Calcolo di MTTFD

Tempo medio prima che si verifichi un guasto pericoloso

L’affidabilità vera di un componente non è mai nota esattamente, però la statistica e il calcolo delle probabilità ci offrono lo strumento per stimarla.

La probabilità di un componente di non guastarsi durante il suo funzionamento è misurata dal suo tasso di guasto λ (numero di guasti per ora).
Il suo inverso, detto tempo medio fra i guasti, è misurato in ore ed è comunemente indicato con la sigla MTBF (mean time between failures) oppure MTTF (mean time to failure) nel caso ci si riferisca al primo guasto dopo l’avviamento iniziale.

Ai fini del calcolo del PFHD interessa conoscere solo l’MTTFD, cioè quella parte del tasso di guasto relativa ai guasti che possano causare un funzionamento pericoloso del sistema.

Per aiutare il progettista nel capire quali sono i guasti da considerare, la EN ISO 13849-2 (Annessi da A a D) fornisce, per ogni tecnologia, una lista di guasti e le condizioni entro le quali è possibile assumere a priori che alcuni guasti non si possano presentare (faults exclusion).

La lista non è esaustiva e, se necessario, possono essere aggiunti guasti ulteriori in funzione della particolare applicazione.

In pratica, sulla base dei guasti indicati nella EN ISO 13849-2 e dei guasti possibili, derivati dal progetto in esame, conviene costruire per ogni SRP/CS una lista dei componenti usati e per ognuno di essi stabilire i guasti da considerare. Si deve determinare quindi l’incidenza dei guasti pericolosi rispetto a tutti i guasti possibili di quel componente e vedere se alcuni di questi guasti possono essere esclusi a priori.

Per semplicità di calcolo la norma consente di valutare, per ogni componente, come pericolosi il 50% dei guasti possibili (worst case), quindi:

MTTFD = 2 x MTTF

Inoltre, sempre nell’ottica della semplificazione, si è adottato il seguente criterio:

  • Qualora un “primo guasto” ne causi direttamente altri, la probabilità è la stessa di quella del primo guasto; ne consegue che il primo guasto e tutti quelli da esso derivati devono essere considerati come un singolo guasto
  • Qualora in alcune circostanze due guasti possano avere la stessa causa comune, devono essere considerati come un guasto singolo (CCF)
  • Il verificarsi simultaneo di due o più guasti dovuti a cause diverse è altamente improbabile (prodotto di due probabilità già estremamente basse) e pertanto non viene considerato. Ciò vuol dire che è accettabile che il verificarsi simultaneo di guasti multipli indipendenti possa generare un pericolo
  • Ogni SRP/CS deve essere ragionevolmente affidabile in modo che la probabilità di “primo guasto” sia bassa; non sono perciò presi in considerazione valori di MTTFD inferiori a 3 anni

Dove reperire i dati di affidabilità dei componenti?

Il procedimento gerarchico per trovare i dati dovrebbe essere, nell’ordine:

  1. Impiego dei dati del fabbricante
  2. Impiego dei dati contenuti nella tabella C.1 per i componenti meccanici, idraulici, pneumatici, elettrici, di più comune impiego e per i quali il meccanismo di guasto è prevalentemente legato all’usura dei materiali
  3. Impiego dei dati contenuti nelle tabelle da C.2 a C.7 per componenti elettronici
  4. Scelta di dieci anni

L’uso dei dati contenuti nella tabella C.1 è consentito solo se si dimostra di aver seguito le pratiche di buona tecnica, vale a dire:

  • I componenti sono stati progettati e fabbricati secondo principi di sicurezza di base e ben provati in conformità alla ISO13849-2 o alla norma pertinente. (Confermato nella scheda tecnica del componente)
  • Il fabbricante del componente specifica l’applicazione appropriata e le condizioni operative per l’utilizzatore
  • Il fabbricante del SRP/CS, utilizzatore del componente, dichiara di averlo impiegato avendo applicato principi di sicurezza di base ben provati secondo la ISO 13849-2

MTTFD di componenti soggetti a usura

Per tutti i componenti elettromeccanici e pneumatici soggetti a usura (es. relè, elettro-valvole, interruttori) il tasso di guasto aumenta con il numero di cicli lavorati, pertanto la loro affidabilità non viene in genere riferita al tempo per cui hanno lavorato bensì al numero di cicli effettuati.


Il parametro fornito dai costruttori è il B10 (numeri di manovre dopo le quali si verificano guasti nel 10 % dei componenti esaminati durante una prova della durata di esercizio sotto carico specificato).

La percentuale di B10 per cui si hanno guasti pericolosi nell’applicazione considerata viene indicata con B10D

In assenza di informazioni dettagliate la EN ISO 13849-1 consiglia di considerare come pericolosi il 50% dei guasti, quindi:

Conoscendo il B10D e il numero medio di operazioni in un anno (Nop) si ricava il valore di MTTFD nel seguente modo:

La vita utile del componente deve poi essere limitata a T10D (tempo entro il quale il 10% dei componenti in esame subisce un guasto pericoloso).

Questo tempo va confrontato col tempo di servizio della macchina (20 anni, stabilito dalla norma). Se la vita utile del componente così calcolata risulta inferiore a 20 anni, il componente va sostituito un po’ prima della fine della sua vita utile.

Esempio Relè:

B10 = 3.000.000 cicli

Carico di lavoro
dop = 220 gg/anno
hop = 16 h/giorno (due turni)
tciclo = 15 s (ciclo macchina)

La vita utile del relè è di poco superiore a 7 anni. Il relè deve essere sostituito al settimo anno di funzionamento.

Calcolo del MTTFD del SRP/CS

La relazione che lega l’affidabilità dei componenti, il loro numero in un canale e l’MTTFD totale del canale è la seguente:

Dove con MTTFDi si è indicato il valore di MTTFD di ogni singolo componente.

La formula è valida anche per più SRP/CS collegati in serie per formare un canale in cui il guasto di un componente provoca il guasto dell’intero canale.

Gli MTTFD di un canale maggiore di 100 anni non sono accettabili in quanto i PFHd dell’SRP/CS non devono dipendere solo dall’affidabilità dei componenti. Un’eccezione è la Categoria 4 dove il limite è esteso fino a 2500 anni.

Esempio: canale formato da tre componenti a, b e c

Va limitato a 100 anni fino a PL d

Nel caso di sistemi doppi canale (Cat. 3 e Cat. 4) un solo canale necessita del calcolo dell’MTTFd ma se l’ MTTFD totale ha valori diversi per i due canali (non omogenei) si hanno a disposizione due possibilità:

  • Si considera il valore più basso dei due (worst case)
  • Si usa la seguente formula che agli effetti del calcolo ri-omogenizza i due canali. Si sostituisce cioè il sistema a doppio canale con uno equivalente avente MTTFD identici per entrambi I canali

MTTFDC1 e MTTFDC2 sono i valori dei due canali.

Completato il calcolo, si sceglie la classe di MTTFD tramite la seguente tabella:

Indicazione di MTTFDValori espressi in anni
Basso3 ≤ MTTFD < 10
Medio10 ≤ MTTFD < 30
Alto30 ≤ MTTFD < 100

Singoli componenti del canale si possono avere valori di MTTFD superiori ai 100 anni