Automazione e tecnologie di sicurezza sono due campi strettamente connessi. L'adozione di funzioni e apparecchiature di sicurezza integrate semplifica notevolmente la progettazione, l'installazione e l'utilizzo di soluzioni di automazione complesse.
In generale i requisiti che la tecnologia di sicurezza è chiamata a soddisfare dipendono dal tipo di applicazione. Il livello dei requisiti dipende tra l'altro dal livello di rischio e di pericolosità che l'applicazione comporta e dai requisiti di legge vigenti.
La configurazione delle macchine dal punto di vista della sicurezza ha come obiettivo la protezione delle persone. In macchine con azionamenti regolati elettricamente, il pericolo consiste prima di tutto nelle parti mobili della macchina e nell'energia elettrica stessa.
Solo voi, in quanto utilizzatori, costruttori della macchina o system integrator siete a conoscenza di tutte le condizioni e i fattori inerenti all'installazione, allestimento, funzionamento, riparazione e manutenzione della macchina o del processo. Pertanto solo voi siete in grado di definire la soluzione di automazione, con i relativi dispositivi di sicurezza e bloccaggi, più adatta al vostro impiego e approvarne l'utilizzo.
| AVVERTIMENTO | |
|---|---|
La norma IEC 61508 "Sicurezza funzionale dei sistemi di controllo elettronici/elettrici/programmabili rilevanti per la sicurezza" definisce gli aspetti rilevanti per la sicurezza dei sistemi. Essa non considera esclusivamente singoli moduli funzionali di un sistema rilevante per la sicurezza, bensì considera come unità globale tutti gli elementi di una catena funzionale (a partire, ad esempio, dal sensore per arrivare alle unità di elaborazione elettronica e da queste all'attuatore vero e proprio). Questi elementi devono soddisfare nel loro insieme i requisiti del corrispondente livello di integrità di sicurezza.
La norma IEC 61800-5-2 "Azionamenti elettrici a velocità variabile – Prescrizioni di sicurezza – Sicurezza funzionale" è una norma sui prodotti che definisce i requisiti relativi alla sicurezza degli azionamenti. Tale norma definisce tra l'altro le funzioni di sicurezza degli azionamenti.
È necessario eseguire un'analisi dei pericoli e dei rischi dell'impianto (ad esempio secondo la norma EN ISO 12100 o EN ISO 13849-1), che si basi sulla configurazione e sull'impiego dell'impianto. I risultati di questa analisi dovranno essere considerati durante la progettazione della macchina e il successivo equipaggiamento con dispositivi e funzioni di sicurezza. I risultati della vostra analisi possono differire dagli esempi di utilizzo presentati in questa documentazione o in altri documenti di riferimento. Ad esempio è possibile che siano necessari ulteriori componenti relativi alla sicurezza. In linea di principio i risultati dell'analisi dei pericoli e dei rischi sono prioritari.
| AVVERTIMENTO | |
|---|---|
La norma EN ISO 13849-1 Sicurezza dei macchinari - Parti di sicurezza dei sistemi di controllo - Parte 1: Principi generali per la progettazione descrive un processo iterativo per la selezione e la progettazione di parti di sicurezza dei controller per ridurre il rischio nella macchina a un livello ragionevole.
Eseguire una valutazione e una riduzione dei rischi conforme alla norma EN ISO 12100 come qui descritto:
Definire i limiti della macchina.
Individuare i pericoli.
Stimare il rischio.
Valutare il rischio.
Ridurre il rischio con:
la progettazione
dispositivi di protezione
informazione dell'utente (vedere EN ISO 12100)
Configurare le parti dei sistemi di comando legate alla sicurezza (SRP/CS, Safety-Related Parts of the Control System) in un processo iterativo.
Configurate le parti dei sistemi di comando legate alla sicurezza in un processo iterativo come qui descritto:
|
Passo |
Azione |
|---|---|
|
1 |
Identificare le funzioni di sicurezza necessarie eseguite tramite SRP/CS (Safety-Related Parts of the Control System). |
|
2 |
Determinare le proprietà richieste per ogni funzione di sicurezza. |
|
3 |
Determinare il livello di prestazioni richiesto PLr. |
|
4 |
Identificare le parti correlate alla sicurezza che eseguono la funzione di sicurezza. |
|
5 |
Determinare il livello di prestazioni PL delle parti correlate alla sicurezza menzionate sopra. |
|
6 |
Verificare il livello di prestazioni PL per la funzione di sicurezza (PL ≥ PLr). |
|
7 |
Verificare se tutti i requisiti sono stati soddisfatti (convalida). |
Per ulteriori informazioni si rimanda a https://www.se.com.
La norma IEC 61508 definisce 4 livelli di integrità di sicurezza (Safety Integrity Level (SIL)). Il livello di integrità di sicurezza SIL1 è il livello più basso e il livello di integrità di sicurezza SIL4 è quello più alto. Il punto di partenza per determinare il livello di integrità di sicurezza è la valutazione del potenziale di pericolo in base alle analisi dei pericoli e dei rischi. L'analisi permette di stabilire se la catena funzionale interessata richiede una funzione di sicurezza e quale livello di pericolosità potenziale quest'ultima debba coprire.
Per la continuità di utilizzo della funzione del sistema rilevante per la sicurezza, la norma IEC 61508, a seconda del livello di integrità di sicurezza richiesto (Safety Integrity Level (SIL)), richiede misure differenziate per il controllo come pure per la prevenzione dell'errore. Tutti i componenti di una funzione di sicurezza devono essere sottoposti a un'analisi di probabilità per valutare l'efficacia delle misure adottate per fronteggiare i guasti. Tale analisi identifica la frequenza media di un guasto pericoloso su scala oraria (Average Frequency of a Dangerous Failure per Hour (PFH)). Si tratta della frequenza su scala oraria che un sistema rilevante per la sicurezza subisca un guasto pericoloso e che la funzione di protezione non possa più essere eseguita correttamente. La frequenza media di un guasto pericoloso su scala oraria in funzione del livello di integrità di sicurezza non deve essere superiore a determinati valori nell'intero sistema rilevante per la sicurezza. I singoli valori PFH di una catena funzionale vengono sommati tra loro. Il valore PFH totale non deve superare il valore massimo prescritto dalla norma.
|
SIL |
PFH con richiesta elevata o continua |
|---|---|
|
4 |
≥10-9 ... <10-8 |
|
3 |
≥10-8 ... <10-7 |
|
2 |
≥10-7 ... <10-6 |
|
1 |
≥10-6 ... <10-5 |
In funzione del livello di integrità di sicurezza (Safety Integrity Level (SIL)) del sistema rilevante per la sicurezza, la norma IEC 61508 esige una determinata tolleranza di errore hardware (Hardware Fault Tolerance (HFT)) in relazione a una determinata percentuale di guasti non pericolosi (Safe Failure Fraction (SFF)). La tolleranza di errore hardware è la capacità di un sistema rilevante per la sicurezza di eseguire la funzione di sicurezza richiesta nonostante la presenza di uno o più errori hardware. La percentuale di guasti non pericolosi di un sistema rilevante per la sicurezza è definita come il rapporto tra la percentuale di guasti non pericolosi e la percentuale di guasto totale di un sistema. In conformità alla norma IEC 61508 la tolleranza di errore hardware e la percentuale di guasti non pericolosi del sistema rilevante per la sicurezza sono considerati fattori che contribuiscono a determinare il livello di integrità di sicurezza massimo raggiungibile da un sistema rilevante per la sicurezza.
Nella norma IEC 61800-5-2 si distinguono due tipi di sottosistema (sottosistema di tipo A, sottosistema di tipo B). Questi tipi sono fissati sulla base di criteri definiti nella norma per i componenti di controllo.
|
SFF |
HFT tipo sottosistema A |
HFT tipo sottosistema A |
||||
|---|---|---|---|---|---|---|
|
0 |
1 |
2 |
0 |
1 |
2 |
|
|
<60 % |
SIL1 |
SIL2 |
SIL3 |
--- |
SIL1 |
SIL2 |
|
60 ... <90 % |
SIL2 |
SIL3 |
SIL4 |
SIL1 |
SIL2 |
SIL3 |
|
90 ... <99 % |
SIL3 |
SIL4 |
SIL4 |
SIL2 |
SIL3 |
SIL4 |
|
≥99 % |
SIL3 |
SIL4 |
SIL4 |
SIL3 |
SIL4 |
SIL4 |
Gli errori sistematici a livello di specifica, di hardware e di software nonché gli errori dovute all'utilizzo o alla scarsa manutenzione del sistema rilevante per la sicurezza devono essere evitati nella misura più ampia possibile. La norma IEC 61508 prescrive a tale proposito una serie di misure preventive da mettere in atto a seconda del livello di integrità di sicurezza richiesto (Safety Integrity Level (SIL)). Tali misure preventive devono accompagnare l'intero ciclo di vita del sistema rilevante per la sicurezza, ovvero dal momento della concezione al disinserimento del sistema.
La funzione di sicurezza deve essere utilizzata e controllata a intervalli regolari. L'intervallo dipende dall'analisi dei rischi dell'intero sistema. L'intervallo minimo è di 1 anno (uso intensivo secondo IEC 61508).
Utilizzare i seguenti dati della funzione di sicurezza STO per lo schema di manutenzione e i calcoli per la sicurezza funzionale:
|
Caratteristica |
Unità |
Valore |
|---|---|---|
|
Durata della funzione di sicurezza STO (IEC 61508) |
Anni |
20 Vedere inoltre Durata della funzione di sicurezza STO. |
|
SFF (IEC 61508) Safe Failure Fraction |
% |
90 |
|
HFT (IEC 61508) Hardware Fault Tolerance Tipo sottosistema A |
- |
1 |
|
Livello di integrità di sicurezza IEC 61508 |
- |
SIL3 |
|
Livello di integrità di sicurezza IEC 62061 |
- |
SILCL3 |
|
PFH (IEC 61508) Probability of Dangerous Hardware Failure per Hour |
1/h (FIT) |
1*10-9 (1) |
|
PL (ISO 13849-1) Performance Level |
- |
e (categoria 3) |
|
MTTF (Tempo medio al guasto)d (ISO 13849-1) Mean Time to Dangerous Failure |
- |
Alto (1400 anni) |
|
DC (ISO 13849-1) Diagnostic Coverage |
% |
90 |
Per ulteriori dati consultare il rappresentante Schneider Electric.
I dati per il modulo di sicurezza eSM sono reperibili nel manuale del prodotto.