English
Deutsch
Español
Português
简体中文
한국어
IEC 62061 Sicurezza del macchinario
Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili per il controllo delle macchine
Gestione della sicurezza funzionale
Livello di integrità della sicurezza (Safety Integrity Level: SIL)
Un sistema di controllo della sicurezza (SCS), per essere idoneo a svolgere la funzione di sicurezza assegnata nelle condizioni operative specificate e durante tutti i tempi di missione, deve avere un certo grado o livello di integrità della sicurezza (SIL). Sono definiti tre livelli, in cui il livello di integrità della sicurezza 3 ha il livello di integrità della sicurezza più alto e il livello di integrità della sicurezza 1 ha il livello più basso. Il SIL deve essere definito per ciascuna funzione relativa alla sicurezza risultante dall’analisi dei rischi.
- Specificare i requisiti funzionali per ogni funzione di sicurezza da realizzare
- Assegnare il Livello di Integrità della Sicurezza (SIL) per ogni funzione di sicurezza individuata
- Consentire la progettazione di un sistema di controllo di sicurezza (SRECS) idoneo alla funzione di sicurezza da realizzare
- Validare lo SRECS
Attribuzione del SIL
- Il grado di severità (Se) del possibile danno
- Probabilità del verificarsi di tale danno
La probabilità che accada un evento pericoloso è funzione di:
- Frequenza e la durata (Fr) di esposizione al pericolo
- Probabilità di evento pericoloso (Pr)
- L’abilità di evitare o limitare il danno (Av)
Ne deriva che per ogni pericolo individuato devono essere valutati i parametri seguenti:
- Grado di gravità (Se) del danno
- Frequenza e tempo (Fr) di esposizione al pericolo
- Probabilità che accada ‘evento pericoloso (Pr) associato a ciascuna modalità di funzionamento della macchina
- Possibilità di evitare il pericolo (Av). Maggiore è la difficolta per evitare il pericolo, più il valore di AV è elevato
La gravità viene decisa in base alle conseguenze di un infortunio.
| Consequenza | Gravità (Se) |
| Irreversibile: more, perdita di un occhio o di un arto | 4 |
| Irreversibile: rottura di arto(i), perdita di dito(a) | 3 |
| Reversibile: lesioni che richiedono l’attenzione di un medico | 2 |
| Reversibile: lesioni che richiedono un primo soccorso | 1 |
Tabella A1 – Classificazione della Gravità (Se)
L’intervallo medio tra l’esposizione al rischio e la frequenza media di accesso alla zona pericolosa, viene stimata considerando i seguenti aspetti:
- Tutte le modalità di utilizzo (normale funzionamento, manutenzione)
- La natura dell’accesso (per l’alimentazione manuale di materiali, impostazioni)
- Tempo trascorso nella zona pericolosa
- Frequenza di accesso
| Classificazione della frequenza e durata dell’esposizione al rischio (Fr) | ||
| Frequenza di esposizione | Durata dell’esposizione ≥ 10 min | Durata dell’esposizione < 10 min |
| ≥ 1 per ora | 5 | 5 |
| Da < 1 per ora a ≥ 1 per giorno | 5 | 4 |
| Da < 1 per giorno a ≥ 1 per 2 settimana | 4 | 3 |
| Da < 1 per 2 settimana a ≥ 1 per anno | 3 | 2 |
| < 1 per anno | 2 | 1 |
Tabella A2 – Frequeenza e durata di esposizione al rischio (Fr)
Questo parametro può essere stimato tenendo conto del comportamento umano (stress, abilità, complessità della macchina) rispetto all’interazione con le parti della macchina da cui potrebbe derivare il pericolo.
Per considerare il caso peggiore si dovrebbe considerare una probabilità molto alta.
Per poter utilizzare della probabilità di accadimento
dell’evento inferiori, sono richiesti elevati livello di competenze degli operatori e una conoscenza approfondita dell’applicazione.
| Probabilità dell’evento | Probabilità (Pr) |
| Molto alta | 5 |
| Probabile | 4 |
| Possibile | 3 |
| Rara | 2 |
| Trascurabile | 1 |
Tabella A3 – Classificazione della probabilità che accada un evento pericoloso (Pr)
Tiene conto:
- Velocità improvvisa, rapida o lenta del verificarsi di un evento pericoloso
- Possibilità di sottrarsi al pericolo spostandosi
- La natura del componente pericoloso
- Possibilità di riconoscere il pericolo
| Probabilità di evitare o limitare il danno (Av) | |
| Impossibile | 5 |
| Rara | 3 |
| Probabile | 1 |
Tabella A4 – classificazione della probabilità di evitare o limitare il danno (Av)
Attenzione: l’opzione “probabile” va scelta solo se il pericolo è chiaramente riconoscibile e se il tempo per intervenire o per abbandonare l’area pericolosa è sufficiente.
La somma dei punteggi per gli attributi di frequenza, probabilità che accada l’evento pericoloso e la possibilità di evitarlo fornisce la classe di probabilità (Cl) del pericolo:
Cl = Fr + Pr + Av
La tabella seguente, che è un estratto del form di figura A.3 della norma IEC 62061, permette di ricavare in modo semplice il SIL da assegnare alla funzione di sicurezza.
| Conseguenze | Severità | Classe CL | ||||
| 4 | 5-7 | 8-10 | 11-13 | 14-15 | ||
| Morte, perdita di un occhio o di un braccio | 4 | SIL 2 | SIL 2 | SIL 2 | SIL 3 | SIL 3 |
| Permanente: perdita di dita | 3 | OM | SIL 1 | SIL 2 | SIL 3 | |
| Reversibile: intervento medico | 2 | OM | SIL 1 | SIL 2 | ||
| Reversibile: pronto soccorso | 1 | OM | SIL1 | |||
Tabella 3 della IEC 62061
Attribuzione dei requisiti di sicurezza specifici (SRS) e dei requisiti funzionali di sicurezza
La specificazione dei requisiti di sicurezza (SRS) deve includere almeno le seguenti caratteristiche della macchina:
- Tempo di ciclo
– prestazioni del tempo di risposta
– condizioni ambientali
– frequenza di commutazione e duty cycle di eventuali dispositivi elettromeccanici utilizzati. - Interazioni uomo-macchina
- Comportamento della macchina in condizioni di lavoro normali
- Reazione richiesta della funzione di sicurezza
La specificazione dei requisiti funzionali deve descrivere i dettagli di ciascuna funzione di sicurezza, in particolare:
- Descrizione della funzione di sicurezza
- Condizioni di ripristino e condizioni di riavvio della macchina dopo l’attivazione della funzione di sicurezza
- Tempo di risposta della funzione di sicurezza
- Interfacce della funzione di sicurezza con le altre parti del sistema di controllo della macchina
- Modalità di funzionamento della macchina in cui la funzione di sicurezza deve essere attiva o disattivata
Processo di progettazione di un SCS (sistema di controllo relativo alla sicurezza)
Ogni funzione di sicurezza deve essere descritta in termini di:
- Requisiti operativi (modalità di funzionamento, tempo di ciclo, condizioni ambientali, tempo di risposta, tipo di interfaccia con altri componenti o sottosistemi, livello EMC, ecc.)
- Requisiti di sicurezza (SIL).
Ciascuna funzione di sicurezza deve essere suddivisa in sotto funzioni, ad es. sotto funzione per segnali di ingresso, sotto funzione per elaborazione dati logici, sotto funzione per segnali di uscita.
Un sottosistema è quindi associato a ciascuna sotto funzione.
I sottosistemi possono essere costituiti da componenti di qualsiasi tecnologia, elettrici, elettronici, pneumatici, idraulici, interconnessi tra loro. I singoli componenti sono chiamati elementi di sottosistema.
La realizzazione tecnica di un SCS assumerà quindi una struttura tipica come quella mostrata in figura (esempio di controllo accessi attuato tramite barriera fotoelettrica).
Fig. 13 – Struttura tipica di un SCS
Un SCS può implementare più funzioni di sicurezza. Ciascuna funzione di sicurezza può essere composta da più sottosistemi. Un sottosistema può condividere più sottofunzioni.
Fig. 14 – Struttura generale di un SCS
Se un sottosistema condivide funzioni di sicurezza con diversi livelli di integrità della sicurezza, il suo hardware e software devono essere trattati come se richiedessero il livello di integrità della sicurezza più alto.
Se un sottosistema implementa sia funzioni di sicurezza che altre funzioni, tutto il suo hardware e software deve essere trattato come relativo alla sicurezza a meno che le funzioni di sicurezza e le altre funzioni non siano sufficientemente indipendenti.
Se la comunicazione di dati digitali viene utilizzata come parte di un SCS, devono essere soddisfatti i requisiti pertinenti alla sicurezza funzionale dei bus di campo (IEC 61784-3) in conformità con l’obiettivo SIL della funzione di sicurezza.
Utilizzo di un sottosistema pre-progettato
È possibile combinare sottosistemi progettati con questa norma con sottosistemi progettati con altre norme di sicurezza. La tabella 4 della IEC 62061 fornisce una corrispondenza con i valori SIL o PL di sottosistemi progettati con altre norme.
| IEC 62061 | IEC 62061 | IEC 61508 | ISO 13849 |
| PFH | SIL | almeno … | almeno … |
| < 10-5 | SIL1 | SIL1 | PL b,c |
| < 10-6 | SIL2 | SIL2 | PL d |
| < 10-7 | SIL3 | SIL3 | PL e |
Fig. 15 – Tabella S4 – SIL e PFH richiesti per i sottosistemi pre-progettati
La colonna IEC 61508 include standard basati su SIL che soddisfano gli stessi vincoli architetturali, come IEC 61800-5-2 e IEC 60947-5-3.
Non è possibile individuare una perfetta corrispondenza bi-univoca tra PL e SIL; tuttavia è possibile confrontare la parte probabilistica di PL e SIL perché utilizzano lo stesso concetto per definire il grado di resistenza ai guasti, ovvero il PFH. Dato che il calcolo e i metodi utilizzati non sono gli stessi per entrambi gli standard sarà possibile confrontare i range ma non i valori esatti del calcolp.
Inoltre, vengono imposte alcune restrizioni:
- PLb non corrisponde a SIL1 nel caso di una struttura di Categoria B.
- Non si può presumere corrispondenza tra IEC 62061 e IEC 61511 (tutte le parti) o ISO 26262.
PLC di sicurezza, safety bus, azionamenti, barriere fotoelettriche di sicurezza e in genere tutti i dispositivi di sicurezza complessi che integrano logica programmabile e che fanno uso di software embedded, se vengono usati per la realizzazione di uno SRP/CS devono essere conformi alle rispettive norme di prodotto, se esistono, e alla IEC 61508 per gli aspetti che riguardano la sicurezza funzionale.
