PT11: Sicurezza funzionale in High Demand: le Categoria 3 e 4 secondo ISO 13849-1

Riassunto

Questo articolo fa parte di una serie di articoli dedicati alla sicurezza funzionale delle macchine. Recentemente abbiamo presentato uno dei due standard utilizzati per progettare sistemi di controllo della sicurezza ad alta richiesta: ISO 13849-1. Ricordiamo che ISO 13849-1 si basa su un complesso modello Markov dal quale sono state derivate cinque categorie. Ciascuna categoria descrive il comportamento richiesto dei sottosistemi in relazione alla loro resistenza ai guasti, sulla base delle considerazioni di progettazione precedentemente indicate (MTTFD, DCavg ecc.).

In Tuttomisure 3/2024 abbiamo presentato le categorie B, 1 e 2. Continuiamo ora con l’introduzione alle categorie 3 e 4. Presentiamo le caratteristiche principali e discutiamo in dettaglio come può essere gestito il canale diagnostico.

Che cos’è la Sicurezza Funzionale?

Ogniqualvolta si decide di utilizzare un sistema di Controllo, o di automazione, per ridurre un rischio associato a un macchinario o a un processo, è necessario far riferimento ai criteri dettati dalla teoria della sicurezza funzionale.

Normalmente il rischio si riduce rimuovendo tutte le energie: queste possono essere elettriche (un motore che aziona un movimento pericoloso), pneumatiche, idrauliche ma anche date da fluidi di processo come il gas metano per un bruciatore o una pompa che aumenta la pressione in un serbatoio. Ogni qualvolta si decide che, per ridurre il rischio, è necessario, per esempio, un sensore di pressione e che, in caso di un valore pericoloso elevato, una valvola deve essere chiusa, è lì che la Sicurezza Funzionale gioca un ruolo chiave.

Un esempio, più specifico per i macchinari, è il caso di un’isola robotizzata; ogni volta che un operatore entra nell’isola, un interblocco, posizionato sul cancello d’ingresso, deve attivare una funzione di sicurezza che arresta tutti i movimenti pericolosi del robot che opera all’interno della cella.

Il problema è che uno degli elementi di questa funzione di sicurezza può guastarsi. Entra quindi in gioco l’affidabilità di quella funzione di sicurezza, la quale deve essere tanto maggiore quanto maggiore è il rischio che riduce.

La stima dell’affidabilità delle Funzioni di Sicurezza, implementate mediante un Sistema di Controllo, è il dominio della Sicurezza Funzionale.

Le parti del sistema di controllo della macchina che forniscono funzioni di sicurezza sono definite dalla norma ISO 13849-1 come Safety‐related Parts of Control System (SRP/CS), mentre la norma IEC 62061 li definisce come Safety-related Control System (SCS). Possono essere costituiti da hardware e/o software e possono essere separati dal sistema di controllo della macchina oppure esserne parte integrante.

Ricordiamo che sia la norma ISO 13849-1 che la norma IEC 62061 scompongono le parti del sistema di controllo o SRP/CS relativi alla sicurezza in sottosistemi, solitamente costituiti da:

Input (Sensore)
Logic Solver (Modulo o PLC di sicurezza)
Output (Elemento Finale)

Introduzione alla Categorie 3 della ISO 13849-1

Nella Categoria 3, devono essere applicati sia i Basic safety principles che i Well-tried safety principles. Ogni sottosistema di Categoria 3 deve essere progettato in modo che un singolo guasto non comporti la perdita della funzione di sicurezza.

Inoltre, ove ragionevolmente possibile, un singolo guasto deve essere rilevato prima o al momento della successiva richiesta alla funzione di sicurezza.

Figura 1: Architettura Categoria 3

Keys:

Im rappresentano i mezzi di interconnessione, tipicamente fili elettrici
I₁ e I₂ rappresentano gli Input (ad esempio due dispositivi di interblocco)
L rappresenta la logica di sicurezza; solitamente un modulo di sicurezza (non programmabile) o una logica programmabile.
O rappresenta l’uscita; può essere un contattore o un’elettrovalvola, ad esempio
c è il monitoraggio incrociato
m linee tratteggiate rappresentano un rilevamento di guasti ragionevolmente praticabile

La copertura diagnostica (DC_avg) di ciascun sottosistema deve essere presente ed essere almeno di un livello definito come basso. Il MTTF_D di ciascun canale ridondante può essere da basso ad alto, a seconda del livello di prestazione richiesto (PLr).

Vengono applicate misure per ridurre il rischio di Guasti di Causa Comune (parametro CCF).

Nella Categoria 3, il requisito di rilevamento di un singolo guasto non implica che tutti i guasti vengano rilevati. Di conseguenza, l’accumulo di guasti non rilevati può portare a una situazione pericolosa sulla macchina.

Il comportamento del sottosistema realizzato con questa Categoria è quindi caratterizzato da:

Continuità della funzione di sicurezza in presenza di un singolo guasto.
Rilevamento di alcuni, ma non di tutti i guasti.
Possibile perdita della funzione di sicurezza, dovuta all’accumulo di guasti non rilevati.

Copertura Diagnostica nella Categoria 3

Nella figura 1 si nota come la funzione di diagnostica sia realizzata all’interno della logica di sicurezza. Questo è il modello di Markov usato per arrivare ai PFH della Tabella K della ISO 13849-1.

Vi sono però applicazioni in cui la copertura diagnostica viene eseguita esternamente alla logica di sicurezza o, meglio, al canale funzionale. Per esempio dal sistema di controllo.

In tal caso, è necessario giustificare che l’approccio semplificato (Allegato K della norma ISO 13849-1) sia ancora applicabile. La Figura 2 mostra come si presenterebbe il diagramma a blocchi di una categoria 3, nel caso di diagnostica esterna al sistema di sicurezza.

Figura 2: Architettura di Categoria 3 con Test Equipment esterno

Il problema è che i valori PFH della Tabella K.1 non rappresentano correttamente il livello di affidabilità di questo SRP/CS. È necessario, in principio, eseguire una modellazione di Markov di questo schema a blocchi. Tuttavia, stimiamo che la differenza nel PFH non sia significativa, a condizione che si possa dichiarare almeno un MTTF basso per l’apparecchiatura di prova (Test element o TE). Il requisito per l’MTTF dell’apparecchiatura di prova è quindi inferiore a quello richiesto in Categoria 2, poiché nelle Categorie 3 e 4 abbiamo un sottosistema ridondante.

Una delle condizioni da rispettare è che, in caso di rilevamento di un guasto in uno dei due canali (ad esempio, la saldatura dei contatti di un contattore), lo stato sicuro (l’altro contattore dovrebbe aprirsi) venga mantenuto fino alla risoluzione del guasto. Per questo motivo, nonostante sia possibile monitorare lo stato del contattore in un PLC di automazione, è necessario inviare un segnale alla logica di sicurezza che blocchi qualsiasi reset fino alla risoluzione del guasto (contattore KR in figura 3). In altre parole: la diagnostica può essere eseguita tramite un PLC generico, ma la reazione deve essere sicura. Il che significa anche che un singolo guasto non può causare la perdita della funzione di sicurezza.

Nel rapporto IFA [6] ci sono alcuni esempi in cui un PLC non di sicurezza viene utilizzato per la diagnostica in un sottosistema di categoria 3 o 4 e viene mantenuto l’approccio semplificato.

Figura 3: Architettura di Categoria 3 con Test Equipment esterno

Esempio di una Categoria 3 per Sottosistema di Ingresso: Dispositivo d’Interblocco

In questo esempio, un dispositivo di interblocco di tipo 2 (per ulteriori dettagli fare riferimento alla norma ISO 14199), montato su un cancello mobile che dà accesso a un’area protetta, è controllato da un PLC di sicurezza. In caso di apertura della protezione, la logica di sicurezza deve rilevarlo e intraprendere le azioni appropriate. Ci concentriamo sul sottosistema di input.

Per il circuito elettrico illustrato nella figura 4, il sottosistema di input del diagramma a blocchi relativo alla sicurezza è illustrato nella figura 5.

Dati di Affidabilità:

Dispositivo d’interblocco di tipo 2 ha B_10D = 1·10⁶ e Tempo di Missione di 20 anni

Frequenza di utilizzo:

Il dispositivo di interblocco dovrebbe aprirsi dieci volte all’ora.

Evitare Guasti Sistematici:

Poiché possiamo rivendicare la Categoria 3 (canali doppi con monitoraggio), vengono applicati Basic e well-tried Safety Principle. Abbiamo inoltre verificato che sono state adottate misure sufficienti per prevenire guasti per causa comune (punteggio CCF > 65).

Esclusione del guasto:

Considerando il modo in cui è stato installato il dispositivo di interblocco, riteniamo trascurabile la probabilità di rottura dell’attuatore. Pertanto, applichiamo l’esclusione del guasto alla parte meccanica del dispositivo di interblocco: questo è il significato dell’elemento FE in Figura 5. In Figura 6 mostriamo un’altra possibile rappresentazione equivalente.

Figura 4: Sottosistema di input del dispositivo d’interblocco

Figura 5: Sottosistema di input rappresentato come RBD

Figura 6: Un altro modo per rappresentare il sottosistema di input come RBD

Concentriamoci ora sul calcolo della probabilità di guasti casuali:

Il primo passo è calcolare il MTTF_D del dispositivo di interblocco. Ipotizziamo che il macchinario sia in funzione 365 giorni all’anno e 16 ore al giorno.

Essendo il sottosistema di Categoria 3, MTTF_D deve essere limitato a 100 anni;

Come secondo passaggio, stimiamo la copertura diagnostica. Il monitoraggio incrociato degli ingressi può essere eseguito solo a protezione aperta; pertanto, non può essere definito “Cross monitoring of input signals with dynamic test”, poiché non si tratta di un test dinamico automatico, anche in presenza del trigger. Può essere definito semplicemente come “cross monitoring of inputs without dynamic test”.

L’ultimo passaggio consiste nel fare riferimento alla tabella K.1 della ISO 13849-1 dove, per la Categoria 3 con DC media e MTTFD = 100 anni, il PFH_D = 4,29·10-8 che corrisponde a PL= e, tuttavia, poiché abbiamo effettuato un’esclusione del guasto sulla parte meccanica del dispositivo di interblocco (§ 4.11.2.3), il risultato finale è:

PFH_D = 4,29·10^-8 ; PL= d

Verifica della vita utile

Il concetto è presente sia nella IEC 62061 che nella ISO 13849-1. Dobbiamo verificare se il dispositivo di interblocco debba essere sostituito prima della scadenza della sua vita operativa. Come mostrato nella formula seguente, dovrà essere sostituito dopo 17 anni: non potrà essere utilizzato per l’intera durata della sua durata operativa.

Categoria 4

Nella Categoria 4, devono essere applicati sia i Basic che i Well-tried safety principles. Ogni sottosistema in Categoria 4 deve essere progettato in modo che un singolo guasto non comporti la perdita della funzione di sicurezza.

Inoltre, il singolo guasto deve essere rilevato al momento della richiesta di intervento della funzione di sicurezza o prima della successiva. Qualora tale rilevamento non sia possibile, l’accumulo di guasti non rilevati non deve comportare la perdita della funzione di sicurezza.

Figura 7: Architettura di Categoria 4

Le linee continue per il monitoraggio rappresentano una copertura diagnostica superiore a quella della categoria 3

La copertura diagnostica (DC_avg) di ciascun sottosistema deve essere elevata. L’ MTTF_D di ciascun canale ridondante deve essere elevato e devono essere applicate misure contro i CCF.

Il comportamento del sottosistema di questa Categoria è quindi caratterizzato da:

Esecuzione continua della funzione di sicurezza in presenza di un singolo guasto.
Rilevamento tempestivo dei guasti per prevenire la perdita della funzione di sicurezza.
Si considera l’accumulo di guasti non rilevati.

Come si evince, la Categoria 4 è molto simile alla Categoria 3; questo è il motivo per cui la IEC 62061 ha un’architettura che copre sia la Categoria 3 che la Categoria 4: l’Architettura D (1oo2D), di cui parleremo nei prossimi numeri di Tuttomisure.

Quando si utilizza la Tabella K.1 per valutare il livello di affidabilità di un sistema di sicurezza, al fine di progettare un sottosistema di Categoria 4 il livello diagnostico di entrambi i canali deve essere almeno del 99%.

Un sottosistema di Categoria 4 raggiunge un Livello di Prestazione PL= e, equivalente a SIL 3, che sono il massimo raggiungibile utilizzando ISO 13849-1 o IEC 62061.