Ultima modifica: 05/08/2023
In Europa, negli anni ’90, lo standard di riferimento per la sicurezza funzionale delle macchine era la norma EN 954-1. A quel tempo, i sistemi di controllo di sicurezza erano classificati in 5 categorie: dalla categoria B alla categoria 4. Di seguito una breve descrizione.
- La Categoria B è la categoria di base. Il verificarsi di un guasto può portare alla perdita della funzione di sicurezza.
- Nella Categoria 1 la resistenza ai guasti è migliorata soprattutto grazie alla selezione e all’applicazione dei componenti.
- Nelle Categorie 2, 3 e 4, il miglioramento delle prestazioni rispetto a una specifica funzione di sicurezza si ottiene principalmente migliorando la struttura della parte del sistema di controllo relativa alla sicurezza (SRP/CS).
- Nella Categoria 2, il miglioramento si ottiene controllando periodicamente che la funzione di sicurezza specificata venga eseguita.
- Nelle Categorie 3 e 4, questo obiettivo viene raggiunto garantendo che un singolo guasto non comporti la perdita della funzione di sicurezza.
- Nella Categoria 4, e ogniqualvolta sia ragionevolmente possibile nella categoria 3, tali guasti saranno rilevati. Nella categoria 4 sarà specificata la resistenza all’accumulo di guasti.
Negli Stati Uniti non esistevano norme tecniche di questo tipo. Tuttavia, l’OSHA nel 1975, nello standard per le presse elettriche, ha introdotto il concetto di Control Reliable (controllo affidabile).
[OSHA 1910.217: Mechanical power presses]. 1910.217(b)(13): Control reliability.
When required by paragraph (c)(5) of this section, the control system shall be constructed so that a failure within the system does not prevent the normal stopping action from being applied to the press when required, but does prevent initiation of a successive stroke until the failure is corrected. The failure shall be detectable by a simple test, or indicated by the control system. This requirement does not apply to those elements of the control system which have no effect on the protection against point of operation injuries
In altre parole, in caso di guasto del sistema di controllo legato alla sicurezza, questo deve portare il macchinario allo stato sicuro: in altre parole, il sistema di sicurezza deve essere “Fail Safe”. Anche in questo caso, nessuno standard tecnico definiva come implementare un sistema di controllo Control Reliable.
Questo concetto è stato successivamente adottato dall’ANSI RIA R15.06: 1999 e ampliato, seguendo un po’ l’approccio della EN 954-1, pur affermando quanto segue in una nota:
[ANSI RIA R15.06: 1999] 4.5 Safety circuit performance.
Note 2: These performance criteria are not to be confused with the European categories B to 3 as described in ISO/IEC DIS 13849-1, Safety of machinery – Safety-related parts of control systems – Part 1: General principles for design (in correlation with EN 954-1.) They are different. The committee believes that the criteria in 4.5.1-4.5.4 exceed the criteria of B – 3 respectively, and further believe the reverse is not true.
I 4 criteri di prestazione del circuito di sicurezza descritti nella norma ANSI RIA R15.06 erano i seguenti:
- Circuito di sicurezza semplice (Simple Safety Circuit):
I circuiti di sicurezza semplici sono progettati e costruiti utilizzando circuiti a canale singolo accettati e possono essere programmabili. Assomiglia a un circuito di categoria B.
- Circuito a canale singolo (Single Channel Circuit):
I circuiti di sicurezza a canale singolo includono componenti che devono essere classificati per la sicurezza, essere utilizzati in conformità con le raccomandazioni dei produttori e progetti di circuiti collaudati (ad esempio, un dispositivo elettromeccanico di interruzione positiva a canale singolo che segnala un arresto in uno stato di diseccitazione). Assomiglia a un dispositivo di Categoria 1.
- Circuito a canale singolo con monitoraggio (Single Channel with monitoring circuit):
I circuiti di sicurezza a canale singolo con monitoraggio includono i requisiti per il canale singolo, sono classificati per la sicurezza e devono essere controllati (preferibilmente automaticamente) a intervalli adeguati.
a) Il controllo della/e funzione/i di sicurezza deve essere eseguito
– all’avvio della macchina e
– periodicamente durante il funzionamento;
b) Il controllo deve:
– consentire il funzionamento se non sono stati rilevati guasti, oppure
– generare un segnale di arresto se viene rilevato un guasto. Se dopo l’arresto del movimento permane un pericolo, deve essere emesso un avviso;
– Il controllo stesso non deve causare una situazione di pericolo;
– In seguito al rilevamento di un guasto, deve essere mantenuto uno stato di sicurezza fino all’eliminazione del guasto.
Assomiglia alla Categoria 2, ma con il livello PL d poiché, in caso di guasto, deve essere raggiunto uno stato di sicurezza.
- Circuito affidabile di controllo (Control Reliable Circuit) :
I circuiti di sicurezza Control Reliable sono progettati in modo tale che il guasto di un singolo componente non impedisca l’azione di arresto della macchina.
a) Il monitoraggio deve generare un segnale di arresto se viene rilevato un guasto. Se dopo l’arresto del movimento permane un pericolo, viene emesso un avviso;
b) In seguito al rilevamento di un guasto, deve essere mantenuto uno stato di sicurezza fino all’eliminazione del guasto.
c) I guasti di modo comune devono essere presi in considerazione quando la probabilità che si verifichi un guasto è significativa.
d) Il singolo guasto deve essere rilevato al momento del guasto. Se non è possibile, il guasto deve essere rilevato alla successiva richiesta della funzione di sicurezza.
Ciò equivale ai seguenti livelli di affidabilità:
- Categoria 2, PL d secondo ISO 13849-1 o Architettura C SIL 2, secondo IEC 62061
- Categoria 3, PL d o PL e o Categoria 4 PL e o Architettura D SIL 2 o SIL 3, secondo IEC 62061.
Nonostante inizialmente non fosse possibile affermare una corretta equivalenza tra i circuiti di sicurezza ANSI RIA e la EN 954-1, riteniamo che ora sia possibile.
La seguente tabella mostra il nostro punto di vista:
