P8: Sicurezza funzionale in High Demand - Le categorie B, 1 e 2 della ISO 13849-1

Home » Approfondimenti » Sicurezza dei Processi » P8: Sicurezza funzionale in High Demand – Le categorie B, 1 e 2 della ISO 13849-1

Richiedi informazioni

Ultima modifica: 20/08/2025

Introduzione

ISO 13849-1 è uno dei due standard utilizzati per i macchinari e, almeno in Europa, è il più utilizzato tra i due, essendo il secondo la IEC 62061. Lo standard ISO è stato suddiviso in due parti:

  • ISO 13849-1: Sicurezza del macchinario — Parti dei sistemi di comando legate alla sicurezza — Parte 1: Principi generali per la progettazione
  • ISO 13849-2: Sicurezza del macchinario — Parti dei sistemi di comando legate alla sicurezza — Parte 2: Validazione

La prima edizione dell’ISO 13849-1 è stata pubblicata nel 1999 ed era identica all’EN 954-1:1996. L’ISO 13849-1 era semplicemente il numero ISO corrispondente alla EN 954-1; pertanto, la vera prima edizione (ufficialmente era la seconda) è stata nel 2006.

Le parti interessate che hanno redatto la EN 954-1 hanno visto la necessità di includere l’elettronica programmabile nei sistemi di sicurezza dei macchinari. In realtà, l’elettronica era già presente nella EN 954-1, ma senza alcun requisito dettagliato per il software. Lo standard necessitava di adottare un approccio probabilistico, lo stesso utilizzato dalla serie IEC 61508. Pertanto, la revisione che ha portato alla 2ª edizione della ISO 13849-1 ha combinato gli aspetti deterministici della EN 954-1 con l’approccio probabilistico della IEC 61508 e ha incluso per la prima volta i requisiti per il software.

Alcuni matematici dell’IFA hanno progettato i modelli di Markov per l’edizione 2006 dello standard.

La terza edizione è stata pubblicata nel 2015, mentre l’ultima, la quarta, è stata pubblicata nel 2022. Questa nuova edizione si basa sugli stessi principi della precedente. Di seguito menzioniamo due cambiamenti chiave:

  • Il processo di validazione, dettagliato nell’ISO 13849-2, è ora incluso nella prima parte. Il motivo principale è che le persone non si concentravano abbastanza sul processo di validazione. I produttori normalmente eseguono i calcoli, ma non verificano se, una volta installata e messa in servizio la macchina, il sistema di sicurezza funzioni come previsto: la validazione è fondamentale per confermare e garantire il livello di sicurezza richiesto.
  • Ora è chiaro che la Categoria è una caratteristica del sottosistema di sicurezza e non dell’intera funzione di sicurezza. Il sottosistema di ingresso può essere di Categoria 1 (canale singolo), mentre il sottosistema di uscita, della stessa funzione di sicurezza, può essere di Categoria 3 (doppio canale). La confusione derivava dall’eredità dell’EN 954-1. Il fatto che una funzione di sicurezza possa essere costituita da diverse categorie di sottosistemi significa che il suo livello di affidabilità è rappresentato solo dal suo livello di prestazione (PL). Nell’EN 954-1 l’affidabilità era rappresentata solo da un livello di categoria. Quando siamo passati all’ISO 13849-1, gli standard di tipo C hanno continuato a dare sia i requisiti PL che di Categoria per le funzioni di sicurezza. Da questa quarta edizione, è chiaro che solo il PL rappresenta il livello di affidabilità di una funzione di sicurezza: la categoria è solo un mezzo per raggiungerlo. Lo stesso vale per l’IEC 62061, in cui una funzione di sicurezza è caratterizzata solo da un livello SIL e non dalle architetture utilizzate per i vari sottosistemi.

I sottosistemi progettati secondo l’ISO 13849-1 devono essere conformi ai requisiti di una delle cinque categorie fondamentali per raggiungere un determinato Livello di Prestazione (Performance Level). Le categorie descrivono il comportamento richiesto dei sottosistemi in relazione alla loro resistenza ai guasti, basandosi su considerazioni progettuali come MTTFD, DCavg, ecc.

La Categoria B è la categoria di base, in cui l’insorgere di un guasto può portare alla perdita della funzione di sicurezza. Nella Categoria 1, una resistenza migliorata ai guasti viene ottenuta utilizzando componenti di alta qualità.

Con le Categorie 2, 3 e 4, viene raggiunta una maggiore affidabilità del sottosistema migliorando la tolleranza ai guasti (solo nelle Categorie 3 e 4) e le misure diagnostiche. Nella Categoria 2, poiché non c’è ridondanza, ciò viene ottenuto controllando periodicamente che la funzione di sicurezza sia eseguita senza guasti (Copertura Diagnostica). Nelle Categorie 3 e 4, la Copertura Diagnostica lavora insieme ai canali ridondanti, in modo che un singolo guasto non porti alla perdita della funzione di sicurezza.

Nella Categoria 4 e, ove ragionevolmente praticabile, nella Categoria 3, tali guasti dovrebbero essere rilevati.

Le cinque Categorie sono rappresentate nell’ISO 13849-1 da specifici diagrammi a blocchi RBD, ognuno dei quali soddisfa i requisiti della Categoria. La modellazione di Markov utilizzata dagli ingegneri dell’IFA ha considerato solo queste cinque Architetture; è possibile discostarsi da esse, ma ciò implica affrontare una nuova modellazione.

Per ogni sottosistema, il valore massimo di MTTFD per ciascun canale è limitato a 100 anni. Solo per i sottosistemi di Categoria 4, il valore massimo di MTTFD per ciascun canale è limitato a 2 500 anni.

Categoria B

I sottosistemi di Categoria B devono utilizzare i Principi di Sicurezza di Base (Basic Safety Principles), ove applicabili e dettagliati nell’ISO 13849-2, e devono essere progettati secondo gli standard pertinenti. Questo dovrebbe garantire che possano resistere alle sollecitazioni operative previste e alle influenze del materiale processato, come i detergenti (ad esempio, grazie all’uso di acciaio inossidabile) o altre influenze esterne rilevanti, come le vibrazioni meccaniche.

Il diagramma a blocchi di affidabilità di una Categoria B (e 1) è mostrato nella Figura 1. Viene rappresentato come avente un Ingresso, una Logica e un’Uscita, tuttavia, ogni categoria è applicabile a un sottosistema: ad esempio, un sottosistema di Ingresso o un sottosistema di Uscita. Pertanto, non lasciatevi confondere dalla figura: essa mostra un sottosistema e non necessariamente un sistema di controllo legato alla sicurezza.

legenda:

  • Im rappresenta i mezzi di interconnessione, tipicamente fili elettrici.
  • I rappresenta l’Ingresso.
  • L rappresenta la Logica di Sicurezza; può essere anche un filo, un Modulo di Sicurezza (non programmabile) o una Logica Programmabile.
  • O rappresenta l’Uscita; può essere un contattore o una valvola a solenoide.

Con questa categoria, non è necessaria alcuna copertura diagnostica e le considerazioni sui guasti comuni (CCF) non sono rilevanti; il massimo livello di prestazione (PL) raggiungibile è PL b.

Essendo un canale singolo, un singolo guasto può portare alla perdita della sotto-funzione di sicurezza.

Categoria 1

Nella Categoria 1, si applicano gli stessi requisiti della Categoria B; inoltre, dovrebbero essere seguiti i principi di sicurezza collaudati (well-tried safety principles), se applicabili. Inoltre, la Categoria 1 è l’unica a richiedere l’uso di componenti collaudati (well-tried components). Il diagramma a blocchi è lo stesso della Categoria B. Non è prevista la copertura diagnostica; le considerazioni sui guasti comuni (CCF) non sono rilevanti e il massimo livello di prestazione (PL) raggiungibile è PL c.

Un guasto può portare alla perdita della funzione di sicurezza; tuttavia, il MTTFD di un singolo canale nella Categoria 1 è superiore rispetto alla Categoria B; di conseguenza, la perdita della funzione di sicurezza è da ritenersi meno probabile.

Inoltre, essendo un sottosistema di Categoria 1, i componenti utilizzati dovrebbero essere well-tried e questo è il caso. Il dispositivo di interblocco è un “Interruttore con attuazione a modo positivo” che è conforme all’IEC 60947-5-1 e, pertanto, è un componente ben collaudato.

Concentriamoci ora sulla probabilità di guasti casuali.

  • Il primo step è calcolare l’MTTFD. Assumiamo che la macchina lavora 240 giorni all’anno e 8 ore al giorno.

Categoria 2

Nell Categoria 2 sia i Basic che i Well-tried safety principles devono essere seguiti.

Si tratta di un’architettura a canale singolo con il monitoraggio di ciascun sottosistema effettuato, nella sua forma più generale, da un’unità esterna chiamata Test Equipment. In caso di rilevamento di un guasto, il TE lo segnala al “mondo esterno” grazie a un’uscita: l’OTE (Output Test Element).

Di seguito il diagramma a blocchi:

Legenda:

  • Im rappresenta i mezzi di interconnessione, tipicamente fili elettrici.
  • I rappresenta l’Ingresso.
  • L rappresenta la Logica di Sicurezza; può essere anche un filo, un Modulo di Sicurezza (non programmabile) o una Logica Programmabile.
  • O rappresenta l’Uscita; può essere un contattore o una valvola a solenoide, per esempio.
  • m rappresenta il monitoraggio effettuato dal Test Element (TE).
  • OTE è l’uscita dell’equipaggiamento di test.

Rispetto alla Categoria 1, si può notare la presenza di un Canale di Test, costituito da un Test Element (TE) e dalla sua uscita, l’OTE, ossia l’Output Test Element.

Utilizzando un’architettura di Categoria 2, è possibile raggiungere tutti i livelli di prestazione, ad eccezione del PL e.

Inoltre, per questa categoria la Figura 4 mostra un sottosistema e non necessariamente un intero sistema di controllo relativo alla sicurezza. Nella Categoria 2, per raggiungere il PL d, è necessario che sia presente un certo livello di Copertura Diagnostica (almeno Bassa): il canale funzionale deve essere testato a intervalli idonei dall’equipaggiamento di test. Il controllo della funzione di sicurezza deve essere effettuato prima dell’inizio di una situazione pericolosa, ad esempio:

  • Prima dell’inizio di un nuovo ciclo e/o,
  • Prima dell’inizio di altri movimenti e/o,
  • Immediatamente alla richiesta della funzione di sicurezza e/o,
  • Periodicamente durante le operazioni, se la valutazione del rischio e il tipo di operazione dimostrano che è necessario.

Qualsiasi controllo della funzione di sicurezza consente il suo funzionamento, se non viene rilevato alcun guasto, oppure genera un’uscita (OTE), se viene rilevato un guasto.

È importante sottolineare che, in caso di PL d, l’OTE deve avviare uno stato sicuro, che viene mantenuto fino alla risoluzione del guasto. Al contrario, in caso di PL c, uno stato sicuro non è richiesto e sarebbe sufficiente fornire un avviso.

[ISO 13849-1] 6.1.3.2 Designated Architectures – Specification of Categories

6.1.3.2.4 Category 2.

[…] For PLr d the output (OTE) shall initiate a safe state that is maintained until the fault is cleared.

For PLr up to and including PLr c, whenever practicable the output (OTE) shall initiate a safe state that is maintained until the fault is cleared. When this is not practicable (e.g. welding of the contact in the final switching device) it may be sufficient for the output of the test equipment OTE to provide a warning.

La Copertura Diagnostica (DCavg) del canale funzionale deve essere almeno Bassa. L’MTTFD del canale funzionale può variare da basso ad alto, a seconda del livello di prestazione richiesto (PLr).

In ogni caso, sono applicabili le misure contro i guasti comuni (CCF).

Tra le quattro categorie, la Categoria 2 è probabilmente la più difficile da comprendere: cerchiamo di chiarirne l’uso e comprendere le ragioni delle sue limitazioni. Per farlo, è necessario esaminare la Modellazione di Markov. Lo faremo nel prossimo articolo, l’ultimo del 2024.

Ambiti di competenza

Direttiva Macchine Sicurezza Macchine Sicurezza Funzionale Sicurezza dei Processi Normative Nord Americane Rischio elettrico Rischio Atex Marcatura CE Forni a Gas
Sicurezza nella robotica collaborativa
Non esiste un "robot collaborativo". Questa è una delle prime dichiarazioni di chi lavora nella robotica collaborativa. Il motivo è che ...
Leggi