La sicurezza dei macchinari: dispositivi di interblocco

La sicurezza dei macchinari: dispositivi di interblocco

associati ai ripari e sicurezza funzionale

Relatori: Ing. Moreno Simonetto e Ing. Francesco Lo Giudice

Attenzione: Ogni informazione o esempio applicativo, illustrati in questa documentazione sono da intendersi puramente descrittivi ed hanno solo uno scopo didattico.

PROGRAMMA DELL’INCONTRO

- NORMA UNI EN ISO 13849-1

- VALUTAZIONE DEL RISCHIO

- CALCOLO DEL PL

- ACCENNI ALLA NORMA CEI EN 62061

Concetti relativi ai dispositivi di

sicurezza e al loro impiego(EN 60947-5-1, EN 12100, EN 14119)

Concetti relativi al circuito di sicurezza(EN ISO 13849-1)

- APERTURA POSITIVA DEI CONTATTI

- MODO POSITIVO E MODO NEGATIVO

- DIVERSIFICAZIONE

-TIPOLOGIA E SCELTA DEI DISPOSITIVI DI

INTERBLOCCO (EN 14119)

Prima Parte

Seconda Parte

Safety news

-

0,20

0,40

0,60

0,80

1,00

1,20

1,40

1,60

1,80

2,00

2008 2009 2010 2011 2012 2013 2014

Infortuni mortali sul lavoro in Europa(tassi di incidenza standardizzati per 100.000 occupati)

INFORTUNI MORTALI SUL LAVORO – Statistica europea (2008-2014)

0

100

200

300

400

500

600

Infortuni mortali sul lavoro- 2014

0,0

1,0

2,0

3,0

4,0

5,0

6,0

Infortuni mortali sul lavoro - 2014(tassi di incidenza standardizzati per 100.000 occupati)

INFORTUNI MORTALI SUL LAVORO – Statistica europea (2008-2014)

Quadro normativo

ASPETTI LEGISLATIVI E STRUTTURA NORMATIVA

DICHIARAZIONE

DI CONFORMITA’

APPLICAZIONE DELLE

NORME TECNICHE

DIRETTIVA BASSA TENSIONE

2014/35/UE

DIRETTIVA MACCHINE

2006/42/CE

DIRETTIVA COMPATIBILITA’

ELETTROMAGNETICA 2014/30/UE

DIRETTIVA ATEX 2014/34/UE …

NORME ATEX …

NORME DI PRODOTTO

NORME PER LA SICUREZZA MACCHINE,

NORME ARMONIZZATE

MARCATURA

NORME ARMONIZZATE DIRETTIVA MACCHINE

A

C

EN 12100: Sicurezza del macchinario - Principi

generali di progettazione - Valutazione del

rischio e riduzione del rischio

EN 574: Dispositivi di comando a due mani

EN 13850: Arresto di emergenza

EN 14119: Dispositivi di interblocco dei ripari

EN 23125: Torni

EN 692: Presse meccaniche

EN 693: Presse idrauliche

EN 201: Macchine a iniezione

Norme relative ad alcuni aspetti della

sicurezza (distanze, temperatura,

rumore…)

Trattano i concetti base ed i principi di

progettazione generale per la progettazione

di tutte le macchine

Norme relative a dispositivi di

sicurezza (controlli bimanuali, ripari,

dispositivi di interblocco…)

Norme che trattano

dettagliatamente le

prescrizioni di sicurezza per

particolari macchine (presse,

macchine a iniezione...)

B1

B2

Rispetto delle norme

armonizzatePresunzione di

conformità

EN 62061: Sicurezza funzionale dei sistemi di comando e controllo

elettrici, elettronici ed elettronici programmabili

EN 13849-1: Parte dei sistemi di comando legate alla sicurezza

EN 60204-1: Equipaggiamento elettrico delle macchine

EN 13855: Posizionamento dei mezzi di protezione in funzione delle

velocità di avvicinamento di parti del corpo umano

Apertura positiva e modo positivo

Apertura positiva dei contatti

EN 60947-5-1

Dispositivi per circuiti di comando ed elementi di manovra - Dispositivi

elettromeccanici per circuiti di comando

K.2.1 ausiliario di comando con operazione di apertura positiva (azione diretta)

ausiliario di comando avente uno o più elementi di contatto d'apertura

accoppiati all'attuatore dell'ausiliario tramite elementi non elastici in modo che la

completa apertura dei contatti d'apertura è ottenuta quando l'attuatore viene

mosso attraverso la corsa d'apertura positiva con l'applicazione della forza

indicata dal costruttore.

Quali dispositivi sono dotati di apertura positiva dei contatti?

+

+ =

CONCETTI BASE SULLA SICUREZZA

Modo positivo e modo negativo

EN 12100

6.2.5 Applicare il principio dell’azione positiva di un componente su un altro componente

Se un componente meccanico in movimento trascina inevitabilmente un altro componente,

per contatto diretto o mediante elementi rigidi, si dice che questi componenti sono collegati in

modo positivo.

Al contrario quando un componente meccanico si muove, consentendo così ad un altro

componente di muoversi liberamente (per gravità, l’effetto di una molla, ecc..) il primo non

svolge un’azione meccanica positiva sull’altro componente.

Possibili cause di guasto

Modo PositivoPossibili cause di guasto


Possibili cause di guasto

Modo Negativo


Modo positivo e modo negativo

EN 12100

6.2.5 Applicare il principio dell’azione positiva di un componente su un altro componente

Se un componente meccanico in movimento trascina inevitabilmente un altro componente,

per contatto diretto o mediante elementi rigidi, si dice che questi componenti sono collegati in

modo positivo.

Al contrario quando un componente meccanico si muove, consentendo così ad un altro

componente di muoversi liberamente (per gravità, l’effetto di una molla, ecc..) il primo non

svolge un’azione meccanica positiva sull’altro componente.

Diversificazione

La sicurezza nei sistemi ridondanti viene aumentata con la diversificazione.

Essa si ottiene applicando due interruttori con diversità di progettazione e/o tecnologia, in modo da evitare guasti determinati dalla stessa causa. Esempi di

diversificazione sono: l’utilizzo di un interruttore ad azione positiva accoppiato ad uno ad azione non positiva, da un interruttore a comando meccanico ed

uno non meccanico (es. sensore elettronico) o dall’utilizzo di due interruttori a comando meccanico ad azione positiva ma di diverso principio di

azionamento ( es. un interruttore a chiave FR 693 e un interruttore a perno FR 1896).

La diversificazione dei dispositivi porta ad evitare alcune cause di guasto comune e di conseguenza a migliorare il PL di un circuito (UNI EN ISO 13849-1)


EN ISO 14119

ISO 14119: INTRODUZIONE

ISO 14119 in vigore dal 01/10/2013

EN ISO 14119 in vigore dal 02/10/2013

UNI EN ISO 14119 in vigore dal 21/11/2013

La norma UNI EN ISO 14119 sostituisce la UNI EN 1088:2008.

Dispositivi di interblocco associati ai ripari - Principi di progettazione e di scelta

Armonizzate

alla Direttiva

Macchine

2006/42/CE

Norme richiamate all’interno della EN ISO 14119:

• IEC 60947-5-1 Dispositivi elettromeccanici per circuiti di comando• EN ISO 13849-1/2Sicurezza funzionale• EN 62061 Sicurezza funzionale• EN ISO 13855 Posizionamento dei mezzi di protezione in funzione delle velocità di

avvicinamento di parti del corpo umano

• EN ISO 12100 Valutazione del rischio e riduzione del rischio• EN IEC 60204-1 Equipaggiamento elettrico delle macchine

• Fissaggio deve essere affidabile e la rimozione del dispositivo deve richiedere l’utilizzo di un utensile (in modo non removibile quando richiesto)

• L’attuazione meccanica deve avvenire secondo le specifiche dichiarate dal fabbricante del dispositivo (in modo non removibile quando richiesto)

• Il dispositivo di interblocco non deve essere utilizzato come fermo meccanico, a meno che non sia previsto dal fabbricante; in tal caso il fabbricante dovrà dichiarare la massima energia di impatto [J] e l’applicazione dell’interruttore dovrà rispettare tale limite

• Disallineamenti del riparo non devono generare aperture accessibili senza l’intervento del dispositivo (EN 13857, riferimento per dimensioni delle aperture e distanza dal pericolo)

Fissaggio del dispositivo di interblocco

Fissaggio dell’attuatore

• Fissaggio deve essere affidabile e la rimozione del dispositivo deve richiedere l’utilizzo di un utensile (in modo

non removibile quando richiesto)

• Il dispositivo di interblocco non deve essere utilizzato come fermo meccanico, a meno che non sia previsto

dal fabbricante

Attuazione interruttori di posizione mediante cammeNel caso di dispositivi di tipo 1 le camme rotanti o lineari devono:

• Essere fissate in modo che la loro rimozione richieda l’utilizzo di un utensile

• Essere realizzate in modo da non danneggiare l’interruttore di posizione o compromettere la sua durata

meccanica.

EN ISO 14119: REQUISITI PER LA SCELTA E L’INSTALLAZIONE

DISPOSITIVI AD AZIONATORE SEPARATO: L’ALLINEAMENTO

Effettuare un montaggio affidabile del dispositivo e dell’azionatore significa anche garantire un corretto

allineamento nel tempo.

Ecco quali sono gli effetti del disallineamento tra dispositivo ed azionatore:

Ad esempio nei dispositivi di tipo 2 vi è la possibilità di ingresso di particelle (polvere, sfridi di lavorazione) all’interno della testa di azionamento dalla fessura di ingresso dell’attuatore.

Il grado di protezione IP xx infatti si riferisce esclusivamente all’involucro elettrico; l’ingresso diparticelle nell’azionatore può portare al degrado del meccanismo di azionamento e in alcuni

casi a guasti pericolosi della parte meccanica del dispositivo.

Il costruttore del macchinario deve tenere in considerazione tale rischio nella scelta del tipo di

dispositivo, nella scelta del modo di installazione e nell’eventuale esclusione dei guasti.

Valutazioni ambientali per la scelta del dispositivo

• Temperatura di lavoro

• Presenza di polvere

• Umidità, presenza di acqua (getti, immersione, ecc.)

• Vibrazioni, urti

• Igiene e pulizia (settore alimentare, farmaceutico e chimico)

• Influenze magnetiche ed elettromagnetiche

• Presenza di zone classificate secondo la direttiva Atex

ISO 14119: DISPOSITIVI DI INTERBLOCCO

IP xx

Dalla teoria alla pratica…

Cosa succede ai dispositivi meccanici ad azionatore separato in ambienti con polvere o trucioli?

Nelle foto si vedono due esempi di scelta del dispositivo senza tenere

conto delle caratteristiche ambientali.

Ambiente polveroso Presenza di sostanze

aggressive/corrosive

Dalla teoria alla pratica…

SBLOCCAGGIO DI EMERGENZA: requisiti specifici

• Il comando del dispositivo di sblocco deve essere attivabile manualmente, facilmente e deve agire

direttamente sull’elemento di bloccaggio;

• lo sbloccaggio di emergenza deve generare un comando di arresto della macchina;

• il ripristino del dispositivo deve richiedere l’utilizzo di un utensile o altri metodi (ad esempio anche la sostituzione

di parti del dispositivo) , tale requisito può essere assolto dal sistema di comando (attesa forzata, password per

riabilitare la marcia,…)

SBLOCCAGGIO CONTRO L’INTRAPPOLAMENTO: requisiti specifici

• Il dispositivo di sblocco manuale deve essere raggiungibile solo dall’interno della zona pericolosa;

• Il comando del dispositivo di sblocco deve essere attivabile manualmente, facilmente e deve agire

direttamente sull’elemento di bloccaggio;


SBLOCCAGGIO AUSILIARIO: requisiti specifici• Il comando del dispositivo di sblocco deve essere attivabile solamente mediante un utensile o altri metodi (ad

esempio a livello di sistema di comando);


• il ripristino del dispositivo deve richiedere l’utilizzo di un utensile o altri metodi (ad esempio anche la sostituzione

di parti del dispositivo) , tale requisito può essere assolto dal sistema di comando (attesa forzata, password per

riabilitare la marcia,…)

Nota: un dispositivo di sblocco di emergenza risponde ai requisiti dello sblocco contro l’intrappolamento, pertanto se viene installato all’interno della zona pericolosa può svolgere la funzione di sblocco contro l’intrappolamento

ISO 14119: BLOCCAGGIO DEL RIPARO

Forza di ritenuta: forza di estrazione che il sistema di blocco riesce a contrastare senza essere danneggiato, in modo tale che il suo utilizzo futuro sia garantito e il riparo rimanga in posizione di chiusura.

Il fabbricante dei dispositivi deve dichiarare una forza di ritenuta minore o uguale a FZh.

Il valore di FZh si determina mediante l’esecuzione di un test sui dispositivi per la misurazione della forza massima

prima della rottura (F1max) alla quale viene applicato un fattore di sicurezza S=1,3.

SERIE FG

Forza massima prima della

rottura: 2800 N(in accordo con GS-ET-19)

𝑭𝒁𝒉: 2150 N(in accordo con GS-ET-19)

BLOCCAGGIO DEL RIPARO: forza di ritenuta

𝐹𝑍ℎ =𝐹1𝑚𝑎𝑥

𝑆

Il protocollo di prova per la determinazione della forza

FZh è stabilito dallo standard GS-ET-19 ed è richiamato all’interno della norma ISO 14119.

SERIE NG

Forza massima prima

della rottura: 9750 N(in accordo con GS-ET-19)

𝑭𝒁𝒉: 7500 N(in accordo con GS-ET-19)


Allegato II valori in tabella posso dare un’indicazione sulle

massima forza statica applicata dall’uomo.

Che forza di ritenuta si deve

considerare nella scelta del dispositivo

che effettua il bloccaggio?


TIPO 1Dispositivi di interblocco azionati meccanicamente da

attuatore non codificato (camma)

Nota: la norma inserisce anche gli interruttori a cerniera

all’interno di tale categoria


TIPO 2Dispositivi di interblocco azionati meccanicamente da attuatore codificato

TIPO 3 o 4Dispositivi di interblocco azionati senza contatto da attuatore non

codificato (3) o codificato (4)

Tipo 4 - codificato Tipo 3 – non codificato RFID RFID RFID


ISO 14119: DEFINIZIONI

BASSO LIVELLO DI CODIFICA:

Attuatori con possibilità di avere da 1 a 9 diverse codifiche.

una sola codifica possibile

MEDIO LIVELLO DI CODIFICA:

Attuatori con possibilità di avere da 10 a 1000 diverse codifiche.

ALTO LIVELLO DI CODIFICA:

Attuatori con possibilità di avere più di 1000 diverse codifiche.

Serie ST, NG e NS

possibili oltre 1.000.000 di combinazioni diverse per il tag

I livelli di codificaAttuatore codificato: attuatore

progettato specificatamente per

essere combinato con uno

specifico dispositivo di interblocco

ISO 14119: INCENTIVO ALL’ELLUSIONE

Inizio

Fine

Applico le misure contro

l’elusione presenti in

tabella 3

Sì

No

Il costruttore del macchinario deve valutare la presenza o meno di

un incentivo all’elusione.

Può risultare molto difficile valutare questi aspetti in quanto non è

sempre prevedibile il comportamento dell’utilizzatore finale del

macchinario.

Per il fabbricante della

macchina può essere

dunque molto pericoloso

dichiarare la totale assenza

di un incentivo all’elusione:

deve essere in grado infatti

di dimostrare che non

esistono motivi che

potrebbero spingere

l’operatore al by-pass della

funzione di interblocco.

C’è un

motivo (vantaggio)

che porta all’elusione

del riparo?

Principi e misure

Dispositivi di tipo 1 Dispositivi di tipo 1: solo cerniere

Dispositivi di tipo 2 e tipo 4 (codifica bassa o media)

Dispositivi di tipo 2 e tipo 4 (codifica alta)

Sistemi a chiave intrappolata (codifica media o alta)

Montaggio fuori portata

XX

Schermatura, ostruzione

Montaggio in posizione

nascosta

Test da circuito di comando

Fissaggio non rimovibile del dispositivo e attuatore

Fissaggio non rimovibile del dispositivo M MFissaggio non rimovibile dell’attuatore M M M MSecondo dispositivo di interblocco e verifica plausibilità

R R

ISO 14119: ELUSIONE DEGLI INTERBLOCCHI

X: obbligo di applicare almeno una delle misure elencate / M: misura obbligatoria / R: misura raccomandata

REQUISITI


I dispositivi di interblocco devono essere scelti e installati in

modo tale da prevenirne in modo ragionevole l’elusione

Sistemi atti a prevenire l’elusione degli interblocchi

Prevenzione contro la sostituzione di attuatori

con oggetti prontamente disponibili

Montaggio fuori portata Schermatura / ostruzione Montaggio in posizione nascosta

Attuatori con basso, medio e alto

livello di codifica

Solo un codice

disponibile

Serie ST, NG e NSPiù di 1.000.000 di

combinazioni

I dispositivi di interblocco devono essere scelti e installati in modo tale da prevenirne in modo

ragionevole l’elusione

Test da circuito di comando• Controllo dello stato della macchina (es: un inusuale successione di stati può rilevare l’elusione)

• Test ciclico (es: all’operatore è richiesto un controllo della protezione. L’assenza del segnale richiesto indica il difetto)

• Controllo di plausibilità utilizzando un interblocco supplementare in modo che l’elusione sia possibile solo con un’azione aggiuntiva.

Rivetti Saldatura CollaViti One-way

Come impedire lo smontaggio degli elementi di interblocco mediante sistemi non removibili.


ISO 14119: ESEMPIO DI MONTAGGIO FUORI PORTATA

ISO 14119: ESEMPIO DI INTERRUTTORE CON SCHERMATURA

EN ISO 14119

Interruttore ad azionatore

separato a bassa codifica

Sistema di schermatura: con un altro azionatore non

riesco a raggiungere la testa dell’interruttore, solo la

staffa del cancello riesce ad azionare il dispositivo

L’azionatore deve essere comunque fissato in modo non rimovibile, in questo caso la staffa

(prolunga) del cancello fa parte dell’azionatore quindi deve essere fissata in modo non rimovibile!

Affidabilità dei circuiti di comando

NUOVE NORME : PERCHE’

Pro:- Relativamente semplice da applicare- Approccio deterministico

Contro:- Non considera dispositivi elettronici- Non considera software- Non considera l’affidabilità dei prodotti

Evoluzione delle norme sulla sicurezza macchine

EN 954-1 EN ISO 13849-1

EN 62061Pro:- Si basano sulla valutazione dell’affidabilità dei dispositivi. Approccio probabilistico.- Considerano anche i dispositivi elettronici e programmabili- Considera in modo puntuale anche le Cause di Guasto Comune e la Copertura Diagnostica

Contro:- Le due norme sono a volte in sovrapposizione- Dati di affidabilità “poco affidabili”

Sicurezza del macchinario, parti dei sistemi di comando legate alla sicurezza, principi

generali di progettazione

PL: a,b,c,d,e

Sicurezza funzionale dei sistemi di comando elettrici, elettronici ed elettronici programmabili…

SIL: 1,2,3

IEC 61513Settore centrali

energetiche

NORME SICUREZZA MACCHINE

IEC 61511Settore dei

processi

IEC 62304 Settore medico

Sicurezza del macchinario, parti dei sistemi di comando legate alla

sicurezza, principi generali di progettazione

Categorie: B,1,2,3,4

Sicurezza funzionale dei sistemi di comando elettrici, elettronici ed

elettronici programmabili…

SIL: 1,2,3,4

Nota: con la nuova EN ISO 13849-1:2015 e la nuova EN 62061 (in preparazione) vi sarà

completa sovrapposizione tra le due norme

EN 954-1Sistemi elettrici o ad elettronica semplice

EN ISO 13849-1:2008Sistemi elettrici o ad elettronica

semplice

02/2007Inizio EN ISO

13849-1:2008

EN 62061Sistemi ad elettronica complessa (programmabile)

2005Inizio EN 62061

TEMPISTICHE

12/2011Fine EN 954-1

Note:- L’attività del gruppo di lavoro internazionale congiunto tra ISO e IEC (ISO/TC 199 e IEC/TC 44) è attualmente sospesa.- E’ in preparazione anche un aggiornamento della EN 62061

UNIONE

NORME

06/2015Inizio EN ISO

13849-1:2015

EN ISO

13849-1:2015

OGGI

NORME SICUREZZA MACCHINE

UNI EN ISO 13849-1 vs CEI EN 62061

UNI EN ISO 13849-1 CEI EN 62061

Definisce 5 livelli :

PL: a,b,c,d,e

Definisce 3 livelli:

SIL 1,2,3

Entrambe fanno riferimento allo stesso

parametro:

PFHdProbabilità di guasto pericoloso per ora

Entrambe sono basate su un calcolo

probabilistico dell’affidabilità dei componenti

Focalizzata per valutare l’affidabilità di componenti di controllo

elettromeccanici, meccanici e idraulici

Focalizzata per valutare l’affidabilità di componenti di controllo

elettronico-programmabili

PFHd 10-4 10-5 3x10-6 10-6 10-7 10-8

PLEN ISO 13849-1

SILEN 62061

IEC 61508

a edcb

1 32 (4)Non

previsto

1 guasto ogni

n°anni~1 ~10 ~40 ~100 ~1000 ~10000

UNI EN ISO 13849

Sicurezza del macchinario

Parti di sistemi di comando legate alla sicurezza

Parte 1: Principi generali per la progettazione

Parte 2: Validazione

UNI EN ISO 13849-1: Analisi del richio

ANALISI DEI RISCHIDeterminazione del PL richiesto (PLr)

SGravità del danno

S1: leggero (normalmente reversibile)

S2: serio (normalmente irreversibile o morte)

FFrequenza e/o esposizione al rischio

F1: da rara a poco frequente e/o con breve

tempo di esposizione

F2: da frequente a continua e/o con lungo

tempo di esposizioneNota: F2 se la frequenza di utilizzo > 1 ogni 15’ oppure se il tempo di esposizione totale è > di 1/20 del tempo di operatività della macchina.

PPossibilità di evitare il rischio o di limitare il danno

P1: possibile in certe condizioni

P2: scarsamente possibileNota: Se la probabilità che si manifesti il pericolo è bassa, il livello di PLr può essere ridotto di un livello.

Una volta calcolato il PL richiesto si dovrà

verificare che il PL ottenuto sia ≥ PLr

S F P

PLperformance level (a,b,c,d,e)

ARCHITETTURA CIRCUITALE (CATEGORIA DI SICUREZZA)

(monocanale cat.B-1, monocanale controllato cat.2,

bicanale cat.3-4)

MTTFd

tempo medio di guasto pericoloso

(ricavato da B10d)

DC

copertura diagnostica

CCF

cause di guasto comune

UNI EN ISO 13849-1: Definizioni

Singolo canale categoria B-1 Singolo canale con monitoraggio cat. 2

Doppio canale categoria 3 - 4

I L Oinput output

logica

I1 L1 O1

input

outputlogica

monitoraggio

I2 L2 O2

input

outputlogica

monitoraggio

Mo

nito

rag

gio

inc

roc

iato

I L Oinput output

logica

monitoraggio monitoraggio

TE OTEtest Output test

Categoria 3

MTTFd = low…medium

DCavg = low…medium

CCF≥ 65

PLmax=PLe

Categoria 4

MTTFd = high

DCavg = high

CCF≥65

PLmax=PLe

Differenze tra categoria 3 e 4

Richieste aggiuntive:

Categoria BMTTFd = low…mediumDCavg = non rilevanteCCF≥ non rilevantePLmax=PLb

Categoria 1MTTFd = highDCavg = non rilevanteCCF≥ non rilevantePLmax=PLc

Differenze tra categoria B e 1Richieste aggiuntive:

Categoria 2MTTFd = low…highDCavg = low…mediumCCF≥ 65PLmax=PLdFrequenza di test >100F

UNI EN ISO 13849-1: architetture

L’andamento del tasso di guasto durante la vita

fisica di un sistema complesso è rappresentatodalla curva a «vasca da bagno» (bathtub curve).

La curva identifica tre aree principali:

• l'area dei guasti precoci (o mortalità infantile, dove il tasso di guasto è decrescente con il

tempo),

• l'area della vita fisica (dove il tasso di guasto si mantiene costante rispetto al tempo),

• l'area delle usure generalizzate (o wear out, dove il tasso di guasto diviene crescente molto

rapidamente proprio a causa delle usure).

UNI EN ISO 13849-1: i guasti

Curva a vasca da bagno

La norma UNI EN ISO 13849-1 concentra l’attenzione nella zona centrale, dove il tasso

di guasto risulta con buona approssimazione una costante nel tempo.

Considerando il tasso di guasto dei componenti come una costante ha permesso di

semplificare i calcoli per l’ottenimento del PL.

T10d o al massimo 20 anni

UNI EN ISO 13849-1: i guasti

Il tasso di guasto è espresso con il parametro MTTFd (tempo medio al guasto). Per alcuni dispositivi, dove l’usura è fortemente dipendente dall’attuazione meccanica del dispositivo stesso, il tasso di guasto è espresso con il parametro B10d (numero di cicli affinché il 10% dei dispositivi si guasti in modo pericoloso).

Per i dispositivi che sono in grado di realizzare una propria diagnostica (generalmente dispositivi elettronici) è possibile determinare il loro PL e PFHd.I fabbricanti di tali dispositivi sono in grado di fornire pertanto parametri di affidabilità sotto forma di PL e PFHd.

Parametri per il calcolo del PL della funzione di sicurezza

Come si calcola l’MTTFd di un dispositivo?Per dispositivi soggetti ad usura è necessario conoscere il parametro B10d

- B10d = numero di cicli affinché il 10% dei campioni si guasti in modo pericoloso

- Es: dispositivi idraulici, pneumatici, interruttori elettromeccanici, relè

Dove:nop= numero di operazioni per annodop= giorni lavorativi per annohop= ore lavorative per giornotciclo= tempo ciclo (s)

Dove si trovano i valori di MTTFd (B10d)?

1- Valore fornito dal costruttore del componente (B10d)

2- Valore ricavato da database (vedi allegato C della EN 13849-1 : B10d)

3- in caso di mancanza di dati si ammette un valore massimo di 10 anni

MTTFd = Mean Time To dangerous Failure = Tempo medio prima del guasto pericoloso. - E’ un parametro statistico che definisce la vita media di un prodotto prima di un guasto pericoloso.

- Definisce l’affidabilità di un prodotto.

- Si esprime in anni (vale per prodotti soggetti ad usura e dipende dalla frequenza di utilizzo).

UNI EN ISO 13849-1: calcolo MTTFd

NOTA: per rimanete all’interno della zona centrale della curva a vasca da bagno occorre sostituire i componenti dopo che è

trascorso il tempo T10d, o al massimo dopo 20 anni.

Tabella di riferimento per i valori di

B10d per dispositivi elettromeccanici

UNI EN ISO 13849-1

In norma si suppone che la

percentuale di guasti pericolosi

rispetto ai guasti totali sia del 50%


Il calcolo dell’MTTFd dipende dalla struttura circuitale.

Come si calcola l’MTTFd di un circuito di sicurezza?

D1 D2 Dn

C1

C2

Sistema monocanale

Sistema a 2 canali

Note: -Il massimo valore di MTTFd per canale è di 100 anni-Non sono considerati MTTFd < 3anni

MTTFd=

- low: 3≤ MTTFd <10anni

- medium: 10≤ MTTFd <30anni

- high: 30≤ MTTFd <100anni

MTTFd per canale:

MTTFd : simmetrizzazione dei 2 canali


Diagnostic coverage

- Descrive la qualità dei test

- E’ un parametro espresso in %

- Il valore medio va calcolato come da formula

Parametro DC (copertura diagnostica)

UNI EN ISO 13849-1 Annex E, Table E.1

Come si calcola la Copertura Diagnostica - DC?- Valore ricavato da checklist (vedi allegato E della EN 13849-1)

- Va considerato solo per circuiti in categoria 2, 3 o 4

DC=

- none DC<60%

- low: 60% ≤ DC< 90%

- medium: 90% ≤ DC< 99%

- high: DC ≥99%

UNI EN ISO 13849-1: Copertura diagnostica DC

Funzione di controllo con contatti NC e NO guidati.

NC = contatto di sicurezza

NO = contatto controllato

DC = 99%

ESEMPIO 1 – Plausibility check

Per il calcolo della DC del circuito: vedere esempi e formule nella norma.

ESEMPIO 2 – Direct monitoring

Funzione di controllo (retroazione) con i contatti

ausiliari

NO = contatti di potenza

NC = contatto ausiliario controllato

DC = 99%


PLC

Technical report: TR 24119:2015 (introduce dei limiti al n° dei dispositivi elettromeccanici in serie)

Massima DC raggiungibile nella connessione in serie (metodo semplificato)

Note:

-a: Per «frequentemente» si intende >1 manovra per ora

-b: Se il numero di operatori che possono aprire i ripari è >1 allora il numero di ripari azionati frequentemente deve essere aumentato di 1

-c: Il numero di ripari addizionali può essere ridotto di 1 se è rispettata una delle seguenti condizioni:

- quando la distanza minima tra ciascun riparo è >5m

- quando nessuno dei ripari addizionali è raggiungibile direttamente

-d: In ogni caso, se è prevedibile che si verifichi il mascheramento dei guasti (ad es: più ripari vengono azionati nello stesso momento

nelle normali operazioni di servizio) allora la DC è limitata a «nulla»

Nota 2: esiste anche un metodo «regolare» per la determinazione della massima DC raggiungibile che tiene conto del tipo di

connessione, del tipo di cavo e della probabilità di mascheramento del guasto.


Numero di ripari azionati frequentemente (ab)

Numero di ripari addizionali (c)

Massima Copertura Diagnostica (DC) raggiungile (d)

0

2 – 4 Media

5 – 30 Bassa

>30 Nulla

1

1 Media

2-4 Bassa

≥5 Nulla

≥1 ≥0 Nulla DC = Nulla

Al massimo PL c!!

FAULT MASKING

Esempio di mascheratura del guasto diretta

Con dispositivi elettromeccanici

PWR

CH1

CH2

Funzione di interblocco di tre cancelli con connessione in serie dei contatti

dei dispositivi di interblocco, e collegamento sullo stesso modulo di sicurezza.

Door 1 Door 2 Door 3

FAULT MASKING




PWR

CH1

CH2

All’apertura della porta n.2 il circuito di ingresso a doppio canale del modulo

di sicurezza viene interrotto dall’apertura dei due contatti normalmente chiusi.

FAULT MASKING




PWR

CH1

CH2

Mantenendo la porta n. 2 aperta, si procede all’apertura della porta n.1. L’eventuale guasto

di uno dei contatti sul dispositivo di interblocco non viene rilevato dal modulo di sicurezza

perché il circuito era già interrotto dal dispositivo della porta n. 2.

FAULT MASKING




PWR

CH1

CH2

Richiudendo la porta n. 1 il guasto non è più visibile (i due contatti sono entrambi

chiusi).

FAULT MASKING




Richiudendo la porta n. 2 il modulo può ripristinarsi in quanto non ha rilevato

alcuna anomalia.

IL GUASTO DEL CONTATTO DELLA PORTA 1 NON VIENE RILEVATO

PWR

CH1

CH2

FAULT MASKING

Quando è possibile il mascheramento del guasto?

E’ possibile nei dispositivi

elettromeccaniciNon è possibile nei dispositivi elettronici

«intelligenti»

Nota: per i dispositivi d’arresto d’emergenza non si considera il

mascheramento del guasto perché si ritiene altamente

improbabile l’intervento di 2 o più emergenze

contemporaneamente

HP Finecorsa SR FG/FSInt. a

chiave

Dispositivi per arresto

d’emergenza

HX EE1NG

ST

Questi dispositivi sono dotati di un sistema di autocontrollo che

consente loro di avere una copertura diagnostica (DC) del 99%

Questi dispositivi sono «passivi» e la loro copertura

diagnostica è totalmente demandata a dispositivi esterni

NS

Common cause failure

- Descrive la qualità delle misure intraprese per impedire i guasti di causa comune.

- E’ espresso come punteggio. C’è una check-list da verificare

- Per circuiti in categoria 2, 3,4 deve essere CCF ≥ 65 (su max 100)

- Es: separazione dei canali – diversità tecnologica –componenti ben testati – compatibilità elettromagnetica – resistenza a vibrazioni, shock, umidità -protezioni contro le sovratensioni ecc…

Parametro CCF (guasti di causa comune)

UN

I EN

ISO

13

84

9-1

A

nn

ex F

, Ta

ble

F.1

Come si calcola il valore delle Cause di Guasto Comune?1- Vedi allegato F della EN 13849-1

UNI EN ISO 13849-1: Guasti di causa comune CCF

guasti

canale 1

guasti

canale 2CCF

Determinazione del PL con il metodo semplificato

Esempio:- Circuito a doppio canale (categoria 3/4)- MTTFd= high (tra 30 e 100 anni)- Copertura diagnostica bassa DC=low (60%-90%)- Cause di guasto comune ≥ 65 CCF≥ 65

MTTFd=low

MTTFd=medium

MTTFd=high

PL = dCCF ≥ 65

MTTFd




UNI EN ISO 13849-1: calcolo del PL

Relazioni tra le categorie, DCavg, MTTFd di ogni canale e PL

MTTFd = alto

Circuito a 2 canali (cat.3)

DC = basso

PL=d

Determinazione numerica del PL

Nota: il processo per determinare il PL deve

essere validato secondo quanto prescritto dalla

UNI EN ISO 13849-2


Nota: per la cat.4 i valori di MTTFd sono ora

limitati a 2500 anni e non più a 100

Esempio:- Circuito a doppio canale (categoria 3/4)- MTTFd= high (tra 30 e 100 anni)- Copertura diagnostica bassa DC=low (tra 60% e 90%)

- Cause di guasto comune ≥ 65 CCF≥ 65

I L Oinput output

logica

Input:

Interruttore di sicurezza SW1

Logica/output:

Teleruttore K1

Dati:dop= giorni lavorativi per anno = 220

hop= ore lavorative per giorno = 24 (3 turni)

tciclo= tempo ciclo = 300s

nop= numero di operazioni per anno (63.360)

B10dSW1 = 2.000.000 catalogo Pizzato

B10dK1 = 1.300.000 (Tabella C.1 ISO 13849-1 )

MTTFd=124 anni 100 anni

(high)

𝑛𝑜𝑝= 63.360

MTTFdSW1= 316 anni

MTTFdK1= 205 anni

PL = c


UNI EN ISO 13849-1: esempi

1

𝑀𝑇𝑇𝐹𝑑=

1

𝑀𝑇𝑇𝐹𝑑𝑠𝑤1+

1

𝑀𝑇𝑇𝐹𝑑𝑘1=

1

316+

1

205=

1

124

𝑛𝑜𝑝 = 𝑑0𝑝 ∗ ℎ𝑜𝑝 ∗3600

𝑡𝑐𝑖𝑐𝑙𝑜

𝑀𝑇𝑇𝐹𝑑 =𝐵10𝑑

0,1 ∗ 𝑛𝑜𝑝

Esempio di circuito monocanale

Esempio:- Circuito monocanale (categoria 1)- MTTFd= 100 = high (tra 30 e 100 anni)

Determinazione del PL

MTTFd = alto PL=c

Circuito monocanale (cat.1)

Calcolo “numerico”

Metodo semplificato

PL=c

MTTFd=low

MTTFd=medium

MTTFd=high


Input:

Interruttori di sicurezza

SW1-SW2 (sullo stesso riparo)

Logica

Modulo di sicurezza L1

Output:

Teleruttori K1-K2

(feedback)

MTTFd= 71 anni (high)

Dati:dop= giorni lavorativi per anno = 365

hop= ore lavorative per giorno = 16 (2 turni)

tciclo= tempo ciclo = 240s (1 ogni 4’)

nop= numero di operazioni per anno = 87.600



MTTFdL1 = 227 anni (fornito dal costruttore)

B10dK1 = 1.300.000 (Tabella C.1 ISO 13849-1 )

DCavg = 99% (ricavato da check-list)

CCF ≥ 65 (ricavato da check-list)

MTTFdch1= 64,3 anni

MTTFdch2= 77,4 anni PL = e

I1 L1,1 O1

input

output

monitoraggio

I2 L1,2 O2

input

output

monitoraggio

Mo

nito

rag

gio

inc

roc

iato

logica



𝑀𝑇𝑇𝐹𝑑 =2

3∗ 𝑀𝑇𝑇𝐹𝑑𝐶1 +𝑀𝑇𝑇𝐹𝑑𝐶2 −

1

1𝑀𝑇𝑇𝐹𝑑𝐶1

+1

𝑀𝑇𝑇𝐹𝑑𝐶2

Esempio di circuito a doppio canale

Esempio:

- Circuito a doppio canale (categoria 3/4)

- MTTFd= 92.7 = high (tra 30 e 100 anni)

- Copertura diagnostica alta DC=high (≥ 99%)

- Cause di guasto comune ≥ 65 CCF≥ 65

MTTFd=




MTTFd = alto

Circuito a 2

canali (cat.4)DC = high

PL=e

Determinazione ”numerica” del PL


MTTFd=low

MTTFd=medium

MTTFd=high

PL=e CCF≥65

Determinazione del PL

Determinazione del PL con il metodo semplificato

Input:

Sensore di sicurezza

SS1

Logica


Output:

Teleruttori K1-K2

(feedback)



Esempio di circuito a doppio canale con sensore elettronico RFID

Dati dispositivo:PFHd = 1,2E-11MTTFd = 4077DC = HighSIL= 3PL =e


Dati:B10d = 1.300.000(Tabella C.1 ISO 13849-1 )

Sottosistema 1

Sottosistema 2

Sottosistema 3

PFHd PFHd PFHd+ +

Input:

Sensore di sicurezza

SS1

Logica


Output:

Teleruttori K1-K2

(feedback)




Dati:dop= giorni lavorativi per anno = 365hop= ore lavorative per giorno = 16 (2 turni)tciclo= tempo ciclo = 240s (1 ogni 4’)nop= numero di operazioni per anno = 87.600B10d = 1.300.000 (Tabella C.1 ISO 13849-1 )MTTFd = 148 anniDC = 99% (ricavato da check-list)CCF ≥ 65 (ricavato da check-list)

PFHd = 1,2E-11 PFHd = 9,73E-11 PFHd = 1,6E-8+ + = PFHd = 1,61E-8PL e

Input:

Sensore di sicurezza SS1

Logica


Output:

Inverter con STO (Safety Torque Off)





Dati dispositivo:

PFHd = 9,73E-11MTTFd = 1547DC = HighSIL= 3PL =e

Dati dispositivo:

PFHd = 1E-10MTTFd > 14000SIL= 2PL =d

Sottosistema 1

Sottosistema 2

Sottosistema 3

PFHd PFHd+ + PFHd

Input:

Sensore di sicurezza SS1

Logica


Output:

Inverter con STO (Safety Torque Off)




PFHd = 1,2E-11

PL e

PFHd = 9,73E-11PL e

PFHd = 1E-10PL d

= PFHd = 2,09E-10PL d

+ +

Errori applicativi comuni

Input: sensore di sicurezza

RFID (Ple, SIL3, cat4)

Logica

Modulo di sicurezzaOutput:

1 Teleruttore (feedback)

I1 L1,1

O1

input

output

I2 L1,2

input

Mo

nito

rag

gio

inc

roc

iato

logica

Errori comuni: un solo teleruttore

Non c’è una ridondanza negli output. Un singolo guasto

sul teleruttore porta alla perdita della funzione di

sicurezza. Se si incollano i contatti del teleruttore la

macchina non si ferma.

«C’è il modulo di sicurezza in cat. 4 PL e!»

Input:

1 interruttore di sicurezza con 2NCLogica

Modulo di sicurezza

Output:

2 Teleruttori (feedback)

Non c’è una ridondanza

meccanica. Un singolo guasto sulla

testa d’azionamento può portare

alla perdita della funzione di

sicurezza

Spesso l’applicazione non

conforme alla ISO 14119

Errori comuni: ridondanza meccanica?

«La sicurezza è ok, ho

fatto un circuito a

doppio canale!»

E-stop con 2NCLogica

Modulo di sicurezzaOutput:

Teleruttori (feedback)

I1 L1,1 O1

input

output

monitoraggio

I2 L1,2 O2

input

output

monitoraggio

Mo

nito

rag

gio

inc

roc

iato

logica

Funzione di emergenza

e funzione di

interblocco in serie

nello stesso circuito

Interblocc

o

Interblocco

Errori comuni: emergenza e interblocco in serie

Non è un vero e proprio errore, ma è comunque una buona pratica consolidata quella di

separare i circuiti di arresto di emergenza dai circuiti delle funzioni di sicurezza.

Strumenti utili per il calcolo

I sistemi di comando delle macchine secondo le

norme EN ISO 13849-1 e EN ISO 13849-2

Analisi EN ISO 13849-1 e

EN ISO 13849-2 in lingua

italiana che presenta in

particolare tutte le novità

dell’ultima edizione della

norma (2015).

Download gratuito dal

sito dell’INAIL.

PUBBLICAZIONE INAIL

BGIA Report 2008

http://www.dguv.de "bgia re2008e"

• Analisi approfondita EN ISO 13849-1

• 37 esempi di calcolo del PL (circuiti elettrici / pneumatici /

idraulici)

• Sono disponibili gratuitamente i file di progetto per il

software SISTEMA di tutti gli esempi di calcolo

Software di calcolo

Software SISTEMA

- Software per il calcolo di PL, MTTFd, PFH secondo EN ISO 13849-1

- Software gratuito

- Disponibili librerie prodotti Pizzato Elettrica su www.pizzato.it

-Documento con 37 esempi: BGIAReport2008e

http://www.pizzato.it/

http://www.dguv.de/bgia/en/pra/drehscheibe/index.jsp

Calcolatore di PL IFA/BGIA

- Molto semplice da utilizzare

- Gratuito

Strumento di calcolo

UNI EN ISO 13849-2: Validazione

VALIDAZIONE DELLA FUNZIONE DI SICUREZZA

VERIFICA

Ho realizzato il sistema correttamente?

VALIDAZIONE

Ho realizzato il sistema corretto?

La norma EN ISO 13849-1 è collegata ad una parte 2:

Parti dei sistemi di comando legate alla sicurezza

Parte 2: Validazione

Cosa si intende per validazione?

La validazione serve a dimostrare che la combinazione delle parti legate

alla sicurezza (SRP/CS) scelte per realizzare la funzione di sicurezza rispetti

la specifica dei requisiti di sicurezza per ciascuna funzione di sicurezza.

Analisi del rischio

Definizione delle funzioni di sicurezza da implementare

Specifica dei requisiti di

sicurezza per ciascuna

funzione di sicurezza

Progettazione dei sistemi di

sicurezza

Validazione dei sistemi di

sicurezza

Ciclo di vita SRP/CS semplificato

Specificare ad esempio:• Tipo di funzione• Evento iniziatore• Reazione e comportamento al guasto dell’alimentazione• Stato sicuro• Modo operativo• Frequenza della richiesta• Tempo di risposta• Priorità su altre funzioni• Caratteristiche ambiente di lavoro


VALIDAZIONEDocumenti in ingresso

Piano di validazione

Documenti in uscita

• Report test

• Report calcolo PL/PFHd

• Report collaudo

Il software di calcolo SISTEMA genera un

report contenente l’evidenza del calcolo

della PFHd e la stima del PL dei sistemi di

sicurezza realizzati.

Il piano di validazione è un documento

che contiene tutte le informazioni

necessarie per realizzare correttamente

la validazione:

Cosa fare

Come fare

Chi deve fare


CEI EN 62061: cenni

Esempio

Frequenza Fr= 5 +ProbabilitàPr= 4 +Evitabilità Av= 3 =Classe Cl=12

Severità Se=3

Valutazione SIL2

Analisi dei rischiDeterminazione del SIL richiesto

Parametri

- Se: Severità del danno- Fr: Frequenza di utilizzo- Pr: Probabilità che si verifichi l’evento pericoloso- Av: Possibilità di evitare l’evento pericoloso

CEI EN 62061 (cenni)

Il metodo di analisi del rischio della norma CEI EN 62061 risulta più oggettivo rispetto a quello presente

nella UNI EN 13849-1, soprattutto nella scelta della frequenza di esposizione.

SIL - Safety integrity level (1, 2, 3)

ARCHITETTURA CIRCUITALE (CATEGORIA DI SICUREZZA)

(monocanale, bicanale, con diagnostica, senza diagnostica)

λd

Tasso di guasto pericoloso

DCcopertura diagnostica (come EN 13849-1)

CCFcause di guasto comune (β) Nota: a differenza della EN 13849-1, nella norma EN 62061 il parametro β è contenuto all’interno delle

formule di calcolo della PFHd del sottosistema.

Parametri richiesti per il calcolo del SIL

CEI EN 62061 (cenni)

𝜆𝑑 =1

𝑀𝑇𝑇𝐹𝑑

M

FAQ

I finecorsa / elettrovalvole / contattori sottostanno a requisiti SIL o PL?No. Il SIL e il PL non sono applicabili a componenti singoli.

Ci sono analogie tra PL e SIL?Tramite il valore PFH è possibile stabilire una relazione tra PL e SIL. (v. Fase 4: „Determinazione del Performance Level raggiunto“).

Quale grado di copertura diagnostica è possibile prevedere per contattori e relè con apertura guidata dei contatti elettrici?In conformità a entrambe le norme, è possibile prevedere un DC del 99% in considerazione dei contatti con apertura guidata.Una funzione diagnostica con appropriata reazione al guasto rappresenta un prerequisito.

E’ prevista una probabilità di anomalia/guasto o un valore PFHD per componenti soggetti ad usura (es: dispositivi elettromeccanici)?No, l’utilizzatore può determinare un valore PFH per componenti soggetti ad usura sulla base dell’applicazione specifica utilizzandoil valore B10d in relazione al numero di cicli di lavoro.

Qual è la differenza tra MTBF (Mean Time Between Failures) e MTTF (Mean Time To Failure) ?L’MTBF descrive il tempo che intercorre tra 2 guasti, a differenza dell’MTTF che invece descrive l’intervallo di tempo prima che si verifichi il primo guasto. La relazione tra MTBF e MTTF è la seguente:

MTBF = MTTF + MTTRdove MTTR è il tempo necessario per la riparazione del guasto.In generale MTTF >> MTTR e quindi solitamente MTBF≈MTTF.

UNI EN ISO 13849-1 & CEI EN 62061 FAQ

Performance level(EN 13849-1)

Probabilità di guastipericolosi per ora (1/h)

SIL secondo EN IEC 62061

b 3∙10-6≤ PFHd≤10-5 SIL1

c 10-6≤ PFHd≤3∙10-6 SIL1

d 10-7≤ PFHd≤10-6 SIL2

e 10-8≤ PFHd≤10-7 SIL3

Cosa significa la lettera „d” in MTTFd?

„d” sta per „dangerous” –> l’MTTFd descrive l’intervallo di tempo prima che si verifichi il primo guasto pericoloso.

Posso applicare la EN 13849-1 nell’integrazione di dispositivi elettronici programmabili complessi?

Sì. Tuttavia, per il software del sistema operativo e per le funzioni di sicurezza secondo il PL „e“, è necessario tenere in considerazione i

requisiti della IEC 61508-3.

Cosa si può fare se il costruttore non fornisce alcun dato tecnico relativo ai componenti?

La EN ISO 13849-1 e la EN 62061 includono entrambe valori di riferimento per i componenti di utilizzo comune. Dove possibile, è comunque

preferibile utilizzare sempre i dati forniti dal costruttore dei componenti stessi.

I software applicativi devono essere certificati? Se „sì”, secondo quale norma?

No. Non è obbligatoria nessuna certificazione secondo entrambi gli standard. Tuttavia, è possibile che sia necessario certificare le

macchine (ad es. presse) secondo l’Allegato IV della Direttiva Macchine. I requisiti relativi alla produzione di software sono riportati sia nella

EN 62061 sia nella EN ISO 13849-1.

UNI EN ISO 13849-1 & CEI EN 62061 FAQ

Thanks for your attention

Documents

La sicurezza dei macchinari: dispositivi di interblocco