PT 13: Sicurezza funzionale in High Demand: IEC 62061 e le Architetture

Questo articolo è parte di una serie di articoli dedicati alla sicurezza funzionale delle macchine. Recentemente abbiamo presentato uno dei due standard utilizzati per progettare sistemi di controllo della sicurezza in alta richiesta: ISO 13849-1. Ora presentiamo gli aspetti chiave della norma IEC 62061.

In questo articolo descriveremo in dettaglio le Basic Subsystem Architectures A e B.

L’architettura A rappresenta un sistema di sicurezza in singolo canale senza diagnostica: ad esempio, un interblocco su un cancello di un’isola robotizzata collegato a un risolutore logico con 2 fili (un contatto privo di tensione).

L’architettura B a doppio canale senza diagnostica è tale che un singolo guasto di qualsiasi elemento del sottosistema non causa la perdita della funzione di sicurezza. Questa architettura corrisponde a una tolleranza ai guasti hardware pari a 1. Si tratta di un’architettura che non è modellata nella norma ISO 13849-1 poiché viene utilizzata raramente; normalmente, in caso di canale ridondante (due contattori in serie per arrestare un motore) viene fornita la diagnostica (il monitoraggio dello stato del contattore).

Si entra nel campo della Sicurezza Funzionale ogni volta che si utilizza un sistema di automazione per ridurre i rischi associati ai macchinari o ai processi industriali. La riduzione del rischio si ottiene in genere eliminando o controllando le fonti di energia. Queste energie possono essere elettriche (ad esempio, un motore che aziona un movimento pericoloso), pneumatiche, idrauliche o anche legate al processo, come il gas metano che alimenta un bruciatore o una pompa che aumenta la pressione in un serbatoio.

Ogni volta che si decide che la riduzione del rischio richiede, ad esempio, un sensore di pressione che attiva la chiusura di una valvola in caso di pressione eccessivamente alta, si opera nell’ambito della sicurezza funzionale. La sfida principale risiede nel fatto che qualsiasi componente del cosiddetto sistema strumentato di sicurezza (SIS), inclusi sensori, risolutori logici o elementi finali, può a sua volta guastarsi.

I componenti si guastano per due motivi:

• Si guastano perché non sono adeguatamente progettati, fabbricati, installati, utilizzati o sottoposti a una corretta manutenzione. Se prendiamo l’esempio degli pneumatici delle automobili, se utilizziamo un’auto con pneumatici gonfiati male, è probabile che si guastino più rapidamente del normale. Si tratta di Guasti Sistematici: dovuti a errori nella progettazione, nella fabbricazione, nell’installazione o nella manutenzione del componente. I Guasti Sistematici sono difficili da stimare e possono essere ridotti solo assicurandosi che l’intero processo, dalla progettazione del componente fino all’utilizzo e alla manutenzione del prodotto, sia eseguito correttamente.

Questo è il motivo per cui sono importanti concetti come la capacità sistematica o l’integrità sistematica della sicurezza dei componenti o dei sistemi di controllo relativi alla sicurezza.

Sia la norma ISO 13849-1 che la norma IEC 62061 definiscono le buone pratiche ingegneristiche da seguire per ridurre la probabilità di guasti sistematici: si tratta dei Basic e Well-tried safety principles. Inoltre, entrambe le norme richiedono un Functional Safety Plan. È possibile fare riferimento all’allegato I della norma IEC 62061 o all’allegato G della norma ISO 13849-1.

• Nonostante l’intero processo (dalla progettazione alla manutenzione) sia eseguito secondo regole e procedure corrette, durante il loro ciclo di vita i componenti subiscono Guasti Casuali: guasti che possono essere stimati statisticamente.

La prima edizione della norma IEC 62061 è stata pubblicata nel 2005. Intorno al 2010 è stato istituito un gruppo di lavoro con il compito di sviluppare una norma unificata per la sicurezza funzionale delle macchine, denominata ISO/IEC 17305. Questa nuova norma aveva lo scopo di combinare la ISO 13849-1 e la IEC 62061 in un unico documento. Purtroppo, il progetto non è mai stato portato a termine.

Quando il team di manutenzione IEC 62061 (MT 62061) si è riunito per la prima volta, ha deciso di utilizzare i risultati di quel precedente lavoro come base per la nuova edizione. Questo è uno dei motivi per cui la revisione della norma IEC 62061 si allinea maggiormente all’approccio della norma ISO 13849-1: il team ha cercato di bilanciare la metodologia sistematica della norma IEC 61508 con il quadro pragmatico della norma ISO 13849-1.

Diverse metodologie di stima dell’affidabilità possono essere applicate direttamente per valutare la probabilità di guasto dei sottosistemi relativi alla sicurezza, tra cui i Diagrammi a Blocchi di affidabilità e le Catene di Markov. La prima edizione della norma IEC 62061 ha adottato i Diagrammi a Blocchi di affidabilità (RBD) e ha trattato i sottosistemi di sicurezza come non riparabili.

Nella nuova edizione della norma IEC 62061, la formula per l’architettura di base del sottosistema C è derivata da un modello di stato di Markov, che presuppone che il sistema sia riparabile. Le altre formule di architettura rimangono invariate rispetto alla prima edizione.

L’architettura C sarà discussa in dettaglio nel prossimo numero di TUTTOMISURE.

In questa architettura, a singolo canale senza diagnostica, qualsiasi guasto pericoloso di un elemento del sottosistema causa un fallimento della funzione di sicurezza. Questa architettura corrisponde a una tolleranza ai guasti hardware (HFT) pari a 0.

In modalità di funzionamento ad alta richiesta o continua, l’architettura A non deve basarsi su un intervallo di prova di verifica (Proof Test interval) inferiore al tempo di vita (Mission Time).

Implicazione dei Vincoli di Architettura nella Basic Subsystem Architecture A

Considerando la tabella 1, con HFT = 0, è possibile raggiungere fino a SIL 3. Ciò può essere valido per i componenti elettronici. Tuttavia, per i componenti elettromeccanici, con SFF = DC = 0, è possibile raggiungere al massimo SIL 1, anche se la formula fornisce un PFH inferiore, a condizione che vengano utilizzati componenti collaudati.

Tabella 1: Vincoli di Architettura per sottosistemi composti da elementi elettromeccanici

Esempio di Basic Subsystem Architecture A: Interblocco

Consideriamo il sottosistema di input mostrato nella Figura 2.

Il dispositivo di interblocco ha B_10D = 20·10⁶ e si suppone verrà aperto due volte per ora.

Devono essere applicati i Basic e well-tried safety principles. Inoltre, devono essere utilizzati Well-tried Components. Le cause di guasto comune (CCF) non sono rilevanti.

Concentriamoci ora sulla probabilità di Guasti Casuali.

Il primo passo è calcolare il λD. Assumendo che la macchina lavora 240 giorni in un anno e otto ore al giorno

Essendo una Subsystem Architecture A, non è prevista alcuna diagnostica, il che significa che si considera SFF = DC < 60%.

Nonostante il PFH è molto basso, dato che SFF < 60 % e HFT = 0, il livello SIL è limitato dai Vincoli di Architettura a SIL 1.

Tabella 2: SIL 1 è il massimo SIL raggiungibile

Pertanto, il sottosistema di sicurezza raggiunge il livello SIL 1 e ha un PFH = 2,19∙10-9 1/h .

Questa architettura, a doppio canale senza diagnostica, è tale che un singolo guasto di qualsiasi elemento del sottosistema non causa la perdita della funzione di sicurezza. Questa architettura corrisponde a una tolleranza ai guasti hardware (HFT) pari a 1.

Questa Architettura non ha equivalenti nella ISO 13849-1.

Per l’Architettura B, il PFH del sottosistema è dato dalla seguente formula:

Dove:

• T1 è il Proof Test interval of the perfect Proof Test o la Useful Lifetime, a seconda di quale dei due valori è minore; la Useful Lifetime è il valore minimo tra T_10D e il Missione Time del sottosistema.
• β è la suscettibilità alle cause di guasto comune (CCF)

Implicazione dei Vincoli di Architettura nella Basic Subsystem Architecture B

Considerando la tabella 3 relativa ai Vincoli di Architettura, con HFT = 1 è possibile raggiungere fino al SIL 3. Ciò può essere valido per i componenti elettronici. Tuttavia, per i componenti elettromeccanici, con SFF = DC = 0, è possibile raggiungere al massimo il SIL 1, anche se la formula fornisce un PFH inferiore.

Tabella 3: Vincoli di Architettura in un sottosistema: massimo SIL raggiungibile per un SCS

Nel caso della Basic Subsystem Architecture B e SFF < 60%, non è necessario utilizzare componenti collaudati.

Esempio di Basic Subsystem Architecture B: Motore Elettrico

Per il circuito elettrico mostrato nella figura 5, il sottosistema di uscita del diagramma a blocchi relativo alla sicurezza è mostrato nella figura 6.

• Safety data:

K_P1 e K_P2 hanno B₁₀ = 10·10⁶ con 73% come frazione di guasti pericolosi (RDF secondo § 1.12.1). Consultando la scheda tecnica del produttore, la durata prevista è di 20 anni e ipotizziamo che il test di verifica (Proof Test) abbia la stessa durata, in quanto abbiamo deciso che non dovrà essere più breve della durata prevista.

• Frequenza di Utilizzo

Si considera che i contattori si aprano due volte al minuto.

• Evitabilità dei Guasti Sistematici

Poiché desideriamo dichiarare l’architettura B, vengono applicati i basic e well-tried safety principles. Poiché SFF < 60%, è necessario utilizzare anche i well-tried components (in questo caso due contattori). Abbiamo inoltre verificato che siano state applicate misure sufficienti per prevenire guasti dovuti a cause comuni (CCF): è possibile ipotizzare un β = 2%.

Concentriamoci ora sul calcolo della probabilità di Guasti Casuali:

1.Il primo passo è calcolare λD . Assumiamo che la macchina lavori 240 giorni l’anno per otto ore al giorno.

2. Il secondo passo è stimare T_10D e T₁

3. L’ultimo passo è calcolare il PFH

Essendo una subsystem architecture B, non c’è diagnostica. Ciò significa considerare SFF = DC < 60%.

Nonostante il PFH sia molto basso, il fatto che SFF < 60 % e HFT = 1, il livello SIL è limitato dai vincoli architettonici a SIL 1.

Tabella 4: Massimo SIL raggiungibile per un SCS

Il sottosistema raggiunge SIL 1 e ha un PFH = 1,01 10^-8 1/h.