P7: Sicurezza funzionale in High Demand: le categorie della ISO 13849-1

La norma ISO 13849-1 è destinata alla progettazione e alla valutazione delle parti dei sistemi di controllo legate alla sicurezza (SRP/CS) e solo queste parti dei sistemi di controllo legate alla sicurezza rientrano nel campo di applicazione della norma. Si applica alle SRP/CS per modalità di funzionamento ad alta richiesta e richiesta continua, compresi i loro sottosistemi, indipendentemente dal tipo di tecnologia ed energia utilizzata: elettrica, idraulica, pneumatica o meccanica. La ISO 13849-1 non si applica alla modalità di funzionamento a bassa richiesta. Ciò non significa che il funzionamento in Low Demand non sia possibile nelle macchine, ma semplicemente che si deve utilizzare uno standard diverso, come la norma IEC 61511-1.

La capacità delle parti dei sistemi di controllo legate alla sicurezza di svolgere le funzioni di sicurezza in condizioni prevedibili è indicata da uno dei cinque livelli chiamati Performance Level o PL. L’allegato A della norma ISO 13849-1 contiene un metodo che può essere utilizzato per la determinazione del PLr di una funzione di sicurezza eseguita dall’SRP/CS. In alternativa si può utilizzare anche l’Allegato A della norma IEC 62061.

Il Performance Level richiesto corrisponde alla riduzione del rischio che la funzione di sicurezza deve fornire: maggiore è il contributo richiesto alla riduzione del rischio, maggiore è la prestazione di sicurezza necessaria. I Performance Level delle funzioni di sicurezza sono definiti in termini di “Probabilità” media di guasto pericoloso per ora. Esistono cinque livelli, che vanno da un basso contributo alla riduzione del rischio per il PL a, a un alto contributo alla riduzione del rischio per il PL e. Gli intervalli definiti come Probabilità di guasto pericoloso all’ora sono mostrati nella Tabella 1.

Per facilitare la progettazione di una SRP/CS e la valutazione del PL ottenuto, la norma ISO 13849-1 impiega una metodologia basata sulla categorizzazione delle architetture, con criteri di progettazione specifici (MTTFD e DCavg) e considerando un comportamento specifico in condizioni di guasto. A queste architetture viene assegnata una delle cinque strutture denominate Categorie B, 1, 2, 3 e 4.

La prima edizione della ISO 13849-1 era l’evoluzione della EN 954-1 e si basava ancora sul cosiddetto approccio deterministico. Nonostante nella seconda edizione della ISO 13849-1 sia stato introdotto l’approccio della teoria dell’affidabilità, il cosiddetto approccio probabilistico, le 5 categorie definite dalla EN 954-1 sono state mantenute come elementi di base dello standard.

Una delle differenze tra la EN 954-1 e la ISO 13849-1 è che nella prima le categorie erano associate all’intera SRP/CS, mentre nella seconda sono state utilizzate per rappresentare i soli sottosistemi. Questa associazione è chiaramente indicata nella nuova edizione 2023. Per questo motivo, non è corretto richiedere che un Sistema di sicurezza sia di Categoria 3, ad esempio, poiché un sistema può essere progettato con i seguenti diversi sottosistemi:

• Il sottosistema di ingresso è di Categoria 3: ad esempio un interblocco con due contatti VFC (Free Voltage Contact)
• La logica è un PLC di sicurezza, solitamente di Categoria 4,
• L’uscita è di Categoria 1: ad esempio un contattore singolo.

Nella norma EN 954-1 la categoria indicava il livello di affidabilità di una SRP/CS. Le norme di tipo C richiedevano, ad esempio, una SRP/CS di Categoria 3 o 1: questo era il linguaggio comune utilizzato. Nella nuova edizione della ISO 13849-1, il concetto viene chiarito: la categoria è un modo per raggiungere il Performance Level di un sottosistema. Pertanto, è improprio descrivere una SRP/CS in termini di Categoria: un sistema di sicurezza ha un PFH e un Livello di prestazione (o un SIL, se si utilizza la IEC 62061), ma nessuna Categoria associata (né Architettura).

La quantificazione numerica della probabilità di guasto di un sottosistema non può mai essere ottenuta esattamente, ma è possibile solo per approssimazione con l’ausilio di metodi statistici o altre stime.

A questo scopo è possibile utilizzare qualsiasi metodo convalidato e riconosciuto. Tra questi metodi rientrano i diagrammi a blocchi di affidabilità (utilizzati nella norma IEC 62061), l’analisi dell’albero dei guasti, la modellazione di Markov (utilizzata nella norma ISO 13849-1) o le reti di Petri.

Tuttavia, in generale, gli ingegneri privi di esperienza pregressa nella quantificazione della probabilità di guasto dei sistemi di controllo di sicurezza necessitano di un certo grado di supporto. Questa esigenza è stata affrontata, nella norma ISO 13849-1, sviluppando un approccio semplificato, detto anche metodo semplificato, che, pur basandosi su solidi principi scientifici (modellazione di Markov), descrive un metodo semplice per la quantificazione in fasi successive.

Il punto di partenza del metodo semplificato è l’osservazione che la maggior parte dei sistemi di controllo correlati alla sicurezza può essere raggruppata in un numero molto piccolo di tipi di base o in combinazioni di questi tipi di base.

Questi tipi sono:

• da un lato, il sistema monocanale non testato con componenti con diverso livello di affidabilità;
• al centro dello spettro, lo stesso tipo, ma migliorato dai test; e
• all’altra estremità, il sistema a due canali caratterizzato da test di alta qualità.

Nei macchinari sono rari i sistemi con più di due canali, ad esempio tre contattori in serie sullo stesso motore.

Questo fu il punto di partenza per lo sviluppo dell’approccio probabilistico della norma ISO 13849-1 . All’epoca, si decise che le cinque categorie della EN 954-1 potessero coprire la maggior parte dei Sistemi di Controllo di Sicurezza utilizzati nelle Macchine e, per questo motivo, si garantì intenzionalmente la continuità con la norma precedente.

La norma EN 954-1 definisce cinque strutture come Categorie, mentre la norma ISO 13849-1 integra la precedente definizione di Categoria con requisiti quantitativi per l’affidabilità dei componenti (MTTF _D ), la copertura diagnostica dei test (DC _avg ) e la resistenza ai guasti per causa comune (CCF). Inoltre, associa le Categorie a cinque tipologie strutturali di base, denominate ” architetture designate “.

Pertanto, la norma ISO 13849-1 fornisce un approccio semplificato, basato sulla definizione di cinque architetture designate, che soddisfano criteri di progettazione e comportamento specifici in condizioni di guasto.

Le Categorie sono quindi importanti per raggiungere un PL specifico per un sottosistema. Tuttavia, lo standard chiarisce che esse mostrano una rappresentazione logica della struttura del sottosistema, che può differire da quella fisica.

[ISO 13849-1] 6.1.3.2 Architetture designate – Specifica delle categorie

6.1.3.2.1 Generale . […] Le Architetture designate mostrano una rappresentazione logica della struttura dei sottosistemi per ciascuna Categoria.

NOTA 1: Per le Categorie 3 e 4, non tutte le parti sono necessariamente fisicamente ridondanti, ma esistono mezzi ridondanti per garantire che un singolo guasto non possa portare alla perdita della sottofunzione. Pertanto, la realizzazione tecnica (ad esempio, lo schema elettrico) può differire dalla rappresentazione logica dell’architettura.

Un altro modo per esprimere lo stesso concetto è che ciascuna delle 5 categorie della norma ISO 13849-1 descrive il comportamento richiesto del sottosistema rispetto alla sua resistenza ai guasti .

Consideriamo il meccanismo di blocco della protezione di un dispositivo di interblocco. Il mercato offre dispositivi di interblocco che possono raggiungere il PL e ; hanno canali elettrici ridondanti, come due contatti liberi da tensione (VFC) o due contatti del dispositivo di commutazione del segnale di uscita (OSSD), ma il meccanismo di blocco della protezione è costituito da un singolo elemento . Questa non è una soluzione insolita: il motivo è che, nei dispositivi meccanici con architettura a singolo canale, il rilevamento dei guasti da parte del sistema di controllo potrebbe non essere possibile in determinate situazioni o il suo costo sarebbe ingiustificato. Tuttavia, è importante che tutti i guasti probabili vengano valutati dal produttore del dispositivo di interblocco e che qualsiasi modalità di guasto pericolosa venga eliminata o dimostrata tecnicamente improbabile . Ciò può essere ottenuto sovradimensionando le parti critiche del dispositivo e successivamente testandole. In tal caso, il meccanismo di blocco a singolo canale può essere utilizzato in un’architettura ridondante, nel nostro esempio un dispositivo di interblocco con blocco della protezione, poiché raggiunge il comportamento di Categoria 4 pertinente .

Per esprimere il concetto in modo diverso, laddove si dimostri che i guasti meccanici sono tecnicamente improbabili, si presume il mantenimento della funzione di sicurezza in presenza di un singolo guasto . Naturalmente, l’esclusione specifica dei guasti può essere giustificata solo se il dispositivo viene utilizzato secondo le specifiche del produttore.

La norma IEC 61508-2 accetta l’uso dell’esclusione dei guasti .

[IEC 61508-2] 7.4.4.1 Requisiti generali

7.4.4.1.1 Per quanto riguarda i requisiti di tolleranza ai guasti hardware

  […]

1. Nel determinare la tolleranza ai guasti hardware raggiunta, è possibile escludere determinati guasti , a condizione che la probabilità che si verifichino sia molto bassa in relazione ai requisiti di integrità della sicurezza del sottosistema. Qualsiasi esclusione di guasti di questo tipo deve essere giustificata e documentata (vedere Nota 2).

Il livello di prestazione deve essere determinato per ciascun sottosistema e/o ciascuna combinazione di sottosistemi che forniscono una funzione di sicurezza. Il PL del sottosistema deve essere determinato considerando i seguenti aspetti:

• l’architettura
• Scomporre le parti relative alla sicurezza del sistema di controllo in sottosistemi (5.1.3)
• Assegnare una categoria a ciascun sottosistema;
• Valutare se sono soddisfatti i requisiti qualitativi applicabili della categoria (tabella 6.1), tra cui:
• principi di sicurezza di base
• principi di sicurezza ben collaudati
• componenti ben collaudati
• Valutare se il comportamento richiesto in condizioni di guasto è soddisfatto;
• Il valore MTTF _D per i singoli componenti (allegati C e D della norma ISO 13849-1);
• La Copertura Diagnostica , limitata in ogni caso dalla Categoria selezionata (Allegato E della ISO 13849-1);
• Il CCF deve raggiungere almeno 65 punti (Allegato F della norma ISO 13849-1);
• L’effetto della progettazione del software correlato alla sicurezza sul funzionamento dell’hardware (Allegato J della norma ISO 13849-1);
• L’effetto delle misure contro i guasti sistematici (Allegato G della ISO 13849-1)