EN 13849-1 e EN 62061

Ing.
Gianfranco Ceresini
Sistemi di comando per la sicurezza delle macchine

Norma EN IEC 62061
Gianfranco Ceresini
www.elektro.it
Aprile 2011
Ing. Gianfranco Ceresini
Nuova normativa PL e SIL
Entrambe le due nuove norme EN ISO 13849-1 ed EN IEC 62061 possono

essere utilizzate per realizzare sistemi di controllo della sicurezza delle
macchine in conformit alla direttiva macchine.
Presentano nuove classificazioni dei sistemi: la EN ISO 13849-1 utilizza i PL
(Performance Level) mentre la EN 62061 utilizza i SIL (Safety Integrity
Level)
Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061
Le classificazioni PL e SIL possono essere considerate delle varianti dello stesso

tema ed possibile scegliere di utilizzare la norma pi adatta alla propria
applicazione.
In generale, se si ha labitudine allutilizzo delle categorie della norma EN 954-1 e
si utilizzano funzioni di sicurezza convenzionali, la norma EN ISO 13849-1 (PL)
probabilmente la scelta pi adatta per transitare in modo pi soft ai nuovi concetti
statistici.
Se invece, viene specificamente richiesto lutilizzo delle classificazioni SIL o se
lapplicazione utilizza unarchitettura complessa o complesse funzionalit
elettroniche di sicurezza, la norma EN 62061 pi adatta.
La norma EN ISO 13849-1 copre tutte le tecnologie, in particolare copre i
dispositivi elettromeccanici, idraulici, elettronici non complessi ed alcuni
dispositivi elettronici programmabili con strutture predefinite, mentre la norma EN
62061 riguarda solo i sistemi elettrici, elettronici ed elettronici programmabili legati
alla sicurezza.
Tecnologia che realizza la/e

funzione/i di controllo relativa/e
alla sicurezza
ISO 13849-1
IEC 62061
Non elettrica, es. idraulica
Non contemplata
Elettromeccanica, es. rel, o elettronica

non
complessa
Limitata ad architetture
designate (vedere Nota 1) e
fino a PL = e
Tutte le architetture
e fino a SIL 3
Elettronica complessa, es. programmabile
fino a PL = d
e fino a SIL 3
A in combinazione con B
fino a PL = e
X
(vedere Nota 3)
C in combinazione con B
fino a PL = d
e fino a SIL 3
C in combinazione con A, o C in
combinazione con A e B
X
(vedere Nota 2)
X
(vedere Nota 3)
X indica che questa voce trattata nella norma indicata nellintestazione di colonna
NOTA 1: Le architetture designate sono definite nellAllegato B della EN ISO 13849-1 per fornire un approccio semplificato alla
quantificazione dei livelli di prestazione
NOTA 2: Per lelettronica complessa: Utilizzare architetture designate in conformit alla EN ISO 13849-1 fino a PL = d o qualsiasi
architettura conforme alla IEC 62061
NOTA 3: Per la tecnologia non elettrica, utilizzare come sottosistemi parti conformi alla EN ISO 13849-1
La EN 13849-1 ha il grosso vantaggio di permettere di analizzare funzioni di

sicurezza pneumatiche, oleodinamiche, idrauliche o meccaniche
Mentre per i circuiti elettrici, elettronici ed elettronici programmabili legati alla

sicurezza lapplicazione della norma EN 62061 consente di raggiungere qualsiasi
livello di complessit degli stessi, per la norma EN 13849-1 i circuiti elettronici ed
elettronici programmabili complessi legati alla sicurezza possono essere gestiti
dalla norma solo fino ad un PL che al massimo d, segno che per le parti
elettroniche o elettroniche programmabili complesse la norma EN 62061, per
stessa ammissione dei normatori, certamente pi pertinente che non la norma
EN 13849-1
Anzi per i casi nei quali lelettronica complessa e/o con architettura complessa
che non ricade in una di quelle valide per lapplicazione della Norma EN ISO
13849-1, lunica norma applicabile diventa la EN 62061.
Norma EN IEC 62061
La EN IEC 62061 una sintesi

della serie normativa IEC
61508 (composta da sette
fascicoli normativi) che tratta
la problematica relativa alla
sicurezza funzionale di sistemi
elettrici
ed
elettronici
complessi
di
tutte
le
apparecchiature
elettriche
indipendentemente dal loro
settore di applicazione. La EN
62061 in pratica la IEC
61508
adattata
ad
un
particolare settore: quello
delle macchine industriali.
Norma EN IEC 62061
Il campo di applicazione della EN 62061 relativo agli SRECS (Safety Related

Control System) ossia i sistemi di controllo elettrici, elettronici ed elettronici
programmabili relativi alla sicurezza utilizzati per le funzioni di sicurezza del
macchinario.
Questi SCRECS devono essere realizzati, in base allanalisi del rischi della macchina,
conformemente al Livello di Integrit della Sicurezza (SIL) idoneo alla funzione di
sicurezza da essi realizzata.
Le funzioni di sicurezza (definite Safety-Related Control Function, con acronimo
SRCF) sono ad esempio larresto attivato da un dispositivo di protezione
elettrosensibile su una pressa, il blocco di un riparo nel momento in cui
unoperazione pericolosa stata avviata, la prevenzione contro lintrappolamento di
persone, il comando ad azione mantenuta, etc.
La norma EN 62061 stabilisce quindi i requisiti e fornisce indicazioni per la
realizzazione, lintegrazione e la validazione di sistemi di comando e controllo di
sicurezza elettrici, elettronici ed elettronici programmabili (SRECS) per le macchine
e ne prende in considerazione lintero ciclo di vita, dalla progettazione alla
dismissione.
Norma EN IEC 62061
Dopo aver identificato le funzioni di sicurezza (SRCF) mediante lanalisi del

rischio, queste vengono suddivise secondo funzioni di sicurezza pi
elementari chiamati blocchi funzionali (FB) molto pi semplici da progettare.
Ogni blocco funzionale viene specificato in termini di requisiti funzionali
(informazioni in ingresso, elaborazioni logiche interne, tipo di uscita) e
requisiti di sicurezza.
Ai blocchi funzionali sono quindi assegnati circuiti elettrici adatti ad
implementare i requisiti individuati: questi circuiti sono denominati
sottosistemi.
Lidea generale pertanto quella di scomporre un problema complesso
(SRECS che deve risolvere una funzione di sicurezza SRCF) in tanti piccoli
sottoproblemi (i sottosistemi che risolvono le parti di funzione di sicurezza
rappresentate dai blocchi funzionali) pi facilmente risolvibili.
Norma EN IEC 62061
Norma EN IEC 62061
I
sottosistemi
saranno a loro volta
composti
da
componenti elettrici
interconnessi fra di
loro.
I
componenti
elettrici
sono
denominati
elementi
del
sottosistema
Norma EN IEC 62061
Nella realizzazione di sistemi di controllo complessi si segue un processo di questo

tipo: a partire dalle funzioni di sicurezza determinate in seguito all'analisi del rischio
si procede ad una suddivisione in funzioni di sicurezza parziali chiamate blocchi
funzionali, poi ad una correlazione di questi blocchi funzionali con dispositivi reali
chiamati sottosistemi, poi infine ai singoli elementi che compongono i sottosistemi.
I parametri necessari per costruire il processo di riduzione del rischio attraverso i
circuiti di comando di sicurezza sono:
il SIL ossia la probabilit di un buon funzionamento del sistema e il PFHD del

sistema di controllo di sicurezza che dato dalla somma dei singoli valori PFHD
dei sottosistemi;
I parametri per i sottosistemi sono:
le architetture dei circuiti, il SILCL che il SIL di ogni singolo sottosistema,

PFHD ovvero la probabilit di guasti pericolosi/ora, SFF frazione di
guasto/anomalia in sicurezza, T1 ciclo di vita, T2 intervallo di test diagnostico,
suscettibilit ai guasti di causa comune e DC grado di copertura diagnostica;
I parametri per gli elementi dei sottosistemi (dispositivi) sono:
tasso di guasto/anomalia per elementi soggetti ad usura e T1 ciclo di vita
Norma EN IEC 62061 - SIL
Il SIL il livello che deve essere assegnato allo SRECS per specificare i
requisiti di sicurezza delle funzioni di controllo relative alla sicurezza, dove il
livello 3 di sicurezza ha il livello elevato di sicurezza e il livello 1 di sicurezza
ha il pi basso
Maggiore il SIL e minore la probabilit che lo SRECS non esegua la
funzione di sicurezza richiesta. E un parametro che viene espresso in
probabilit media di un guasto pericoloso nellintervallo di unora.
Sono previsti 3 livelli, da SIL1 fino a SIL3 al crescere del rischio, ed ognuno
di essi identifica un ambito numerico di probabilit di guasto pericoloso per
ora.
Livello di Integrit della
Sicurezza (SIL)
Probabilit di un guasto pericoloso per ora

[1/h] (PFHD)
10-8 PFHD < 10-7
10-7 PFHD < 10-6
10-6 PFHD < 10-5
Norma EN IEC 62061 Confronto tra SIL e PL
E possibile effettuare un parallelo (non rigoroso) tra SIL e PL per fornire un

confronto tra i sistemi di analisi della sicurezza delle due norme
Livello della Prestazione (PL)
Livello di Integrit della Sicurezza (SIL)
nessuna corrispondenza
Norma EN IEC 62061 SIL richiesto
SILr (Safety Integrity Level required) rappresenta il livello di resistenza ai guasti che il circuito deve
raggiungere in relazione al rischio specifico da coprire. Gli aspetti da valutare, secondo la norma EN 62061
sono quattro:
la gravit delle lesioni S
la frequenza e/o durata dellesposizione al pericolo F
la probabilit del verificarsi di un evento pericoloso (in pi rispetto alla EN ISO 13849-1) W
la possibilit di evitare o limitare il danno P
Per attestare che un circuito

di sicurezza realizzato
idoneo al caso specifico
occorre verificare che il
SIL ottenuto sia almeno
pari al SILr. In sostanza
il SILr costituisce il livello
minimo da raggiungere.
Norma EN IEC 62061 SILCL
Il SILCL il SIL relativo ad ogni singolo sottosistema (rilevamento rischio,

logica comando, attuazione).
E il SIL massimo che pu essere richiesto per un sottosistema di uno SRECS in
rapporto ai vincoli dellarchitettura e allintegrit sistematica della sicurezza
Il livello SIL che un SRECS completo raggiunge, non pu essere maggiore del
limite pi basso di SIL richiesto di un sottosistema
Il valore del SIL massimo raggiungibile in funzione di 3 elementi
La probabilit di guasti pericolosi del suo hardware

(ossia i guasti dei suoi componenti)
I vincoli dellarchitettura di sistema

(ossia i limiti imposti dallarchitettura del circuito realizzato, ad esempio il singolo canale
piuttosto del doppio, la mancanza di monitoraggio dei guasti, ecc.)
Lintegrit sistematica dei sottosistemi che compongono lo SRECS

(ossia se non sono commessi errori sistematici, cio errori legati al cablaggio, alla
progettazione hardware e sofware, alla riparazione o alla verifica dello SRECS)
PFHD (Probability of Dangerous Failure per Hour) totale
La probabilit di guasti pericolosi PFHD (allora) di un sistema di controllo

elettrico/elettronici relativo alla sicurezza (SRECS) si calcola eseguendo la
somma della probabilit di guasti pericolosi dei singoli sottosistemi che
formano lo SRECS pi la probabilit di errori pericolosi di trasmissione (PTE)
per i processi di comunicazione di dati digitali tra i sottosistemi (ove il caso).
PFHD = PFHD1 + PFHD2 + ......+ PFHDn + PTE
T1 (Lifetime)
Il tempo T1 il valore inferiore tra lintervallo della verifica periodica

(definita proof test) e il ciclo di vita di uno SRECS o di un sottosistema
E lequivalente del Mission time della norma EN 13849-1
Pertanto, si suggerisce che nellattivit di progettazione di uno SRECS si

usi un intervallo della verifica periodica di 20 anni
La verifica periodica consiste in definitiva in una sorta di revisione dello

SRECS che il costruttore dello stesso impone dopo un certo tempo a chi
lutilizza per accertarsi che il sottosistema fornito possa ancora garantire il
raggiungimento delle prestazioni per cui stato costruito
tasso di guasto per i singoli dispositivi
(oppure B10 per i rel) il tasso di guasto di ogni componente elettrico

o elettromeccanico, cio di ogni elemento di un sottosistema. Si desume
da appositi database oppure tramite lallegato D (tabella D1) della norma
EN 62061 o eventualmente anche da altre fonti.
Analizzando lo schema elettrico del sottosistema si stabiliscono per ogni
componente le modalit di guasto e si separano quelle pericolose
(dangerous) da quelle non pericolose (safe)
= S + D
T2 intervallo di test diagnostico per un sottosistema
E lintervallo di tempo tra i test diagnostici e dovrebbe consentire la

rilevazione di unavaria prima del verificarsi di unavaria successiva
suscettibile di portare a un guasto pericoloso del sottosistema e di
superare il valore di guasto da raggiungere
T2 quindi il tempo che intercorre tra due test

Es. Ogni ora viene aperta una protezione
T2 1 volta / h
A+B
suscettibilit ai guasti di causa comune (CCF)
Un guasto per cause comuni definito come il guasto risultante da uno o

pi eventi che provocano guasti coincidenti a due o pi canali separati di un
sottosistema a pi canali (architettura ridondante), e che comporta il guasto
di una SRCF.
Ad esempio in un sistema con due sensori analogici alimentati dalla stessa
fonte di energia, ci sar un CCF dovuto al guasto dellalimentazione
nonostante la ridondanza.
La probabilit del verificarsi del CCF, quando si utilizza unarchitettura
ridondante, dipende da una combinazione di tecnologia, architettura,
applicazione e ambiente e si pu calcolare in base ad un questionario
allallegato F della norma EN 62061
Punteggio totale
Fattore di guasto per cause comuni ()
< 35
10% (0,1)
35 65
5% (0,05)
65 85
2% (0,02)
85 100
1% (0,01)
10
suscettibilit ai guasti di causa comune (CCF) - esempio

N
Prescrizioni per CCF
Punti
Separazione tra i circuiti
25
Diversit/ridondanza (tecnologia, progettazione, principi)
38
Progetto, applicazione, esperienza
Valutazione / analisi
2
18
Competenza / formazione
Influenze ambientali, EMC
18
Punteggio totale
Fattore di guasto per cause comuni ()
< 35
10% (0,1)
35 65
5% (0,05)
65 85
2% (0,02)
85 100
1% (0,01)
SFF (Safe Failure Fraction) di un sottosistema
La frazione del guasto in sicurezza la frazione del tasso di guasto globale

di un sottosistema che non comporta un guasto pericoloso. Conoscendo
s, d, dd (tasso di guasto pericoloso rilevato dalla diagnostica) per ogni
componente possibile calcolare la frazione di guasto in sicurezza del
sottosistema
SFF =
+
+
S
DD
D
SFF = somma dei guasti sicuri e dei guasti

pericolosi rilevati diviso la somma totale dei guasti
11
DC grado di copertura diagnostica
La copertura diagnostica la riduzione della probabilit di guasti pericolosi

allhardware derivanti dal funzionamento degli esami diagnostici automatici:
richiede quindi una reazione al guasto.
Se sono state adottate misure diagnostiche per rilevare i guasti pericolosi, allora
in funzione della efficacia del metodo adottato si ricavano i valori DD (tasso di
guasto pericoloso rilevato dalle funzioni diagnostiche) e DU (tasso di guasto
pericoloso non rilevato dalle funzioni diagnostiche). Dove Dtotal = DD + DU
quindi il tasso totale di guasti pericolosi.
DC =
DD
Dtotal
Differenza tra DC e CCF
Esempio 1: il tasso dei guasti non pericolosi uguale al tasso dei guasti
pericolosi (d = s) e nessun guasto pericoloso viene rilevato dalle funzioni
diagnostiche. Essendo DD = 0, si ha quindi che DC = 0% mentre SFF = 50%.
12
pericolosi (d = s) ma ora la met dei guasti pericolosi viene rilevata dalle
funzioni diagnostiche. Essendo DD = DU, si ha quindi che DC = 50% mentre
SFF = 75%.
pericolosi (d = s) ma ora il 45% dei guasti pericolosi viene rilevata dalle
funzioni diagnostiche. Essendo DU pari ad un decimo dei guasti totali, si ha
quindi che DC = 90% mentre SFF = 95%.
13
Legame tra DC e CCF
Esempi di calcolo di tassi di guasto
Dispositivo di interblocco: se fosse unemergenza la premo e non riesce ad

aprire i contatti un guasto pericoloso, invece se riesco ad aprirlo e nellaprirlo
lo rompo e quindi rimarr sempre aperto, questo un guasto non pericoloso
perch la macchina si fermata.
14
Esempi di calcolo di tassi di guasto
Contattore:
Architetture dei sottosistemi
La norma EN 62061 suggerisce quattro schemi predefiniti per i

sottosistemi e per ognuno di essi fornisce la formula per il calcolo di d
(tasso di guasto pericoloso) e PFHd (probabilit media di guasto
pericoloso entro unora)
15
Sottosistema A: zero tolleranza allavaria senza funzione diagnostica
In questa architettura, qualsiasi guasto pericoloso di un elemento del sottosistema

provoca un guasto alla SRCF. Nellarchitettura A, la probabilit di un guasto
pericoloso del sottosistema la somma delle probabilit di un guasto pericoloso di
tutti gli elementi del sottosistema
DssA = De1 + ...... + Den
PFHDssA = DssA 1h
Singolo canale
Sottosistema B: singola tolleranza allavaria senza funzione diagnostica
Questa architettura tale per cui un singolo guasto di qualsiasi elemento del
sottosistema non causa una perdita della SRCF. Pertanto, dovrebbe verificarsi un
guasto pericoloso in pi di un elemento prima che si verifichi un guasto alla SRCF
DssB = (1 ) 2 De1 De2 T1 + (De1 + De 2 ) / 2
PFHDssB = DssB 1h
Doppio canale senza monitoraggio
16
Sottosistema C: zero tolleranza allavaria con funzione diagnostica
Qualsiasi avaria pericolosa dellelemento di un sottosistema porta a un guasto

pericoloso della SRCF. Quando si rileva unavaria di un elemento del sottosistema,
la o le funzioni diagnostiche avviano una funzione di reazione allavaria
DssC = De1 (1 DC1 ) + .... + Den (1 DC n )
PFHDssC = DssC 1h
Singolo canale con monitoraggio
Sottosistema D: singola tolleranza allavaria con funzione diagnostica
Larchitettura evita che un guasto singolo di qualsiasi elemento del

sottosistema provochi una perdita della SRCF
Doppio canale con monitoraggio
17
Vincoli dellarchitettura sul SIL dei sottosistemi
Il livello di integrit della sicurezza pi elevato che pu essere richiesto per una
SRCF limitato dalla tolleranza allavaria dellhardware e dalle frazioni di guasto
in sicurezza dei sottosistemi che svolgono tale SRCF
Frazione di guasto in
sicurezza (SFF)
Tolleranza allavaria dellhardware (HFT) (Nota 1)

0
< 60 %
Non permesso
(Nota 3)
SIL1
SIL2
60 % - < 90 %
SIL1
SIL2
SIL3
90 % - < 99 %
SIL2
SIL3
SIL3 (Nota 2)
99 %
SIL3
SIL3 (nota 2)
SIL3 (Nota 2)
Nota 1 - Una tolleranza N allavaria dellhardware indica che N+1 avarie possono causare una perdita della
funzione di controllo relativa alla sicurezza.
Nota 2 - Un SILCL 4 non considerato nella norma EN 62061. Per il SIL 4 vedere la IEC 61508-1.
Nota 3 Esiste la seguente eccezione: per un sottosistema con una tolleranza allavaria dellhardware pari a
zero e nel quale le esclusioni delle avarie sono state applicate ad avarie suscettibili di portare a un guasto
pericoloso, il SILCL dovuto ai vincoli dellarchitettura di tale sottosistema vincolato a un massimo di SIL2
Vincoli dellarchitettura sul SIL dei sottosistemi

Nel paragrafo 6.7.6.4 stata inserita una novit con la variante V1 (2008) della EN 62061
18
Relazione tra Categorie di sicurezza e SIL massimo
Quando uno dei sottosistemi conforme a EN ISO 13849-1 questa tabella permette
di definire il SIL massimo ottenibile, e conoscere i corrispondenti HFT e SFF
Categoria
Tolleranza allavaria
dellhardware
(HFT)
Frazione di guasto in
sicurezza
(SFF)
Si ritiene che i sottosistemi con la categoria dichiarata

abbiano le caratteristiche indicate di seguito
Massimo SIL richiesto dai

vincoli dellarchitettura
< 60 %
60 % - < 90 %
SIL1
< 60 %
SIL1
Nota 1
60 % - < 90 %
SIL2
>1
60 % - < 90 %
SIL3 (Nota 3)
> 90 %
SIL3 (Nota 4)
Nota 1 - I casi per le Categorie 1 e 2 dove la SFF < 60 % sono considerati non rilevanti nellambito della ISO 13849-1, e i sottosistemi progettati in
conformit alla ISO 13849-1 realizzano in pratica una SFF superiore al 60 %.
Nota - 2 Il caso per la Categoria 2 dove la SFF > 90 % si ritiene non realizzato dalle prescrizioni di progettazione della ISO 13849-1.
Nota - 3 La copertura diagnostica ritenuta inferiore a 90 % per i sottosistemi della Categoria 4 nei quali si considera una tolleranza maggiore di quella
allavaria singola dellhardware (cio avarie accumulate).
Nota - 4 La Categoria 4 prescrive una SFF superiore a 90 % ma inferiore a 99 % quando si considera la tolleranza allavaria singola dellhardware.
Nota - 5 La Categoria B in conformit alla ISO 13849-1 non considerata sufficiente al raggiungimento di SIL1
Relazione tra Categorie di sicurezza e PFHd
Quando uno dei sottosistemi conforme a EN ISO 13849-1 questa tabella permette
di definire i valori di soglia di PFH, e conoscere i corrispondenti HFT e DC
Tolleranza allavaria
dellhardware
(HFT)
Copertura diagnostica
(DC)
Categoria
Si ritiene che i sottosistemi con la categoria dichiarata
abbiano le caratteristiche indicate di seguito
Valori di soglia (orari) PFHD

che
possono essere richiesti per
il
sottosistema
PFHD (MTTFsottosistema,
Tprova, DC) (Nota 1)
Da fornire a cura del fornitore o
utilizzare dati generici (vedi
0%
60 % - 90 %
10-6
60 % - 90 %
2 x 10-7
>1
60 % - 90 %
3 x 10-8
> 90 %
3 x 10-8
paragrafo seguente)
Nota 1 - Il valore di soglia PFHD una funzione del MTTF del sottosistema (derivato dal costruttore del sottosistema o dai manuali dei dati dei
componenti relativi), del tempo del ciclo di prova/verifica, come indicato nella specifica delle prescrizioni di sicurezza (tale informazione richiesta inoltre
per la validazione del sottosistema in conformit con 3.5 della ISO 13849-2), e della copertura diagnostica, come indicato nella presente tabella (questi
valori si basano sulle prescrizioni delle categorie descritte nella ISO 13849-1).
Nota - 2 La Categoria B secondo la ISO 13849-1 non pu essere considerata sufficiente a raggiungere SIL 1.
19
Progettazione: come si calcola il SIL
Il costruttore di macchine che

ne
intenda
verificare
la
sicurezza dovr seguire un
metodo progettuale che si
snoda attraverso un processo
iterativo articolato in alcuni
passi
Progettazione 1 - Definizione dei requisiti delle funzioni di sicurezza
In questa fase vengono stabilite le caratteristiche per ogni funzione di sicurezza.

Per ogni funzione di sicurezza il progettista decide il contributo alla riduzione del
rischio che essa deve fornire.
Questo contributo non copre il rischio complessivo della macchina, (ad esempio
il rischio globale di una pressa o di un sistema di cambio pallet automatico), ma
solo quella parte della riduzione del rischio che deriva dalla applicazione di
quella particolare funzione di sicurezza.
Questo primo passo della progettazione sicuramente il pi delicato,
difficoltoso ed importante poich le scelta su come realizzare la funzione di
sicurezza comporta una reazione a catena (positiva o negativa in base alle
scelte effettuate) su tutte le altre fasi della progettazione.
La norma EN 62061 definisce la funzione di sicurezza come la funzione di una
macchina il cui guasto pu provocare un immediato aumento del o dei rischi.
20
Progettazione 2 - Assegnazione del SIL richiesto
Lallegato A della EN 62061 contiene un approccio qualitativo per la stima dei

rischi e lassegnazione del SIL applicabile alle SRCF per la macchina, in
pratica per determinare il SIL richiesto (SILr).
Nellindicazione dei pericoli, vanno compresi quelli derivanti da un ragionevole
e prevedibile uso improprio, di cui si devono ridurre i rischi realizzando una
SRCF. La stima del rischio dovrebbe essere condotta per ogni pericolo,
determinando i parametri di rischio
Progettazione 2 - Assegnazione del SIL richiesto Parametro Se
Conseguenze
Gravit (Se)
Irreversibile: morte, perdita di un occhio o di un braccio
Irreversibile: rottura di uno o pi arti, perdita di uno o pi dita
Reversibile: richiede lintervento di un medico
Reversibile: richiede le cure di un pronto soccorso
21
Progettazione 2 - Assegnazione del SIL richiesto Parametro Fr

Frequenza e durata dellesposizione (Fr)
Frequenza dellesposizione
Durata > 10 min *
1h
Da > 1 h a 1 giorno
Da > 1 giorno a 2 settimane
Da > 2 settimane a 1 anno
> 1 anno
Quando la durata inferiore a 10 min, il valore pu essere ridotto al livello

successivo. Questo non si applica a frequenze di esposizione 1 h, che non
dovrebbero essere mai ridotte.
Progettazione 2 - Assegnazione del SIL richiesto Parametro Pr

Probabilit dellevento pericoloso
Probabilit (Pr)
Molto alta
Probabile
Possibile
Scarsa
Trascurabile
Questo parametro pu essere stimato considerando:
Prevedibilit del comportamento delle parti costitutive della macchina relative al

pericolo in diverse modalit duso (es., funzionamento normale, manutenzione,
ricerca guasti). Questo richiede unattenta considerazione del sistema di controllo,
soprattutto per quanto riguarda il rischio di avvio inatteso. Non prendere in
considerazione leffetto protettivo di qualsiasi SRECS. Questo necessario per stimare
lentit del rischio a cui si viene esposti in caso di guasto allo SRECS. In generale,
bisogna considerare se la macchina o il materiale in lavorazione tende ad agire in
modo inaspettato. Il comportamento della macchina varia da molto prevedibile a
imprevedibile, ma eventi inattesi non possono essere esclusi.
22
Progettazione 2 - Assegnazione del SIL richiesto Parametro Pr

Probabilit dellevento pericoloso
Probabilit (Pr)
Molto alta
Probabile
Possibile
Scarsa
Trascurabile
Questo parametro pu essere stimato considerando:
Le caratteristiche specificate o prevedibili del comportamento umano relative

allinterazione con le parti componenti della macchina relative al pericolo. Questo pu
essere caratterizzato da:
sollecitazioni (es., dovute a vincoli temporali, compiti di lavoro, percezione della

limitazione del danno), e/o
scarsa conoscenza delle informazioni relative al pericolo. Questo influenzato da

fattori quali capacit, formazione, esperienza e complessit della
macchina/processo.
Progettazione 2 - Assegnazione del SIL richiesto Parametri Av e Cl

Probabilit di evitare o limitare il danno (Av)
Impossibile
Scarsa
Probabile
Questo parametro pu essere stimato tenendo conto degli aspetti dei progetti della macchina e
dellapplicazione prevista che possono contribuire a limitare o evitare il danno derivante da un
pericolo, ad esempio:
insorgenza improvvisa, ad alta o bassa velocit, dellevento pericoloso;
possibilit spaziale di sottrarsi al pericolo;
natura del componente o del sistema, per esempio un coltello generalmente affilato, un tubo
in una latteria generalmente caldo, lelettricit generalmente pericolosa per sua natura, ma
invisibile; e
possibilit di riconoscere un pericolo, per esempio un rischio elettrico: una sbarra di rame non
cambia aspetto se in tensione o no; per accorgersene necessario uno strumento per
stabilire se unapparecchiatura elettrica energizzata o no; le condizioni ambientali, per
esempio, elevati livelli di rumore, possono impedire a una persona di sentire lavviamento di
una macchina.
Sommando i punteggi di Fr, Pr e Av si ottiene la classe della probabilit del danno Cl
23
Progettazione 2 - Assegnazione del SIL richiesto
Utilizzando la tabella seguente, il punto di intersezione tra la riga della gravit

(Se) e la relativa colonna (Cl) indica se necessaria unazione. La zona nera
indica il SIL assegnato come obiettivo per la SRCF. Le zone di colore pi
chiaro dovrebbero essere utilizzate come raccomandazione per luso di altre
misure (OM)
Ad esempio per un pericolo specifico con una Se assegnata di 3, una Fr di 4,
una Pr di 5 e una Av di 5, si ottiene Cl = Fr + Pr + Av = 4 + 5 + 5 = 14.
Utilizzando la tabella, questo porterebbe lassegnazione di un SIL 3 alla SRCF
destinata a mitigare questo pericolo specifico.
Progettazione 3 Progettazione dellarchitettura di controllo
Una volta individuato il SIL necessario per la nostra funzione di sicurezza

necessario scomporre la funzione in blocchi funzionali FB.
Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemi
che realizzeranno i blocchi funzionali individuando una possibile configurazione
elettrica.
Per ogni sottosistema si calcola la probabilit di guasti pericolosi allora PFHD.
24
Progettazione 4 - Determinazione del SIL massimo raggiungibile
Il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza

(SRESC) sar sempre inferiore o pari al valore pi basso dei SIL massimi
raggiungibili per quanto riguarda lintegrit sistematica della sicurezza e i vincoli
dellarchitettura di ognuno dei sottosistemi che lo costituiscono.
Esempio in cui un PFHD di 5,22x10-7 corrisponde ad un SIL 2 per lo SRECS
realizzato
Progettazione 5 - Verifica
In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SIL
assegnato (SILr richiesto) stabilito dalla valutazione del rischio al passo 2.
Se la verifica positiva il progetto prosegue alla fase successiva, mentre se
negativa bisogna riprogettare il circuito (ripartendo dal punto 3) cambiando
architettura o cambiando i componenti con altri aventi migliori caratteristiche
25
Progettazione 6 - Validazione e manutenzione
La progettazione di una funzione di comando e controllo di sicurezza deve essere

validata. La validazione deve dimostrare che la combinazione di ciascuna funzione di
sicurezza dei dispositivi di sicurezza soddisfa i requisiti relativi.
Ogni SRCF indicata nella specifica delle prescrizioni dello SRECS e tutte le procedure
di funzionamento e di manutenzione dello SRECS devono essere validate mediante
collaudi e/o analisi.
Deve essere prodotta una documentazione adeguata della validazione della sicurezza
dello SRECS, che deve dichiarare per ogni SRCF:
la versione del piano di validazione di sicurezza dello SRECS utilizzato e la

versione dello SRECS provato;
la SRCF in prova (o in analisi), nonch il riferimento specifico alla prescrizione

specificata durante la pianificazione della validazione di sicurezza dello SRECS;
strumenti e apparecchiature utilizzate e dati di taratura;
risultati di ogni prova;
discrepanze tra risultati previsti ed effettivi.
Esempio di progettazione macchina cartonatrice
Si deve realizzare un sistema di carico/scarico di una macchina cartonatrice alla

quale si vuole asservire un robot A in ingresso per il carico del materiale e un
robot B in uscita per lo scarico del materiale confezionato
Lobiettivo controllare la zona di carico/scarico in modo che sia in fase di

produzione che di manutenzione e/o pulizia le persone che si avvicinano non
subiscano danno
26
Esempio di progettazione Ciclo di lavoro della macchina
Loperatore porta con un carrello i pezzi in lavorazione vicino al robot A e attiva il

ciclo automatico di lavorazione. Il robot B prende i pezzi lavorati e li posizione in
un altro carrello. A fine ciclo loperatore preleva i pezzi lavorati dal carrello vicino al
robot B.
La macchina completamente protetta ed ingresso e uscita con tunnel in
conformit alla Norma EN 953 Sicurezza del macchinario - Ripari - Requisiti
generali per la progettazione e la costruzione di ripari fissi e mobili per cui le
persone non riescono ad accedere alle parti pericolose interne alla macchina, ma
problemi potrebbero sorgere se il nastro trasportatore in ingresso in movimento
quando le persone sono nelle sue vicinanze
Terminata la lavorazione la macchina si arresta automaticamente in attesa di un
nuovo caricamento ed un nuovo start.
Esempio di progettazione Analisi del rischio della macchina
Il nastro della macchina pericoloso in quanto se non arrestato quando una

persona nelle vicinanze con il braccio del robot che la stringe verso il nastro
potrebbe causargli lesioni se il movimento del nastro non viene arrestato. Si
identificano due zone pericolose:
- Zona prossima al robot A e zona nastro ingresso macchina chiamata zona DZ1
in cui esistono i rischi di urto e schiacciamento con possibili conseguenze
mortali
- Zona prossima al robot B e zona nastro uscita macchina chiamata zona DZ2 in
cui esistono i rischi di urto e schiacciamento con possibili conseguenze mortali
27
Esempio di progettazione Riduzione del rischio della macchina
I rischi associati ai pericoli individuati non sono accettabili e quindi sono da ridurre
mediante dispositivi di protezione gestiti da sistemi di sicurezza
Il posizionamento dei dispositivi di protezione viene stabilito, in base alla norma
EN 13855, in funzione della velocit di avvicinamento del corpo umano, oltre che
del tempo di arresto degli organi pericolosi e del tempo di risposta del segnale di
rilevamento e della catena elettrica/elettronica che attiva larresto degli organi
pericolosi.
Lestensione della zona si supponga di almeno 2 m dalle zone pericolose protette
attraverso lutilizzo di tappeti sensibili a protezione della zona limitrofa a ciascun
robot e la parte di nastro da essi servita
Esempio di progettazione Funzioni di sicurezza (SRCF) individuate
Vengono individuate due funzioni di sicurezza uguali

SRCF1: Se una persona si avvicina alla zona DZ1 del robot A o al nastro della
macchina, il robot A ed il nastro si devono arrestare
SRCF2: Se una persona si avvicina alla zona DZ2 del robot B o al nastro della
macchina, il robot B ed il nastro si devono arrestare
Per realizzare le funzioni di sicurezza a controllo delle zone pericolose DZ1 e DZ2 si
sceglie un sistema costituito da due gruppi di tappeti sensibili (uno per la zona A e
laltro per la zona B) completi della propria elettronica di controllo che fornisce come
segnali di sicurezza due contatti elettromeccanici che sono inviati allingresso di un
configuratore (o un PLC) per applicazioni di sicurezza il quale a sua volta produce
segnali di uscita che:
Arrestano il Robot A diseccitando due contattori che tolgono la potenza al robot A
Arrestano il Robot B diseccitando due contattori che tolgono la potenza al robot B
Arrestano il variatore di velocit che movimenta il motore del nastro agendo su un

suo ingresso di sicurezza (Power removal) per il quale certificata la funzione di
sicurezza almeno in SIL2
28
Esempio di progettazione Determinazione del SIL richiesto
Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare il
SIL attraverso lallegato A della norma EN 62061
La gravit del danno pu essere un danno irreversibile grave: Se = 4
La frequenza e durata dellesposizione di accesso alle zone di 1 volta allora

per 5 minuti per lavoro o pulizia: Fr = 4
La probabilit dellevento pericolo possibile a causa della possibilit di errore

umano: Pr = 3
La probabilit di evitare il pericolo esiste a causa dei movimenti lenti di robot e

nastro: Av = 3
La classe Cl = Fr + Pr + Av = 10
Esempio di progettazione Struttura della funzione di sicurezza SRCF1
Poich richiesto il SIL2, la struttura della funzione di sicurezza potrebbe essere la

seguente, dove il SILCL di ogni sottosistema non pu essere inferiore a 2
La funzione SRCF1 scomponibile in 4 blocchi funzionali FB
29
Esempio di progettazione Funzione scomposta in sottosistemi
A ciascun blocco funzionale si associa un sottosistema SS

I sottosistemi SS1, SS2 ed SS4 hanno le funzioni diagnostiche D incorporate,
mentre per il sottosistema SS3 costituito dai 2 contattori che arrestano il robot A,
le funzioni diagnostiche a controllo dellincollamento dei contatti dei contattori sono
gestite dal configuratore o PLC di sicurezza
Esempio di progettazione Elementi dei sottosistemi
Ciascuno dei due contattori che a loro volta fanno parte del sottosistema SS3
sono elementi del sottosistema SS3 che rispettivamente sono identificati con
SSE3.l ed SSE3.2
30
Esempio di progettazione Dati dei costruttori
SS1 ===> tappeto sensibile con elettronica dedicata: PFHD tappeto = 4 x10-7 (SIL 2)
SS2 ===> Elettronica configurabile: PFHD conf. = 2 x10-8 (SIL 3)
SS4 ===> Variatore di velocit movimento nastro: PFHD var. = 1,5 x10-8 (SIL 3)
SS3 ===> Sistema di contattori per arresto robot A: da calcolare con analisi
Esempio di progettazione Analisi del sottosistema 3
Occorre determinare se il sottosistema SS3 in grado di arrivare per come viene realizzato al SILcl 2 ed
a tale scopo possibile utilizzare la tabella 5 della Norma EN 62061 nella quale in base alla tolleranza
allavaria dellhardware HFT e alla frazione del guasto in sicurezza SFF possibile stabilire subito se il
sottosistema che si deve costruire sar in grado di raggiungere il SIL necessario per lapplicazione
specifica
Il parametro HFT rappresenta il numero di guasti che il sottosistema pu avere senza che questi
comportino la perdita della funzione di sicurezza e nel caso specifico dei due contattori utilizzati per il
sottosistema SS3 tale valore HFT=1 in quanto se un contattore si guasta in modo pericoloso
(tipicamente si incolla) latro permette ancora di arrestare il robot
Per poter utilizzare il sottosistema SS3 nella SRCF1, per ottenere almeno SILcl = 2 con HFT = 1
necessario che il sottosistema SS3 abbia almeno una SFF superiore al 60%.
Frazione di
guasto in
sicurezza
(SFF)
Tolleranza allavaria dellhardware (HFT)

0
< 60 %
Non permesso
SIL1
SIL2
60 % - < 90 %
SIL1
SIL2
SIL3
90 % - < 99 %
SIL2
SIL3
SIL3
99 %
SIL3
SIL3
SIL3
31
Il sottosistema SS3 riconoscibile nel modello sottosistema D
D =
1
MTTF
=
D
1
= 1, 54 10 81 / h
7386 anni 8760 h / anno
Poich stato assunto che i guasti pericolosi siano il 50% dei guasti totali, risulta
che
S = D = 1, 54 10 81 / h
Dalla norma IEC 61508-2 nellallegato A tabella A.2 si determina che la tecnica del
controllo dellincollaggio dei contatti di contattori con contatti legati porta ad avere
una copertura diagnostica DC=99%
DD = D DC = 1,54108 0,99 = 1,521081/ h
Calcolo del parametro SFF
SFF =
+
+
S
DD
= 0,993
32
Resta ora solo il calcolo del tasso di guasti pericolosi del sottosistema SS3.
Poich un sottosistema tipo D rispetto a quelli previsti nella Norma EN
62061, il calcolo del valore del tasso di guasto pericoloso si calcola con la
formula del sottosistema tipo D
{[
DssD = (1 ) 2 De 2 2 DC T2 / 2 + De 2 (1 DC ) T1} + De
PFHDssD = DssD 1h
I dati che ancora mancano sono T1 (che si assume pari a 20 anni), T2 (che
vale 1 ora perch ad ogni accesso alla zona pericolosa si effettua la prova
diagnostica per verificare il buon funzionamento del sottosistema SS3) e
che determinabile in base alle indicazioni dellallegato F della Norma EN
62061.
Voce
Ing. Gianfranco
Riferime Ceresini
Punteg
nto
gio
Esempio di progettazione Analisi del sottosistema 3 calcolo di
Separazione/segregazione
I cavi di segnale dello SRECS per i singoli canali percorrono vie separate dagli altri canali in tutte le posizioni, oppure sono sufficientemente schermati?
1a
SI
Quando vengono utilizzate informazioni di codifica/decodifica, sono sufficienti al rilevamento degli errori di trasmissione dei segnali?
1b
SI
10
I cavi di segnale dello SRECS e i cavi elettrici di potenza sono separati in tutte le posizioni, oppure sono sufficientemente schermati ?
SI
Se elementi del sottosistema possono contribuire a un CCF, sono forniti come dispositivi fisicamente separati in involucri autonomi ?
NO
Diversit/ridondanza
Il sottosistema usa tecnologie elettriche diverse, per esempio, una elettronica o elettronica programmabile e laltra con un rel elettromeccanico ?
NO
Il sottosistema usa elementi che utilizzano principi fisici diversi (es., sensori a una porta di protezione che utilizzano tecniche meccaniche e magnetiche)
?
NO
10
Il sottosistema usa elementi con differenze temporali nelle operazioni funzionali e/o nelle modalit di guasto ?
NO
10
Gli elementi del sottosistema hanno intervallo diagnostico di prova 1 min ?
NO
10
SI
Sono stati esaminati i risultati delle modalit di guasto e lanalisi degli effetti per stabilire fonti di guasti per cause comuni, e sono state eliminate
mediante la progettazione le fonti di guasti per cause comuni predeterminate ?
SI
I guasti in campo sono analizzati con una retroazione alla progettazione ?
10
SI
11
SI
Gli elementi del sottosistema tendono a funzionare sempre nel campo delle temperature, umidit, corrosione, polvere, vibrazione, ecc., nel quale sono
stati provati senza luso di controlli ambientali esterni ?
12
SI
Il sottosistema immune alle influenze negative delle interferenze elettromagnetiche fino ai limiti specificati nellAllegato E compresi ?
13
SI
Complessit/progetto/applicazione
evitata linterconnessione tra canali del sottosistema con leccezione di quella utilizzata per scopi diagnostici ?
Valutazione/analisi
Competenza/formazione
I progettisti del sottosistema comprendono le cause e le conseguenze dei guasti per cause comuni ?
Controllo ambientale
TOTALE = 62 da cui = 0,05
33
E possibile ora calcolare DSS3 = 7,7 x 10-10 1/h, da cui
PFHDss3 = Dss3 1h = 7,7 1010
Questa probabilit di guasto corrisponde a SIL3
Livello di Integrit della Sicurezza

(SIL)
Probabilit di un guasto pericoloso per ora [1/h]

(PFHD)
10-8 PFHD < 10-7
10-7 PFHD < 10-6
10-6 PFHD < 10-5
Esempio di progettazione Valutazione del SIL complessivo
SS1 ==> tappeto sensibile con elettronica dedicata: PFHD tappeto = 4 x10-7 (SIL 2)
SS2 ==> Elettronica configurabile: PFHD conf. = 2 x10-8 (SIL 3)
SS4 ==> Variatore di velocit movimento nastro: PFHD var. = 1,5 x10-8 (SIL 3)
SS3 ==> Sistema di contattori per arresto robot A: PFHD cont. = 7,7 x10-10 (SIL 3)
Di conseguenza risulta che il PFHD dellintero sistema di controllo relativo alla

sicurezza SRESC1 :
PFHD SRECS1= PFHD tappeto + PFHD conf.+ PFHD var+ PFHD cont.+ Pte = 4 x10-7
+ 2 x10-8 + 1,5 x10-8 + 7,70 x10-10 + 0 = 4,357 x10-7 => SIL 2 pari a quello
richiesto: il controllo idoneo la funzione di sicurezza richiesta
Nel caso specifico Pte= 0 in quanto i sottosistemi dello SRECS non sono collegati tra
loro mediante comunicazioni di tipo digitale.
34
Esempio di progettazione macchina pulitrice
In una macchina pulitrice metalli la zona interna di pulitura con liquido accessibile
attraverso uno sportello; allinterno dello sportello si trova un ugello che spruzza il
liquido di pulizia sul metallo ad una velocit impostabile agendo con un variatore di
velocit che a sua volta cambia la velocit della pompa che spruzza il liquido sul
metallo.
Lobiettivo controllare la zona di pulizia (che si identifica con DZ1) in modo che
durante le fasi di produzione e le altre fasi di macchina (ad es. manutenzione) le
persone che vi accedono non subiscano danno
Esempio di progettazione Ciclo di lavoro della macchina
Loperatore apre lo sportello della zona di pulizia e posiziona il metallo da pulire
Loperatore chiude lo sportello e attiva premendo un pulsante il ciclo automatico di

pulizia che dura per il tempo impostato e con la velocit di spruzzo impostata sul
sistema di comando e controllo
La macchina completamente protetta nella zona dello sportello ed il pericolo si

presenta solo allapertura di tale sportello
Terminato il ciclo impostato la pompa si arresta automaticamente e loperatore

apre lo sportello prelevando il metallo pulito
35
Esempio di progettazione Analisi del rischio della macchina
Si identifica come zona pericolosa la parte interna allo sportello della zona
pulizia metalli della macchina denominata zona DZ1
Alla zona pericolosa DZ1 sono associati possibili danni originati dal pericolo di
schizzi di fluidi con conseguenza di possibile irritazione al volto e tronco con
potenziale danno reversibile
Esempio di progettazione Riduzione del rischio della macchina
I danni associati ai pericoli sopra individuati non sono accettabili e quindi sono da
ridurre mediante dispositivi di protezione
Al fine del controllo della zona pericolosa si sceglie di interbloccare mediante un

circuito di sicurezza lapertura dello sportello in modo che allapertura dello stesso
la pompa del fluido di pulizia si arresti
36
Esempio di progettazione Funzione di sicurezza (SRCF) individuata
Si individua la seguente funzione di sicurezza:
SRF1: allapertura dello sportello la pompa del fluido entro la zona DZ1 si deve
arrestare e non deve avviarsi quando lo sportello aperto
Esempio di progettazione Determinazione del SIL richiesto
Non essendoci norme di tipo C per questo tipo di macchina, occorre determinare il
SIL attraverso lallegato A della norma EN 62061
La gravit del danno pu essere reversibile con un intervento medico: Se = 2
La frequenza e durata dellesposizione di accesso alle zone di 1 volta ogni 3 ore

per 5 minuti per lavoro o pulizia: Fr = 4
La probabilit dellevento pericolo bassa a causa della preparazione degli

operatori: Pr = 2
La probabilit di evitare il pericolo scarsa perch il lubrificante schizza

velocemente: Av = 5
La classe Cl = Fr + Pr + Av = 11
37
Esempio di progettazione Struttura della funzione di sicurezza SRCF1
Poich richiesto il SIL1, la struttura della funzione di sicurezza potrebbe

essere la seguente
La funzione SRCF1 scomponibile in 3 blocchi funzionali FB
A ciascun blocco funzionale si associa un sottosistema SS per realizzare la funzione

di sicurezza
un sottosistema SS1 costituito da un sensore magnetico per applicazioni di

sicurezza garantito SIL 2 dal suo costruttore
un sottosistema SS2 costituito dalla elettronica di controllo del sensore

magnetico per applicazioni di sicurezza che fornisce come segnali di sicurezza
una uscita di sicurezza elettronica garantita SIL 2 dal suo costruttore
un sottosistema SS3 costituito da un variatore di velocit che movimenta il

motore della pompa la quale arrestata dalluscita di sicurezza del sottosistema
SS2 che a sua volta agisce su un ingresso di sicurezza (Power removal) del
variatore di velocit per il quale il suo costruttore certifica tale funzione di
sicurezza in SIL 3
I sottosistemi SS2, SS3 hanno le funzioni diagnostiche D incorporate, mentre per il
sottosistema SS1 le funzioni diagnostiche a controllo del corretto funzionamento del
dispositivo magnetico sono gestite dalla elettronica del sottosistema SS2
38
Esempio di progettazione Dati dei costruttori
SS1 => interruttore magnetico per applicazioni di sicurezza: PFHD sensore = 8 x10-7 (SIL 2)
SS2 => Elettronica di controllo: PFHD elettronica. = 2,5 x10-7 (SIL 2)
SS3 => Funzione Power removal variatore di velocit: PFHD var. = 1,5 x10-8 (SIL 3)
39
Esempio di progettazione Valutazione del SIL complessivo
Risulta che il PFHD dellintero sistema di controllo relativo alla sicurezza SRESC1 :
PFHD SRECS1= PFHD sensore + PFHD elettronica+ PFHD var+ Pte = 8 x10-7 + 2,5
x10-7 + 1,5 x10-8 + 0 = 1,065 x 10-6 => SIL 1 pari a quello richiesto: il controllo
idoneo la funzione di sicurezza richiesta
Nel caso specifico Pte= 0 in quanto i sottosistemi dello SRECS non sono collegati tra
loro mediante comunicazioni di tipo digitale.
Esempio di progettazione fermo a seguito apertura riparo
Lesempio prende in considerazione una funzione di interruzione dellalimentazione di

un motore successiva allapertura di un riparo.
Se la funzione fallisce si verifica la perdita dello stato sicuro con possibilit di

infortunio grave delloperatore (rottura del braccio o amputazione di un dito).
40
Esempio di progettazione assegnazione del SIL richiesto
Nellesempio abbiamo un grado di gravit (Se) 3 poich esiste il rischio di

amputazione di un dito; questo valore indicato nella prima colonna della tabella.
Successivamente occorre sommare tra loro tutti gli altri parametri per scegliere una
delle classi (colonne verticali della tabella). In tal modo otterremo:
Fr = 5 accesso pi volte al giorno per pi di 10 minuti

Pr = 4 evento pericoloso probabile
Av = 3 probabilit di evitare il danno quasi impossibile
Di conseguenza avremo una classe CI = 5 + 4 + 3 = 12

Il sistema elettrico di controllo relativo alla sicurezza (SRECS) della macchina deve
realizzare questa funzione con un livello di integrit SIL 2.
Esempio di progettazione suddivisione in blocchi funzionali
Un blocco funzionale (FB) il risultato di una scomposizione dettagliata della

funzione relativa alla sicurezza.
La struttura del blocco funzionale mostra il concetto iniziale dellarchitettura dello
SRECS.
I requisiti di sicurezza di ogni blocco derivano dalla specifica dei requisiti di sicurezza
della funzione di controllo relativa alla sicurezza.
41
Esempio di progettazione assegnare i blocchi funzionaliai sottosistemi
Ciascun blocco funzionale viene assegnato ad un sottosistema dellarchitettura del

sistema SRECS.
Se un sottosistema si guasta si ha il mancato funzionamento della funzione di
controllo relativa alla sicurezza.
Ogni sottosistema pu comprendere elementi del sottosistema e, se necessario,
funzioni di diagnostica per assicurare che i guasti possano essere rilevati per
consentire di intraprendere unazione immediata corretta.
Esempio di progettazione selezione dei componenti di ogni sottosistema
Vengono scelti questi prodotti. La durata del ciclo nellesempio di 450 secondi, il ciclo di azionamento
C di 8 manovre allora: la protezione verr quindi aperta 8 volte allora (test diagnostico T2)
42
Esempio di progettazione progettazione della diagnostica
Il SIL raggiunto dal sottosistema non dipende solamente dai componenti ma anche
dallarchitettura scelta. Nellesempio sceglieremo architetture B per le uscite a
contattore e D per i finecorsa.
In questa architettura il modulo logico di sicurezza esegue lautodiagnostica e
verifica anche i finecorsa. Vi sono tre sottosistemi per i quali determinare il SILCL
(SIL Claim Limits):
SS1: due finecorsa in un sottosistema con architettura di tipo D (ridondante);
SS2 di sicurezza: un modulo logico SILCL 3 (scelto in base ai dati, incluso il PFHD, ,
forniti dal costruttore);
SS3: due contattori utilizzati in associazione con unarchitettura tipo B (ridondante
senza feedback)
43
Esempio di progettazione calcolo PFHd dei contattori
Per unarchitettura di tipo B (a prova di guasto singolo senza diagnostica) la probabilit

di guasto pericoloso del sottosistema :
DssB = (1 ) 2 De1 De 2 T1 + (De1 + De 2 ) / 2
PFHDssB = DssB 1h
44
Esempio di progettazione calcolo PFHd dei finecorsa
Si sceglie unarchitettura tipo D a prova di guasto singolo con funzione di diagnostica.
Esempio di progettazione verifica finale
45
Esempio di progettazione emergenza + apertura riparo

Questo esempio di funzione di sicurezza descrive il monitoraggio di un apparecchio di
comando per arresto d'emergenza (funzione 1) e di un dispositivo di protezione di
separazione sotto forma di una porta di protezione (funzione 2): in questi casi si tratta di
monitorare l'accesso non autorizzato a zone dell'impianto e di impedire una funzione
pericolosa della macchina quando il dispositivo di protezione viene aperto.
Funzione di sicurezza SF1 : l'apparecchio di comando per arresto d'emergenza con contatti
ad apertura forzata viene monitorato dall'F-Link mediante l'S7-416F. Se si aziona l'arresto
d'emergenza, i contattori Q1 e Q2 a valle vengono disinseriti con guida obbligata. Prima
della riattivazione o della conferma dell'arresto d'emergenza mediante il pulsante di
avviamento si controlla che il contatto dell'apparecchio di comando per arresto
d'emergenza sia chiuso ed entrambi i contattori siano disinseriti. SIL richiesto = 3
Funzione di sicurezza SF2: anche la porta di protezione viene monitorata con due
interruttori di posizionamento con contatti ad apertura forzata mediante l'F-Link tramite
l'S7-416F. Se si apre la porta di protezione, i contattori Q1 e Q2 a valle vengono disinseriti
con guida obbligata. Se la porta di protezione viene chiusa, viene eseguito un avvio
automatico dopo la verifica degli interruttori di posizionamento e dei contattori a valle. SIL
richiesto = 3.
46

Dati della parte della logica, che comune ad entrambe le funzioni di sicurezza

Dati dei componenti soggetti a usura per la funzione di sicurezza SF1
47

Verifica del soddisfacimento del livello SIL richiesto per funzione SF1
SIL effettivo = SIL richiesto

Dati dei componenti soggetti a usura per la funzione di sicurezza SF2
48

Verifica del soddisfacimento del livello SIL richiesto per funzione SF2
SIL effettivo = SIL richiesto
Esempio di progettazione pressa per cuscinetti

Individuazione della funzione di sicurezza
Si ha una pressa per cuscinetti in cui il movimento del cilindro deve essere fermato
quando il campo protetto della barriera viene interrotto.
49

Assegnazione del SIL
La gravit della lesione pu essere irreversibile (Se = 3), la frequenza di esposizione al
rischio due, tre volte al giorno per pi di 10 minuti (Fr = 5), la probabilit del
verificarsi di un evento pericolo possibile (Pr = 3) ed esiste la possibilit da parte
delloperatore di limitare il danno (Av = 3).
Si ottiene una classe di probabilit del danno pari a Cl = Fr + Pr + Av = 5 + 3 + 3 = 11.
Ne risulta un SILr = 2.

Progettazione dellarchitettura di controllo
Una volta individuato il SIL necessario per la nostra funzione di sicurezza, che in questo
caso vale 2, necessario scomporre la funzione in blocchi funzionali FB (in figura si
nota che i collegamenti tra i blocchi funzionali, e quindi tra i sottosistemi, non sono di
tipo digitale).
Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemi che
realizzeranno i blocchi funzionali individuando una possibile configurazione elettrica.
50

Poich il SIL richiesto totale 2, ogni sottosistema deve avere un SILCL almeno pari a 2
per raggiungere lobiettivo prefisso.
Per ogni sottosistema si calcola la probabilit di guasti (casuali) pericolosi allora PFHD.
Risulta che il PFHD

totale risulta inferiore
a
10-6
e
quindi
corrispondente a SIL 2
o SIL 3.

Determinazione del SIL massimo raggiungibile
Poich il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza
(SRESC) sempre inferiore o pari al valore pi basso dei SIL massimi raggiungibili,
vanno controllati i vincoli dellarchitettura di ognuno dei sottosistemi che lo
costituiscono.
Dai dati dei costruttori si ricava che il SILCL sia della barriera fotoelettrica che del PLC di
sicurezza pari a 3 e quindi coerente con la richiesta (maggiore o uguale a 2).
Rimane da controllare il SILCL dellelettrovalvola che un componente della catena di
sicurezza soggetto ad usura e privo di diagnostica interna. Va analizzato il vincolo
sullarchitettura per stabilirne il massimo SIL che pu fornire lelettrovalvola: dalla
tabella D.1 della norma EN 62061 si trova che la frazione di guasto in sicurezza SFF
dellelettrovalvola pari al 70% (mancata eccitazione 5% pi perdita 65%), mentre la
sua tolleranza allavaria dellhardware HFT pari a 0 perch anche una sola avaria pu
causare una perdita della funzione di controllo relativa alla sicurezza.
Risulta quindi che una singola elettrovalvola come attuatore di uscita non sufficiente a
raggiungere il SIL minimo pari a 2 che viene richiesto.
51
Occorre allora ripensare alla struttura dellattuatore andando a collegare in parallelo

(ridondanza) due sottosistemi (in questo caso due elettrovalvole), entrambi
rispondenti alle richieste dellarchitettura per SIL1, in modo che la tolleranza
allavaria dellhardware HFT diventi pari a 1 e quindi si passi da SILCL1 a SILCL2.
Poich il sottosistema di uscita ora costituito da due canali bisogna verificare la

resistenza del sottosistema doppia elettrovalvola ai guasti per causa comune.
Larchitettura del sottosistema con una singola tolleranza allavaria dellhardware senza
funzione diagnostica larchitettura B dove dovrebbe verificarsi un guasto pericoloso
in pi di un elemento prima che si verifichi un guasto al sottosistema.
52

Dalle tabelle F.1 e F.2 della norma EN 62061 si ricava rispettivamente che il punteggio compreso tra
35 e 65 e quindi il CCF () pari al 5%.
Le formule utilizzabili per calcolare la probabilit di guasti (casuali) pericolosi allora PFHD del
sottosistema costituito dalle due elettrovalvole (sottosistema di tipo B), sono le seguenti:
DssB = (1 ) 2 De1 De 2 T1 + ( De1 + De 2 ) / 2
PFHDssB = DssB 1h
Per i dispositivi elettromeccanici come le elettrovalvole, il loro tasso di guasto De1 = De2 si
determina utilizzando il valore B10 e il numero di cicli di funzionamento C dellapplicazione:
= 0,1
C
B10
In questo caso ricaviamo da una tabella dellappendice C della norma EN 13849-1 che il B10d di una
elettrovalvola di 20000000 di cicli poich B10d stimato pari a due volte B10 (ipotesi del 50%
di guasti pericolosi), abbiamo che B10 pari a 10000000 di cicli. C si assume pari a 60 /h. Il
tempo di vita delle elettrovalvole si assume pari a 20 anni. Ne risulta che:
PFHDssBelettrovalvole = 9 109

Verifica
In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SIL assegnato (SILr
richiesto) stabilito dalla valutazione del rischio al passo 2. La verifica positiva:
53
Esempio Architettura A
In una architettura semplice come questa (singolo canale A) si calcola che la Probabilit di Guasti Pericolosi per ora
(PFH) :
PFH = tot = s + k
Esempio Architettura A
k = 1,0010-6
s = 5,1010-7
PFHd = tot = s + k = 1,5110-6
SIL 1
Ora devo fare il controllo sullarchitettura
54
Calcolo del SFF del dispositivo di interblocco
s
=4
d
SFF =
s
+ DC
d
=
s
+ 1
d
4 +
0
= 0,80
4 + 1
Calcolo del SFF del contattore
s 35
=
= 0,53
d 65
SFF =
s
+ DC
0,53 + 0
d
=
s
+ 1
0,53 + 1
d
= 0,34
55
Vincolo architetturale
Per via del singolo dispositivo, sia per I che per O abbiamo HFT = 0
Contattore
SFF = 34,6 %
Dispositivo
interblocco
SFF = 80 %
SILCL = SIL 1
(per leccezione 6.7.6.4)
Esempio architettura D
Feedback loop
PFHsub1 = (1 )2 {[ De1 * De2 * (DC1 + DC2)] * T2/2 +

[ De1 * De2 * (2 - DC1 - DC2) ] * T1/2 } + *
( De1 + De2 )/2 * 1h
56
Risultato ?
SIL 2
PFHd = 1,1610-7
Feedback loop
T1
T2
DC
MTTF
1/h
(%/100)
anni
giorni
(%/100)
S1
S2
228
100
5,01E-07 1,142E-06
0,05
20,00
0,168
0,99
0,99
PFHd = 4,210-8
SIL 3
PFHd = 2,2610-8
T1
T2
DC
MTTF
1/h
(%/100)
anni
giorni
(%/100)
S1
S2
114
114
1E-06 1,001E-06
0,05
20,00
0,168
0,99
0,99
PFHd = 5,1710-8
Per via dei dispositivi ridondanti, sia per I che per O abbiamo
HFT = 1
57
Esempio di collegamento serie
Risultato ?
Feedback loop
SIL 2
PFHd = 2,0510-7
T1
T2
DC
MTTF
1/h
(%/100)
anni
giorni
(%/100)
S1
S2
228
100
5,01E-07 1,142E-06
0,05
20,00
0,168
0,00
0,00
SIL 3
PFHd = 2,2610-8
PFHd = 1,3110-7
T1
T2
DC
MTTF
1/h
(%/100)
anni
giorni
(%/100)
S1
S2
114
114
1E-06 1,001E-06
0,05
20,00
0,168
0,99
0,99
PFHd = 5,1710-8
Calcolo del SFF del dispositivo di interblocco
s
=4
d
SFF =
s
+ DC
d
=
s
+ 1
d
4 +
0
= 0,80
4 + 1
58
Elettrovalvola
monitorata
Risultato ?
SIL 3
PFHd = 7,4410-8
Elettrovalvola normale
T1
T2
DC
MTTF
1/h
(%/100)
anni
giorni
(%/100)
S1
S2
228
100
5,01E-07 1,142E-06
0,05
20,00
0,168
0,99
0,99
PFHd = 4,210-8
SIL 3
PFHd = 2,2610-8
T1
T2
DC
MTTF
1/h
(%/100)
anni
giorni
(%/100)
S1
S2
2000
400
5,71E-08 2,854E-07
0,05
20,00
0,168
0,99
0,00
PFHd = 9,8610-9
59
Calcolo del SFF dellelettrovalvola
s 70
=
= 2,33
d 30
= 0,74
Per via dei dispositivi ridondanti, sia per I che per O
abbiamo HFT = 1
Elettrovalvole
SFF = 74 %
SILCL = SIL 2
60
Software per la sicurezza funzionale
A causa della complessit di calcolo previsto dalle due norme, possibile

lutilizzo di software per velocizzare il procedimento di calcolo
SISTEMA SW dellIstituto per la salute e la sicurezza sul lavoro tedesco: il

software gratuito, ma per il momento solo in lingua inglese, tedesca e francese
e permette lanalisi solo con la norma EN 13849-1
http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp
Pascal SW della ditta Pilz: il software a pagamento, ma in anche lingua
italiana e permette lanalisi sia con la norma EN 13849-1 che con la norma EN
62061
http://www.pilz.it/products/software/tools/f/pascal/index.it.jsp
61

EN 13849-1 e EN 62061

Caricato da

Copyright:

Formati disponibili

EN 13849-1 e EN 62061

Caricato da

Informazioni sul documento

Descrizione originale:

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

EN 13849-1 e EN 62061

Caricato da

Copyright:

Formati disponibili

Ing.

Sistemi di comando per la sicurezza delle macchine

Ing. Gianfranco Ceresini

Nuova normativa PL e SIL

Entrambe le due nuove norme EN ISO 13849-1 ed EN IEC 62061 possono

Ing. Gianfranco Ceresini

Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061

Le classificazioni PL e SIL possono essere considerate delle varianti dello stesso

Ing. Gianfranco Ceresini

Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061

Tecnologia che realizza la/e

Non elettrica, es. idraulica

Elettromeccanica, es. rel, o elettronica

Elettronica complessa, es. programmabile

Ing. Gianfranco Ceresini

Nuova normativa campo di applicazione di EN 13849-1 ed EN 62061

La EN 13849-1 ha il grosso vantaggio di permettere di analizzare funzioni di

Mentre per i circuiti elettrici, elettronici ed elettronici programmabili legati alla

Ing. Gianfranco Ceresini

Norma EN IEC 62061

La EN IEC 62061 una sintesi

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Il campo di applicazione della EN 62061 relativo agli SRECS (Safety Related

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Dopo aver identificato le funzioni di sicurezza (SRCF) mediante lanalisi del

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Ing. Gianfranco Ceresini

Norma EN IEC 62061

Nella realizzazione di sistemi di controllo complessi si segue un processo di questo

il SIL ossia la probabilit di un buon funzionamento del sistema e il PFHD del

le architetture dei circuiti, il SILCL che il SIL di ogni singolo sottosistema,

tasso di guasto/anomalia per elementi soggetti ad usura e T1 ciclo di vita

Ing. Gianfranco Ceresini

Norma EN IEC 62061 - SIL

Probabilit di un guasto pericoloso per ora

10-8 PFHD < 10-7

10-7 PFHD < 10-6

10-6 PFHD < 10-5

Ing. Gianfranco Ceresini

Norma EN IEC 62061 Confronto tra SIL e PL

E possibile effettuare un parallelo (non rigoroso) tra SIL e PL per fornire un

Livello della Prestazione (PL)

Livello di Integrit della Sicurezza (SIL)

Ing. Gianfranco Ceresini

Norma EN IEC 62061 SIL richiesto

la gravit delle lesioni S

la frequenza e/o durata dellesposizione al pericolo F

la possibilit di evitare o limitare il danno P

Per attestare che un circuito

Ing. Gianfranco Ceresini

Norma EN IEC 62061 SILCL

Il SILCL il SIL relativo ad ogni singolo sottosistema (rilevamento rischio,

La probabilit di guasti pericolosi del suo hardware

I vincoli dellarchitettura di sistema