Ultima modifica: 21/08/2025
Sommario
Questo articolo fa parte di una serie di pubblicazioni dedicate alla Sicurezza Funzionale dei macchinari.
Nei precedenti articoli, apparsi su questa rivista, abbiamo introdotto una delle due norme utilizzate per progettare i Sistemi di Controllo che svolgono funzioni di Sicurezza, in condizioni di Alta Richiesta: si tratta della ISO 13849-1.
Ora presenteremo quanto invece riportato nella IEC 62061.
La norma è stata aggiornata nel 2021 e ha avuto una revisione nel 2024.
Si tratta della seconda norma utilizzata nella Sicurezza delle Macchine, ed è quella meno utilizzata.
È derivata dall’approccio della serie di norme IEC 61508, e il livello di affidabilità di una funzione di sicurezza viene espresso in SIL (Safety Integrity Level).
È la norma più utilizzata per macchinari che includono loop di processo interni, come nei forni industriali o negli impianti chimici.
Breve storia della IEC 62061
La prima edizione della IEC 62061 è stata pubblicata nel 2005, come parte dell’approccio descritto nella IEC 61508. È rivolta al settore dei macchinari e consente di verificare il livello di affidabilità raggiunto da un Sistema di Controllo legato alla Sicurezza (SCS – Safety-related Control System).
[IEC 62061 DIS: 2020] Introduction
[…] This International Standard is intended for use by machinery designers, control system manufacturers and integrators, and others involved in the specification, design and validation of an SCS. It sets out an approach and provides requirements to achieve the necessary performance.
Intorno al 2010 è stato istituito un gruppo di lavoro con l’incarico di redigere una norma unica per la Sicurezza Funzionale dei Macchinari, denominata ISO/IEC 17305, con l’obiettivo di unificare la ISO 13849-1 e la IEC 62061. Purtroppo, questa nuova norma non ha mai visto la luce; ci si è insomma fermati ad una prima bozza.
Quando il gruppo MT 62061 (MT sta per Maintenance Team, in ambito IEC) si è riunito per la prima volta, ha deciso che quella bozza avrebbero rappresentato il punto di partenza per la nuova edizione della norma IEC 62061. Questo è uno dei motivi per cui la nuova edizione della IEC 62061 si avvicina molto, nell’approccio, alla ISO 13849-1: il gruppo di lavoro ha cercato di mediare il formalismo della IEC 61508 con il pragmatismo della ISO 13849-1.
Ecco i principali cambiamenti rispetto all’edizione precedente:
- La nuova norma è ora applicabile anche a tecnologie non elettriche. Per questo motivo si fa ora riferimento ai Sistemi di Controllo legati alla Sicurezza (SCS – Safety-related Control Systems) anziché ai soli Sistemi di Controllo Elettrici legati alla Sicurezza (SRECS).
- Le architetture sono ora meglio definite, in particolare l’Architettura C, così come le formule da utilizzare.
- Il vincolo di architettura, precedentemente chiamato SIL Claim, è ora definito come il SIL massimo che un sottosistema può raggiungere.
- Sono stati aggiunti requisiti sull’indipendenza nelle attività di verifica e validazione del software.
- Sono stati introdotti nuovi allegati informativi importanti; le informazioni contenute e l’approccio descritto derivano dalla ISO 13849-1:
- Allegato C: esempi di valori B10D e MTTFD per i componenti.
- Allegato D: esempi di valori di Diagnostic Coverage (DC).
Vincoli di Architettura
La norma IEC 62061 rimane connessa all’approccio della IEC 61508 denominato Route 1H.
In modalità a bassa richiesta, o low demand, i componenti sono classificati come Type A o Type B e vengono utilizzate due tabelle diverse per determinare il livello massimo di SIL che un sottosistema di sicurezza può raggiungere. Nella IEC 62061, invece, è definita una sola tabella per tutti i tipi di componenti, il cui contenuto è simile a quello utilizzato per i componenti Type B.
Nel contesto dell’hardware safety integrity, il livello più alto che può essere dichiarato da un SCS (Safety-Related Control System) è limitato dalla tolleranza ai guasti hardware (HFT – Hardware Fault Tolerance) e dalla percentuale di guasti sicuri (SFF – Safe Failure Fraction) del sottosistema che esegue la funzione di sicurezza: il riferimento da utilizzare è la Tabella 1, che corrisponde alla Tabella 6 della IEC 62061.
| NOTA 1: Un Hardware Fault Tolerance di N significa che N+1 guasti possono causare la perdita della funzione di sicurezza. |
| NOTA 2: “Low”, “medium” e “high” sono la denominazione utilizzata da ISO 13849-1 per la quantificazione e classificazione dei DCavg ranges. |
| NOTA 3: Per HFT = 0 e SFF ≥ 99 %, le seguenti limitazione possono essere rilevanti:
§ E’ raccomandato di limitare il massimo SIL raggiungibile a 2 laddove sono state applicate fault exclusions che potrebbero portare a situazioni di pericolo (vedi IEC 62061, 7.3.3.3) § SIL 3 può essere raggiunto solo in presenza di monitoraggio continuo del corretto funzionamento dell’elemento. Tipicamente, è richiesta componentistica elettronica per questo scopo |
| NOTA 4: Dove sono utilizzati standard di prodotto, come IEC 61800-5, IEC 61800-5, IEC 61131-2, si può assumere che i basic safety principles siano rispettati |
| NOTA 5: In accordo con la ISO 13849-1, PL d può essere raggiunto solo quanto l’output (OTE o Fault Reaction function) porta ad uno stato sicuro che è mantenuto fino a che il guasto non è stato risolto: non è sufficiente che l’output of the test equipment (OTE) emetta un allarme. |
| NOTE 6: In caso si abbiano entrambe le Architetture base A e B, consideriamo il caso con solo componenti elettromeccanici. |
Si può notare che non esiste un’equivalenza tra i livelli SIL e i “PL a” o i “PL b”. Secondo la ISO 13849-1, è possibile realizzare un sistema di sicurezza a singolo canale che non utilizza componenti di comprovata affidabilità (well-tried components): è sufficiente impiegare sottosistemi di Categoria B con livelli di affidabilità pari a PL a o PL b.
Utilizzando la IEC 62061, ciò non è possibile, poiché un’Architettura di un Sottosistema Base di tipo A (1oo1) può essere realizzata solo utilizzando well-tried components. In altri termini, secondo la ISO 13849-1, è possibile utilizzare un PLC di tipo “general purpose” per implementare un sistema di sicurezza: il massimo PL raggiungibile è PL b. Questo non è consentito dalla IEC 62061, né con un canale singolo (Architettura A), né con un canale ridondante privo di diagnostica (Architettura B).
Approccio semplificato
Analogamente alle categorie della ISO 13849-1, la norma IEC 62061 prevede quattro Architetture per ciascun sottosistema di sicurezza (Basic Subsystem Architectures), che permettono l’utilizzo di un approccio semplificato, come nella ISO 13849-1. Invece di un grafico o di una tabella che mostra i valori di PFH, la IEC 62061 fornisce all’utente delle formule che rappresentano, in generale, una semplificazione dei Diagrammi a Blocchi di Affidabilità (Reliability Block Diagrams), e sono pensate per fornire stime conservative del PFH. In altri termini, ciascuna architettura di base è dotata di una formula per il calcolo del PFH. La formula contiene variabili come il tasso di guasto o la Copertura Diagnostica. Nell’ultimo numero dell’anno 2025 di Tuttomisure, entreremo nel dettaglio di ciascuna Architettura di Base e mostreremo le diverse formula.
Tuttavia, tali formule sono applicabili solo se soddisfatte le seguenti due condizioni:
- λT1 << 1. Ciò significa che il MTTF è di gran lunga maggiore di T1: che rappresenta il valore minimo tra l’intervallo di prova (Proof Test) e la vita utile del sottosistema.
- Durante la vita utile, che corrisponde al valore minimo tra il Tempo di Missione (Mission Time) e il T10D, i tassi di guasto sono costanti.
Differenze con ISO 13849-1
Alcune delle differenze tra le due norme sono le seguenti:
- Nella IEC 62061, il rischio di guasti di causa comune (CCF) viene valutato con una tabella simile a quella della ISO 13849-1; tuttavia, non è previsto un valore minimo per il punteggio; questo è un bel vantaggio a favore della IEC 62061.
- Nella Categoria 2, la ISO 13849-1 richiede che l’MTTFD del canale di test (TE o Test Element) non sia inferiore alla metà del valore di MTTFD del canale funzionale. L’equivalente della Categoria 2 nella IEC 62061 è l’Architettura C. In questo caso, tuttavia, non è previsto un livello minimo di affidabilità per la Funzione di Gestione dei Guasti (λD-FH). Qualora il valore non sia conforme alla Tabella H.3 della norma, non è possibile utilizzare la formula semplificata per il calcolo del PFH del sottosistema e si deve ricorrere alla formula generale prevista per l’Architettura di Sottosistema di Base C. Anche questo è un vantaggio all’utilizzo della IEC 62061.
- Nella ISO 13849-1, l’MTTFD dei sottosistemi è limitato a 100 anni, ad eccezione della Categoria 4; nella IEC 62061, non vi è alcuna limitazione del PFH, in nessuna delle quattro architetture, anche quando viene applicato il vincolo di architettura (limitazione del SIL massimo raggiungibile). Altro vantaggio della IEC 62061.
Come calcolare il PFH di un’architettura di un sottosistema di base
I seguenti elementi devono essere considerati per poter determinare il PFH di un sottosistema:
- Ogni sottosistema deve essere associato a una delle quattro Architetture di base.
- Il Diagnostic Coverage (DC) e gli intervalli di test devono essere stabiliti.
- Il guasto di causa comune (Common Cause Failure) deve essere calcolato.
- Devono essere calcolati il λD o il MTTFD degli elementi del sottosistema.
- La vita utile dei componenti è tipicamente di 20 anni, anche se per i componenti con caratteristiche di usura, la vita utile è limitata da T10D.