Automazione e tecnologie di sicurezza sono due campi strettamente connessi. L'adozione di funzioni e moduli di sicurezza integrati semplifica notevolmente la progettazione, l'installazione e l'utilizzo di soluzioni di automazione complesse.
In generale i requisiti che la tecnologia di sicurezza è chiamata a soddisfare dipendono dal tipo di applicazione. Il livello dei requisiti dipende tra l'altro dal livello di rischio e di pericolosità che l'applicazione comporta e dai requisiti di legge vigenti.
La configurazione delle macchine dal punto di vista della sicurezza ha come obiettivo la protezione delle persone. In macchine con azionamenti regolati elettricamente, il pericolo consiste prima di tutto nelle parti mobili della macchina e nell'energia elettrica stessa.
Solo voi, in quanto utilizzatori, costruttori della macchina o system integrator siete a conoscenza di tutte le condizioni e i fattori inerenti all'installazione, allestimento, funzionamento, riparazione e manutenzione della macchina o del processo. Pertanto solo voi siete in grado di definire la soluzione di automazione, con i relativi dispositivi di sicurezza e bloccaggi, più adatta al vostro impiego e approvarne l'utilizzo.
|
|
|
NON CONFORMITÀ CON I REQUISITI DELLA FUNZIONE DI SICUREZZA |
|
oSpecificare i requisiti e/o le misure da implementare nell'analisi del rischio eseguita. oVerificare che l'applicazione correlata alla sicurezza sia conforme con normative e regolamenti di sicurezza applicabili. oAccertare che siano state stabilite le appropriate procedure e misure (in base alle normative di settore applicabili) per evitare situazioni di pericolo quando si utilizza la macchina. oUtilizzare interblocchi di sicurezza appropriati dove sussistono pericoli per personale e/o apparecchiatura. oConvalidare la funzione globale correlata alla sicurezza ed eseguire un approfondito test dell'applicazione. |
|
Il mancato rispetto di queste istruzioni può provocare morte, gravi infortuni o danni alle apparecchiature. |
Analisi dei pericoli e dei rischi
La norma IEC 61508 "Sicurezza funzionale dei sistemi di controllo elettronici/elettrici/programmabili rilevanti per la sicurezza" definisce gli aspetti rilevanti per la sicurezza dei sistemi. Essa non considera esclusivamente singoli moduli funzionali di un sistema rilevante per la sicurezza, bensì considera come unità globale tutti gli elementi di una catena funzionale (a partire, ad esempio, dal sensore per arrivare alle unità di elaborazione elettronica e da queste all'attuatore vero e proprio). Questi elementi devono soddisfare nel loro insieme i requisiti del corrispondente livello di integrità di sicurezza.
La norma IEC 61800-5-2 "Azionamenti elettrici a velocità variabile – Prescrizioni di sicurezza – Sicurezza funzionale" è una norma sui prodotti che definisce i requisiti relativi alla sicurezza degli azionamenti. Tale norma definisce tra l'altro le funzioni di sicurezza degli azionamenti.
È necessario eseguire un'analisi dei pericoli e dei rischi dell'impianto (ad es. secondo la norma EN ISO 12100 o EN ISO 13849-1), che si basi sulla configurazione e sull'impiego dell'impianto. I risultati di questa analisi dovranno essere considerati durante la progettazione della macchina e il successivo equipaggiamento con dispositivi e funzioni di sicurezza. I risultati della vostra analisi possono differire dagli esempi di utilizzo presentati in questa documentazione o in altri documenti di riferimento. Ad esempio è possibile che siano necessari ulteriori componenti relativi alla sicurezza. In linea di principio i risultati dell'analisi dei pericoli e dei rischi sono prioritari.
|
|
|
COMPORTAMENTO IMPREVISTO |
|
oEseguire un'analisi di rischio e pericolo per determinare l'appropriato livello di integrità di sicurezza e altri requisiti di sicurezza, per l'applicazione specifica in base alle normative applicabili. oAssicurare che l'analisi di rischio e pericolo venga condotta e rispettata in base a EN/ISO 12100 durante la progettazione della macchina. |
|
Il mancato rispetto di queste istruzioni può provocare morte, gravi infortuni o danni alle apparecchiature. |
La norma EN ISO 13849-1 (Sicurezza del macchinario - Parti dei sistemi di comando legate alla sicurezza - Parte 1: Principi generali per la progettazione) descrive un processo iterativo per la selezione e la configurazione di parti dei sistemi di comando legate alla sicurezza, con l'obiettivo di ridurre il rischio a un livello accettabile:
Eseguire una valutazione e una riduzione dei rischi conforme alla norma EN ISO 12100 come qui descritto:
1.Definire i limiti della macchina.
2.Individuare i pericoli.
3.Stimare il rischio.
4.Valutare il rischio.
5.Ridurre il rischio con:
oprogettazione a sicurezza intrinseca
odispositivi di protezione
oinformazione dell'utente (vedere EN ISO 12100)
6.Configurare le parti dei sistemi di comando legate alla sicurezza (SRP/CS, Safety-Related Parts of the Control System) in un processo iterativo.
Configurate le parti dei sistemi di comando legate alla sicurezza in un processo iterativo come qui descritto:
|
Passo |
Azione |
|---|---|
|
1 |
Identificare le funzioni di sicurezza necessarie eseguite tramite SRP/CS (Safety-Related Parts of the Control System). |
|
2 |
Determinare le proprietà richieste per ogni funzione di sicurezza. |
|
3 |
Determinare il livello di prestazioni richiesto PLr. |
|
4 |
Identificare le parti correlate alla sicurezza che eseguono la funzione di sicurezza. |
|
5 |
Determinare il livello di prestazioni PL delle parti correlate alla sicurezza menzionate sopra. |
|
6 |
Verificare il livello di prestazioni PL per la funzione di sicurezza (PL ≥ PLr). |
|
7 |
Verificare se tutti i requisiti sono stati soddisfatti (convalida). |
Per ulteriori informazioni si rimanda a www.schneider-electric.com.
La norma IEC 61508 definisce 4 livelli di integrità di sicurezza (Safety Integrity Level (SIL)). Il livello di integrità di sicurezza SIL1 è il livello più basso e il livello di integrità di sicurezza SIL4 è quello più alto. Il punto di partenza per determinare il livello di integrità di sicurezza è la valutazione del potenziale di pericolo in base alle analisi dei pericoli e dei rischi. L'analisi permette di stabilire se la catena funzionale interessata richiede una funzione di sicurezza e quale livello di pericolosità potenziale quest'ultima debba coprire.
Average Frequency of a Dangerous Failure per Hour (PFH)
Per la continuità di utilizzo della funzione del sistema rilevante per la sicurezza la norma IEC 61508, a seconda del livello di integrità di sicurezza richiesto (Safety Integrity Level (SIL)), richiede misure differenziate per il controllo come pure per la prevenzione dell'errore. Tutti i componenti di una funzione di sicurezza devono essere sottoposti ad un'analisi di probabilità per valutare l'efficacia delle misure adottate per fronteggiare i guasti. Tale analisi identifica la frequenza media di un guasto pericoloso su scala oraria (Average Frequency of a Dangerous Failure per Hour (PFH)). Si tratta della frequenza su scala oraria che un sistema rilevante per la sicurezza subisca un guasto pericoloso e che la funzione di protezione non possa più essere eseguita correttamente. La frequenza media di un guasto pericoloso su scala oraria in funzione del livello di integrità di sicurezza non deve essere superiore a determinati valori nell'intero sistema rilevante per la sicurezza. I singoli valori PFH di una catena funzionale vengono sommati tra loro. Il valore PFH totale non deve superare il valore massimo prescritto dalla norma.
|
SIL |
PFH con richiesta elevata o continua |
|---|---|
|
4 |
≥10-9 ... <10-8 |
|
3 |
≥10-8 ... <10-7 |
|
2 |
≥10-7 ... <10-6 |
|
1 |
≥10-6 ... <10-5 |
Hardware Fault Tolerance (HFT) e Safe Failure Fraction (SFF)
In funzione del livello di integrità di sicurezza (Safety Integrity Level (SIL)) del sistema rilevante per la sicurezza la norma IEC 61508 esige una determinata tolleranza di errore hardware (Hardware Fault Tolerance (HFT)) in relazione a una determinata percentuale di guasti non pericolosi (Safe Failure Fraction (SFF)). La tolleranza di errore hardware è la capacità di un sistema rilevante per la sicurezza di eseguire la funzione di sicurezza richiesta nonostante la presenza di uno o più errori hardware. La percentuale di guasti non pericolosi di un sistema rilevante per la sicurezza è definita come il rapporto tra la percentuale di guasti non pericolosi e la percentuale di guasto totale di un sistema. In conformità alla norma IEC 61508 la tolleranza di errore hardware e la percentuale di guasti non pericolosi del sistema rilevante per la sicurezza sono considerati fattori che contribuiscono a determinare il livello di integrità di sicurezza massimo raggiungibile da un sistema rilevante per la sicurezza.
Nella norma IEC 61800-5-2 si distinguono due tipi di sottosistema (sottosistema di tipo A, sottosistema di tipo B). Questi tipi sono fissati sulla base di criteri definiti nella norma per i componenti di controllo.
|
SFF |
HFT tipo sottosistema A |
HFT tipo sottosistema A |
||||
|---|---|---|---|---|---|---|
|
|
0 |
1 |
2 |
0 |
1 |
2 |
|
<60 % |
SIL1 |
SIL2 |
SIL3 |
--- |
SIL1 |
SIL2 |
|
60 ... <90 % |
SIL2 |
SIL3 |
SIL4 |
SIL1 |
SIL2 |
SIL3 |
|
90 ... <99 % |
SIL3 |
SIL4 |
SIL4 |
SIL2 |
SIL3 |
SIL4 |
|
≥99 % |
SIL3 |
SIL4 |
SIL4 |
SIL3 |
SIL4 |
SIL4 |
Misure di prevenzione dei guasti
Gli errori sistematici a livello di specifica, di hardware e di software nonché gli errori dovute all'utilizzo o alla scarsa manutenzione del sistema rilevante per la sicurezza devono essere evitati nella misura più ampia possibile. La norma IEC 61508 prescrive a tale proposito una serie di misure preventive da mettere in atto a seconda del livello di integrità di sicurezza da ottenere (Safety Integrity Level (SIL)). Tali misure preventive devono accompagnare l'intero ciclo di vita del sistema rilevante per la sicurezza, ovvero dal momento della concezione al disinserimento del sistema.
Dati per lo schema di manutenzione e i calcoli per la sicurezza funzionale
La funzione di sicurezza deve essere utilizzata e controllata a intervalli regolari. L'intervallo dipende dall'analisi dei rischi dell'intero sistema. L'intervallo minimo è di 1 anno (uso intensivo secondo IEC 61508).
Utilizzare i seguenti dati della funzione di sicurezza STO per lo schema di manutenzione e i calcoli per la sicurezza funzionale:
|
Durata della funzione di sicurezza STO (IEC 61508)(1) |
Anni |
20 |
|
SFF (IEC 61508) Safe Failure Fraction |
% |
90 |
|
HFT (IEC 61508) Hardware Fault Tolerance Tipo sottosistema A |
|
1 |
|
Livello di integrità della sicurezza IEC 61508 IEC 62061 |
|
SIL3 SILCL3 |
|
PFH (IEC 61508) Probability of Dangerous Hardware Failure per Hour |
1/h (FIT) |
1*10-9 (1) |
|
PL (ISO 13849-1) Performance Level |
|
e (categoria 3) |
|
Tempo medio al guastod (ISO 13849-1) Mean Time to Dangerous Failure |
Anni |
>100 |
|
DC (ISO 13849-1) Diagnostic Coverage |
% |
90 |
|
(1) Vedere il capitolo Durata della funzione di sicurezza STO. |
||
Per ulteriori dati consultare il proprio referente Schneider Electric.
I dati per il modulo di sicurezza eSM sono reperibili nel manuale del prodotto.
