino manuale

Il Reset ripristina il mezzo di protezione e annulla il comando di arresto sicuro.  Se stabilito dalla valutazione del rischio, tale annullamento deve essere confermato mediante un’azione manuale, separata e deliberata (ripristino manuale).
 
La funzione di ripristino manuale deve:
  • Essere autorizzata attraverso un dispositivo separato, compreso nella SRP/CS e azionato manualmente
  • Essere abilitata solo se tutti i mezzi di protezione sono operativi
  • Non avviare essa stessa un movimento o una situazione pericolosa
  • Avvenire mediante un’azione deliberata
  • Abilitare il sistema di comando affinché accetti il comando di avvio
  • Essere abilitata solo dopo aver disinserito l’attuatore dalla sua posizione di ON

Funzione di Muting

La funzione di Muting non deve esporre le persone a situazioni pericolose. Durante il Muting, le condizioni di sicurezza devono essere garantite con altri mezzi. Al termine del Muting, tutte le funzioni di sicurezza della SRP/CS devono essere ripristinate automaticamente. Il PL delle parti del SRP/CS che realizzano la funzione di Muting devono essere tali da non diminuire il livello di sicurezza della funzione di sicurezza alla quale è associato il Muting.

Parametri legati alla sicurezza 

Quando lo scostamento di parametri quali posizione, velocità, temperatura o pressione, oltre i limiti impostati può causare problemi di sicurezza, il sistema di comando deve attuare misure appropriate (per esempio attuazione dell’arresto, segnale di avvertimento, allarme).

Fluttuazioni, perdita e ripristino di fonti di alimentazione 

Quando si verificano fluttuazioni nei livelli di alimentazione al di fuori dell’intervallo operativo di progettazione, inclusa la perdita dell’alimentazione, la SRP/CS deve continuare a fornire o inviare segnali d’uscita che consentano alle altre parti del sistema macchina di mantenere uno stato sicuro.
 

E – Stop

L’E-Stop è definito “misura di protezione complementare” (non è una funzione di
sicurezza).
 
Viene usato per ridurre il rischio dovuto a guasti o incidenti non ragionevolmente prevedibili a parti della macchina, inclusi guasti ai dispositivi di protezione. Poiché deve essere disponibile in caso di avaria degli altri dispositivi protezione, anche ad essa conviene applicare la EN ISO 13849-1. 
 
Deve essere disponibile e operativo in ogni momento e deve bypassare tutte le altre funzioni e modi operativi della macchina (senza compromettere eventuali strutture progettate per il rilascio di persone intrappolate). Qualsiasi comando di avviamento (volontario, non intenzionale, o imprevisto) non deve avere efficacia su quelle parti della macchina fermate dal comando di E-stop fino a quando il dispositivo non venga ripristinato manualmente.
 
Il PLr della funzione E-Stop dovrebbe essere uguale a quello della funzione di sicurezza con PLr più alto coinvolta nella realizzazione del SRP/CS.
 

Funzione di controllo locale

Quando una macchina è controllata localmente, ad es. mediante un dispositivo di controllo portatile occorre che:
  • Il selettore del dispositivo di controllo locale deve essere situato al di fuori della zona di pericolo
  • Il controllo locale deve essere attivo solo nella parte della zona pericolosa individuata dall’analisi di rischio
  • Il passaggio da controllo locale a controllo principale non deve creare una situazione pericolosa

Tempo di risposta

Quando, a seguito della valutazione di rischio, si ritiene che il tempo di risposta dell’SRP / CS possa essere determinante ai fini della sicurezza, esso dovrà essere sommato al tempo di risposta degli altri dispositivi che compongono il sistema di controllo di sicurezza in modo da formare il tempo complessivo di risposta della macchina.
 
Il tempo di risposta complessivo richiesto per l’arresto della macchina può influenzare la progettazione della parte relativa alla sicurezza, ad es. per particolari applicazioni, potrebbe essere necessario aggiungere un sistema di frenatura.
Realizzazione di una Funzione di sicurezza tramite un SRP/CS

Una funzione di sicurezza può essere implementata mediante una o più SRP/CS.

Si possono usare tutte le tecnologie disponibili, anche in combinazione; elettrica, idraulica, pneumatica, meccanica ecc.

È anche possibile che una SRP/CS implementi funzioni di sicurezza e normali funzioni di comando (per esempio una Barriera Fotoelettrica o un Controllo a due mani possono essere usati sia per protezione che per avviamento ciclo).

Fig. 9 – Rappresentazione schematica a blocchi di una tipica funzione di sicurezza

Fig. 10 – Diverse funzioni di sicurezza possono condividere una o più SRP/CS

Il progettista deve decidere il contributo alla riduzione del rischio che è necessario sia fornito da ciascuna funzione di sicurezza.

La valutazione del PL r va dunque fatta separatamente per ogni singola funzione di sicurezza.

Fase di progettazione di SRP/CS – Aspetti organizzativi

Prima di realizzare un SRP/CS, al fine di ridurre il più possibile l’introduzione di guasti sistematici durante la fase di progettazione oppure a seguito di successive modifiche, è necessario dotarsi di una organizzazione gestionale che segua procedure strutturate che coprano l’intero ciclo di vita del SRP/CS. Ogni attività di progettazione dovrebbe essere adeguatamente specificata, documentata e verificata.

PL delle SRP/CS

Il PL dipende da numerosi fattori, inclusi la struttura hardware e software, la capacità di rilevare per tempo eventuali guasti interni che potrebbero limitarne le prestazioni di sicurezza, l’affidabilità dei componenti, la capacità di limitare i guasti da causa comune, la qualità del processo di progettazione, le sollecitazioni operative, le condizioni ambientali e il ciclo operativo della macchina.

Si devono considerare tutti i casi di uso previsto e uso scorretto ragionevolmente prevedibile.

Il seguente prospetto riassume gli aspetti quantificabili, assegnando ad essi un valore complessivo di probabilità di guasto, e gli aspetti qualitativi che devono essere soddisfatti al fine di ottenere un PL.

Fig. 11 – Aspetti qualitativi e quantitativi da rispettare per progettare un sistema di controllo di sicurezza

IMPORTANTE!
Il valore della Probabilità media di guasto pericoloso/ora è solo uno dei parametri che contribuiscono all’assegnazione del PL. Per poter rivendicare un valore di PL bisogna altresi dimostrare e documentare di aver preso in considerazione e rispettato tutti i requisiti relativi
  • al controllo dei guasti sistematici
  • all’uso di componenti robusti e affidabili (rispondenti a norme di prodotto, ove disponibili)
  • all’uso di norme di buona tecnica
  • di aver tenuto conto delle condizioni ambientali in cui dovrà operare il sistema di sicurezza
  • nel caso sia stato necessario scrivere software, di aver adottato tutti gli aspetti di organizzazione esemplificati nel modello di sviluppo a V di Fig. 6 della norma ISO 13849-1 e di aver rispettato i requisiti di sviluppo sia per il software applicativo che per quello incorporato.

Calcolo del PFHD

Il metodo usato per valutare la parte del PL legata agli aspetti quantitativi è quello di calcolare la probabilità che all’SRP/CS possa capitare un guasto pericoloso in un determinato periodo di tempo, in particolare in un’ora, tenendo conto dell’affidabilità dei suoi componenti.
 
NOTA:  Quanto maggiore è il contributo alla riduzione del rischio fornito dal SRP/CS tanto più bassa deve essere la sua Probabilità di guasto pericoloso/ora (PFHD). Viene considerato pericoloso un guasto che, se non rilevato, inibisce la funzione di protezione del sistema.
 
Esistono diversi metodi per effettuare una stima della Probabilità media di guasto pericoloso di un sistema o di un sottosistema. Questi metodi richiedono l’uso di complesse formule matematiche proprie della teoria della affidabilità dei sistemi e che per ogni componente si conosca:
  • Il tasso di guasto (λ)
  • La percentuale di ripartizione del tasso di guasto per tutte le modalità di guasto del componente (es. per un interruttore ad azione positiva: il contatto non si apre quando richiesto = 20% dei casi,  il contatto non si chiude quando richiesto = 80% dei casi)
  • L’effetto che ha ogni guasto sul comportamento del sistema di sicurezza (es. guasto pericoloso – oppure guasto non pericoloso)
  • la percentuale di guasti pericolosi rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi
  • La percentuale di guasti pericolosi non rilevati dalle tecniche automatiche di autodiagnosi implementate rispetto al totale dei guasti pericolosi
L’ISO 13849-1 semplifica questo processo sostituendo le formule matematiche con tabelle pre-calcolate per diverse combinazioni di Categorie, di valori di massima di MTTFD e di DCavg che vengono determinati anch’essi tramite tabelle.
 
Il processo di progettazione di un SRP/CS può essere riassunto nei seguenti passi:
  1. Scelta della struttura del sistema (Categoria)
  2. Calcolo di MTTFD
  3. Scelta delle tecniche di autodiagnosi e calcolo di DCavg
  4. Verifica di CCF per le architetture ridondanti
  5. Calcolo di PL tramite la Tabella 5 o la Tabella K.1
  6. Verifica del PL (se il PL calcolato è inferiore al PL r occorre ritornare al passo 1)
  7. Validazione

Categorie e loro relazione con MTTFD , con la DC e con le CCF

Per aiutare il progettista nel calcolo del PL di una SRP/CS, la EN/ISO 13849 utilizza una metodologia basata su 5 particolari strutture denominate Categorie che costituiscono l’ossatura su cui si basano tutti gli aspetti quantificabili che concorrono alla formazione del PL.

Le Categorie descrivono un SRP/CS in relazione alla:

  • Disposizione strutturale delle sue parti
  • Sua tolleranza ai guasti
  • Suo comportamento in condizioni di guasto
  • Affidabilità dei suoi componenti

Ciò vuol dire che la prestazione di sicurezza viene raggiunta non solo tramite particolari architetture hardware (che la norma definisce: designated architecture), ma anche attraverso un uso attento di componenti affidabili e, se necessario, di adeguate tecniche di monitoraggio.

La scelta di una categoria dipende principalmente da:

  • Riduzione del rischio che deve essere fornita dal SRP/CS
  • Livello di prestazione richiesto (PL r)
  • Tecnologia usata
  • Rischio derivante dal guasto della SRP/CS
  • Possibilità di evitare guasti in quella SRP/CS (guasti sistematici)
  • Probabilità che si verifichino guasti in quella SRP/CS
  • Tempo medio di guasto pericoloso (MTTFD)
  • Copertura diagnostica (DC)
  • Guasti per causa comune (CCF) nel caso delle categorie 2, 3 e 4

Vale la pena precisare che le designated architectures servono per dare una rappresentazione logica della struttura del sistema, la realizzazione tecnica e lo schema circuitale funzionale possono anche apparire completamente diversi.

Le designated architectures possono anche servire per descrivere una parte o una sotto-parte di un sistema di controllo che risponde a determinati segnali di input e genera segnali di output di sicurezza; pertanto il blocco “input” può rappresentare, ad esempio, una barriera fotoelettrica (AOPD) o contatti di interruttori. Il blocco “output” può rappresentare, ad esempio, una uscita di sicurezza (OSSD), una combinazione di contatti di relè.

Per le categorie 3 e 4 la rappresentazione a doppio canale non sta a significare che tutte le parti devono necessariamente essere fisicamente ridondanti ma che esistono mezzi ridondanti per garantire che un singolo guasto non può portare alla perdita della funzione di sicurezza.

Esistono sicuramente più modi per realizzare architetture in grado di soddisfare i requisiti stabiliti dalle Categorie, ma se si fa rientrare la struttura del sistema di controllo in una (o più) delle 5 Categorie, allora per il calcolo del livello di prestazione di sicurezza (PL) è possibile usare le procedure semplificate descritte nella norma.

Se un’architettura devia da quelle delle Categorie allora il suo PL non può essere calcolato con il metodo semplificato della norma, ma deve essere giustificato con mezzi analitici, ad esempio tramite modellazione di Markov, al fine di mostrare che tramite tale architettura è possibile raggiunge il livello di prestazione richiesto (PL r). Markov infatti offre una notevole capacità di gestire molte delle caratteristiche tecniche che sono implementate nei moderni dispositivi di sicurezza, per esempio è possibile modellare eventi periodici come i test automatici di diagnostica dei guasti.

 

PL r(e) fornisce il più alto contributo alla riduzione del rischio, PL r(a) il più basso.