Ultima modifica: 10/03/2024
IL DUBBIO: Che cosa significa che il sistema di sicurezza funziona in High Demand o in Low Demand e perché è importante comprenderne la differenza?
CONSIDERAZIONI: Usando un’analogia con la mobilità urbana, le caratteristiche di un’auto utilizzata ogni giorno dovrebbero essere diverse da quelle di un’auto usata una volta ogni quattro anni. In entrambi i casi stiamo cercando un’auto affidabile ma se non specifichiamo al costruttore che vogliamo usarla ogni quattro anni è probabile che quando entriamo nell’auto, dopo che è stata parcheggiata nel nostro garage per quattro anni e proviamo ad avviarla, essa non si avvii, perché la batteria è scarica.
Questi sono i motivi per cui i sistemi di sicurezza si dividono in 2 categorie:
- Sistemi di sicurezza in High Demand (alta richiesta)
- Sistemi di sicurezza in Low demand (bassa richiesta)
Nella Sicurezza dei Processi la maggior parte dei sistemi di sicurezza strumentali (SIF) sono richiesti raramente, ovvero intervengono solo quando il sistema di controllo non riesce a tenere il processo entro certi limiti.
Consideriamo ad esempio un sensore di alta pressione di un serbatoio contenente gas. Solitamente è presente un sistema di controllo che mantiene la pressione all’interno del serbatoio entro determinati valori. Generalmente gli allarmi vengono generati prima che il sensore di alta pressione intervenga. Tale pressostato potrebbe essere quindi chiamato a svolgere la propria funzione di sicurezza una volta ogni, per esempio, 4 anni. Quale garanzia abbiamo che dopo 4 anni il pressostato sia ancora funzionante? Nell’esempio qui sotto, un generatore di vapore è dotato di un loop di controllo di livello: se i livello d’acqua diminuisce si apre la valvola di immissione della stessa. Il sistema di sicurezza controlla il livello di minima (LSLL) e la pressione massima (PSHH). Nel caso di alta pressioine, viene spento il bruciatore. Ancora una volta, tale pressostato funziona in Low Demand (si spera! Altrimenti vuol dire che il sistema di controllo non vale un gran che!).
Nelle Macchine, quando ci occupiamo di cancelli interbloccati che vengono aperti, per esempio, una volta al giorno, siamo nel campo dei sistemi di controllo di sicurezza ad alta richiesta (Safety Control System secondo il nuovo acronimo della IEC 62061:2021). Il fatto di attivare l’interblocco di sicurezza ogni giorno è di per sé un test diagnostico per verificare che il componente sia ancora correttamente funzionante. Nel caso in cui utilizziamo 2 interblocchi sullo stesso cancello, possiamo ipotizzare un solo guasto tra due attivazioni (una oggi e l’altra domani) poiché l’accumulo di guasti è improbabile, data l’alta frequenza di richiesta. Questo non è il caso del nostro pressostato di alta, attivato ogni quattro anni!
Questa è, in sostanza, la ragione per cui i “due mondi” corrono in parallelo e hanno approcci molto diversi.
La norma di riferimento per le applicazioni in Low Demand è la IEC 61511-1, anche se sono presenti 2 guide alla stessa:
IEC 61511-1: 2016. Functional safety – Safety instrumented systems for the process industry sector – Part 1: Framework, definitions, system, hardware and application programming requirements
IEC 61511-2: 2016. Functional safety – Safety instrumented systems for the process industry sector – Part 2: Guidelines for the application of IEC 61511-1:2016
IEC 61511-3: 2016. Functional safety – Safety instrumented systems for the process industry sector – Part 3: Guidance for the determination of the required safety integrity levels
Mentre, per l’High Demand, le due norme di riferimento sono: IEC 62061, pubblicata a Marzo 2021 come seconda edizione e ISO 13849-1, che avrà una nuova edizione, la quarta, nel 2022:
IEC 62061: 2021. Safety of machinery – Functional safety of safety-related control systems
[13]: ISO 13849-1:2015 – Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
[14]: ISO 13849-2:2012 – Safety of machinery — Safety-related parts of control systems — Part 2: Validation
L’anno scorso abbiamo pubblicato un libro sugli standard di sicurezza ad alta e bassa richiesta.
La ISO 13849-1 si occupa solo di parti del sistema di controllo (SRP/CS) relative alla sicurezza in High Demand (alta richiesta). Nel comitato tecnico che scrive la IEC 62061 (a cui GT Engineering partecipa a livello internazionale) c’è la volontà di considerare anche le applicazioni in Low Demand (bassa richiesta); non perché si voglia “competere” con la IEC 61511-1, ma perché nelle Macchine il costruttore può trovare situazioni in cui il sistema di sicurezza ha parti in alta richiesta ma anche in bassa richiesta.
Immaginate un forno per il trattamento termico con termocoppie di alta temperatura che proteggono la camera nel caso in cui la temperatura si avvicini a quella di progetto. Quel Sottosistema di Sicurezza funziona sicuramente in Low Demand. Non è quindi possibile utilizzare solamente le regole della ISO 13849-1: si devono utilizzare altre metodologie (IEC 61511-1) o fare ulteriori considerazioni.
A questo proposito, nel 2023 è stata pubblicata una nuova Norma Tecnica (Technical Standard):
IEC TS 63394: 2023 – Safety of machinery – Guidelines on functional safety of safety-related control system
Nell’Allegato J, viene mostrato un modo per affrontare i sistemi di sicurezza con cicli sia ad alta che a bassa domanda.
CONCLUSIONI:
La distinzione tra applicazioni di sicurezza ad alta e bassa richiesta è importante, specialmente per i macchinari. Quando si analizza un circuito di sicurezza, bisogna pensare sempre a quanto spesso sarà utilizzato o attivato. Se questo avviene almeno una volta alla settimana, si può ragionare in termini di High Demand e non è necessario fare altre considerazioni. Per una frequenza inferiore a questa, è necessario pensare a manutenzioni e verifiche aggiuntive. Per frequenze inferiori a una volta all’anno, è necessario, per ora, utilizzare l’approccio della IEC 61511-1. Rimane infine ancora l’intenzione di aggiungere il Low Demand alla IEC 62061 in un futuro prossimo, ma vedremo.