PT 10: Sicurezza funzionale in High Demand: Il Modello di Markov della Categoria 2 secondo la ISO 13849-1

Home » Approfondimenti » Sicurezza dei Processi » PT 10: Sicurezza funzionale in High Demand: Il Modello di Markov della Categoria 2 secondo la ISO 13849-1

Richiedi informazioni

Ultima modifica: 05/08/2025

Sommario:

Questo articolo è parte di una serie dedicata alla sicurezza funzionale dei macchinari. Nei lavori precedenti abbiamo presentato le Categorie B, 1 e 2. In particolare, abbiamo evidenziato come la Categoria 2 pur presentando un’architettura a singolo canale permette di raggiungere fino al livello d del Performance Level.

Per comprendere meglio le ragioni di alcune limitazioni, in questo articolo presentiamo il Modello di Markov alla base della Categoria 2. Questo articolo si basa su un documento interno ISO TC 199, distribuito nel 2017, ripreso poi in un articolo [6] citato in bibliografia. A breve, sarà pubblicato da ISO, un Rapporto Tecnico [7], che riprende i concetti esposti qui di seguito.

 

Introduzione

All’inizio del 2000, quando è stato presentato l’ approccio probabilistico alla sicurezza funzionale per la serie IEC 61508, un team dell’IFA ha risposto proponendo una modellazione di ciascuna categoria della EN 954-1 attraverso i modelli di Markov.

La categoria 2 può essere rappresentata attraverso diagrammi a blocchi di sicurezza, come mostrato nella Figura 1. Qui F rappresenta il canale funzionale (dato da componenti in ingresso, logica di controllo e segnale in uscita) ed M rappresenta il canale di Monitor . Il canale di monitor è deputato a eseguire i test del canale F ed è caratterizzato da una copertura diagnostica 𝐷𝐶 e dalla frequenza con cui esegue la funzione di test.

  • λFD è il tasso di guasto pericoloso del canale funzionale F.
  • λMD è il tasso di guasto pericoloso del canale di prova M.
  • β è il fattore di causa comune; questo fattore consente di tenere in conto influenza contemporaneamente il canale funzionale F e il canale di prova M;
  • rt è il tasso di prova del canale funzionale; ovvero la frequenza con cui il canale funzionale viene testato dal canale di prova.

Il canale funzionale è soggetto a richieste regolari della funzione di sicurezza, che avvengono in momenti casuali nel tempo e con un tasso indicato con rd. Viene effettuata, come da ipotesi, almeno una richiesta della funzione di sicurezza all’anno.

 

 

 

 

Figura 1: Architettura della Categoria 2

Ok state

La figura 2 mostra il modello a stati per un’architettura di categoria 2. Come si può vedere, si tratta di un sistema riparabile poiché sia ​​dallo stato di Operating Inhibition, sia dallo stato di Hazardous Event, il sistema viene riportato allo stato OK. Come già introdotto, questo è un approccio diverso dalla IEC 62061. Tuttavia, per la stessa funzione di controllo correlata alla sicurezza, la differenza di PFH (Avarage Frequency of dangerous Failure per Hour), nei due casi è trascurabile, in quanto il sistema viene considerato l’ultima barriera di sicurezza.

Si fa presente che fino all’edizione del 2015 della ISO 13849-1 tale indicatore veniva chiamato Avarage Probability of dangerous Failure per Hour e indicato con l’acronimo PFHD. Il concetto non è cambiato con l’edizione del 2023 della norma. Si è solo proceduto ad allineare sia l’acronimo che il nome alla IEC 62061 e alla serie IEC 61508: appunto PFH, Avarage Frequency of dangerous Failure per Hour. In questo articolo, dato che si cita un documento scritto nel 2018, si userà indistintamente PFH o PFHD, dato che indicato lo stesso parametro

Ciò significa che, per guasti che causano perdita della funzione di sicurezza, la riparazione del sistema ha un’influenza trascurabile sul valore PFH poiché, in entrambi i casi, il sistema di sicurezza fallisce, prima di essere riparato.

 

 

 

 

Figura 2: State Transition Model per l’architettura di Categoria 2 (1oo1D)

Analizziamo e semplifichiamo ora il grafico di Markov per una categoria 2 (o un sottosistema 1oo1D). La macchina è nello stato OK quando funziona normalmente e tutti i sistemi di controllo correlati alla sicurezza sono vigili e non interessati da alcun guasto.

Dall’Ok state al Failure state:

Il campo di applicazione della norma ISO 13849-1 si concentra sulle parti dei sistemi di comando legate alla sicurezza, ovvero alle SRP/CS (dall’inglese Safety-Related Part of a Control System), definite dalla norma come parte del sistema di controllo che risponde a segnali di ingresso legati alla sicurezza e genera segnali in uscita anch’essi legati alla sicurezza. L’SRP/CS che stiamo analizzando possiede un’architettura 1oo1D e quindi un guasto può verificarsi sia nel Canale Funzionale F, sia nel Canale di Monitoraggio M. Seguendo l’approccio della IEC 61508, un guasto pericoloso nel Canale Funzionale può essere Rilevato o Non Rilevato. Il canale di monitoraggio, come introdotto precedentemente, si occupa della diagnostica del canale funzionale quindi la perdita della sua funzione non interferisce con l’esecuzione della funzione di sicurezza ma è comunque da considerare un guasto pericoloso.

Pertanto, dallo stato OK il sistema può passare a 3 possibili stati:

  • F DD: Il sistema ha un guasto che è stato rilevato
  • F DU: Il sistema ha un guasto non rilevato
  • M D: Il Canale di Monitoraggio ha un guasto

Essendo λFD il tasso di guasto pericoloso, la sua parte rilevata è:

Dove DC è il Diagnostic Coverage

Il canale funzionale F e il canale di monitoraggio M possono contemporaneamente subire un guasto dovuto a una causa comune (situazione nota mediante l’acronimo CCF, dall’inglese Common Cause Failure); questo implica, facendo riferimento allo schema di figura 2, un passaggio diretto dallo stato OK allo stato FDU_MD. Le cause comuni di guasto riducono i miglioramenti di performance in termini di affidabilità in quanto inibiscono le funzioni del canale di monitoraggio, che è deputato a portare il sistema in uno stato sicuro. Per avere una stima del tasso di guasto dovuto a cause comuni può essere utilizzato, in prima battuta, il modello a fattore beta (𝛽) stimato utilizzando le indicazioni riportate negli standard IEC 61508, IEC 62061 ed ISO 13849.

β è quindi il fattore che tiene conto delle cause comuni e consente di stimare il tasso di guasto per causa comune λCC. Pertanto, la probabilità che l’SRP/CS passi dallo stato OK a F DD è collegata al seguente tasso di guasto:

 

Nel caso in cui il canale di monitoraggio non riesca a rilevare il guasto, il sistema passa a un cosiddetto stato pericoloso non rilevato, indicato come F DU. La probabilità che il sistema di sicurezza passi dallo stato OK a F DU è legata al seguente tasso di guasto:

La probabilità di un guasto del canale di monitoraggio è legata al seguente tasso di guasto:

Questo stato è definito come M D

E’ bene osservare che il modello di figura 2 è un modello a stati in cui alcune transizioni indicate non sono rappresentabili mediante un modello esponenziale: è possibile operare alcune semplificazioni che consentono di valutare il modello come un modello di Markov e di stimare il PFH in modo comunque accurato.

Il diagramma semplificato del modello di Markov:

Le semplificazioni che portano il modello a stati di figura 2 al modello di Markov vennero proposte da Dorra [6] e conducono al grafico di figura 5. Queste semplificazioni sono un importante esercizio in quanto poter paragonare i valori di PFH ottenuti utilizzando la tabella K.1 della ISO 13849-1 a quelli ottenuti mediante la IEC 62061 consente di affermare che i due standard, nelle ultime edizioni, sono allineati.

 

 

Figura 5: Modello di Markov semplificato per il calcolo del PFH nelle architetture 1oo1D

Il diagramma di figura 5 consente di ottenere il valore PFH istantaneo per l’architettura 1oo1D mediante la relazione:

L’importanza del time-optimal testing:

E’ bene osservare che il fattore peso di figura 5 introduce una metrica che consente di valutare l’efficacia del test considerando l’antagonismo tra la richiesta della funzione di sicurezza e l’esecuzione del test. E’ possibile quindi definire il fattore TRTE (Time-related Test Efficiency) la cui analisi, in fase di progettazione del sistema, consente di controllare l’efficacia del test.

E’ interessante osservare che l’affidabilità della funzione di sicurezza, per la categoria 2, dipende dal rapporto tra il demand rate ed il test rate. Questo aspetto non è ottimale quando si considera la modalità di funzionamento ad alta richiesta, mentre è la regola nella modalità di funzionamento a bassa richiesta (Proof Test). In conclusione: nella modalità di funzionamento ad alta richiesta, non vogliamo che l’affidabilità di una funzione di sicurezza dipenda dalla frequenza con cui il sottosistema viene testato rispetto alla frequenza con cui viene utilizzato.

Vale la pena osservare che l’architettura a singolo canale con una funzione diagnostica (1oo1D) presenta un’affidabilità maggiore rispetto a un sistema 1oo1 solo se siamo in grado di rilevare un guasto prima che vi sia una richiesta sulla funzione di sicurezza. Se il sistema non è in grado di farlo, il sistema 1oo1D è equivalente a un 1oo1. Vista l’aleatoreità dell’evento di guasto, il tasso di test deve essere molto più alto del tasso di domanda affinchè il canale di monitoraggio abbia la possibilità di rilevare un guasto prima che venga fatta una domanda sulla funzione di sicurezza.

Se la funzione di monitoraggio presenterà un’alta probabilità di rilevare un guasto prima della domanda sulla funzione di sicurezza, l’affidabilità dell’SRP/CS sarà indipendente dal rapporto Rd/Rt. In altri termini, è importante che il rapporto sia il più vicino possibile a 1. Ciò si ottiene quando il tasso di test è 100 volte il tasso di domanda: questo è chiamato “ time-optimal testing “:

Questa considerazione è riportata anche nella norma IEC 61508-2, §7.4.4.1.4.

Nella nuova edizione della norma ISO 13849-1, è indicato che, nel caso in cui il rapporto sia solo 25 volte, la funzione di monitoraggio sarà considerata ancora efficace e il PFH dovrà essere aumentato del 10%.

Un’alternativa al time-optimal testing è che il test della funzione di sicurezza avvenga insieme alla sua richiesta e, nel caso in cui venga rilevato un guasto, il tempo complessivo per portare la macchina in uno stato sicuro sia più breve del tempo per raggiungere il pericolo.

1oo1D in caso di time-optimal testing:

Nel caso di time-optimal testing, la formula diventa:

Se |X| << 1, la funzione esponenziale può essere sostituita, senza notevole perdita di precisione, dalla sua approssimazione quadratica:

La sostituzione della funzione esponenziale, nell’equazione PFH, con l’approssimazione di cui sopra produce:

λCC considera il guasto di causa comune sia del canale funzionale (FD) che del canale di prova (MD) e può essere stimato utilizzando la seguente equazione:

E’ bene osservare che nonostante ISO 13849-1 e IEC 62061 utilizzino una modellazione diversa, la differenza in PFH tra i due approcci è trascurabile.

Infatti, i modelli alla base della norma ISO 13849-1 che consentono di definire nella Tabella K.1 i valori di PFH, possono essere semplificati, come mostrato in questo articolo per un’architettura 1oo1D. Nonostante la norma ISO 13849-1 utilizzi le catene di Markov e assuma che i sistemi siano riparabili, le sue equazioni semplificate sono molto simili a quelle della norma IEC 62061, che utilizza diagrammi a blocchi di affidabilità e assume che i sistemi siano non riparabili.

Ambiti di competenza

Direttiva Macchine Sicurezza Macchine Sicurezza Funzionale Sicurezza dei Processi Normative Nord Americane Rischio elettrico Rischio Atex Marcatura CE Forni a Gas
Sicurezza nella robotica collaborativa
Non esiste un "robot collaborativo". Questa è una delle prime dichiarazioni di chi lavora nella robotica collaborativa. Il motivo è che ...
Leggi