Ultima modifica: 06/08/2025
La norma IEC 62061 rimane connessa all’approccio della IEC 61508 denominato Route 1H.
In modalità a bassa richiesta, o low demand, i componenti sono classificati come Type A o Type B e vengono utilizzate due tabelle diverse per determinare il livello massimo di SIL che un sottosistema di sicurezza può raggiungere. Nella IEC 62061, invece, è definita una sola tabella per tutti i tipi di componenti, il cui contenuto è simile a quello utilizzato per i componenti Type B.
Nel contesto dell’hardware safety integrity, il livello più alto che può essere dichiarato da un SCS (Safety-Related Control System) è limitato dalla tolleranza ai guasti hardware (HFT – Hardware Fault Tolerance) e dalla percentuale di guasti sicuri (SFF – Safe Failure Fraction) del sottosistema che esegue la funzione di sicurezza: il riferimento da utilizzare è la Tabella 1, che corrisponde alla Tabella 6 della IEC 62061.
Tabella 1: Vincoli di Architettura di un sottosistema: massimo SIL che può essere raggiunto da un SCS che utilizza il sottosistema
Si prega di considerare che la limitazione del SIL non implica una limitazione del PFH; nella nuova edizione, il PFHD è ora indicato semplicemente come PFH, in linea con la serie IEC 61508. Questo significa che, per ciascun sottosistema, a causa del vincolo di architettura, il valore di PFH risulterà inferiore rispetto a quanto normalmente indicato per quel particolare livello di SIL.
In generale, il linguaggio utilizzato e gli approcci descritti in questa seconda edizione della norma sono espressi in modo più chiaro e quindi ri ritiene la norma più fruibile, rispetto alla sua prima edizione. Purtroppo, permangono espressioni ereditate dall’edizione del 2005, che possono generare confusione riguardo all’approccio da adottare, e che dovrebbero essere definitivamente eliminate nella prossima edizione.
La Tabella 2 confronta i Vincoli Architetturali della IEC 62061 con le limitazioni definite dalla ISO 13849-1 ed è quindi applicabile a tutti i Sistemi di Sicurezza in modalità ad alta richiesta.
| NOTA 1: Un Hardware Fault Tolerance di N significa che N+1 guasti possono causare la perdita della funzione di sicurezza. |
| NOTA 2: “Low”, “medium” e “high” sono la denominazione utilizzata da ISO 13849-1 per la quantificazione e classificazione dei DCavg ranges. |
| NOTA 3: Per HFT = 0 e SFF ≥ 99 %, le seguenti limitazione possono essere rilevanti:
§ E’ raccomandato di limitare il massimo SIL raggiungibile a 2 laddove sono state applicate fault exclusions che potrebbero portare a situazioni di pericolo (vedi IEC 62061, 7.3.3.3) § SIL 3 può essere raggiunto solo in presenza di monitoraggio continuo del corretto funzionamento dell’elemento. Tipicamente, è richiesta componentistica elettronica per questo scopo |
| NOTA 4: Dove sono utilizzati standard di prodotto, come IEC 61800-5, IEC 61800-5, IEC 61131-2, si può assumere che i basic safety principles siano rispettati |
| NOTA 5: In accordo con la ISO 13849-1, PL d può essere raggiunto solo quanto l’output (OTE o Fault Reaction function) porta ad uno stato sicuro che è mantenuto fino a che il guasto non è stato risolto: non è sufficiente che l’output of the test equipment (OTE) emetta un allarme. |
| NOTE 6: In caso si abbiano entrambe le Architetture base A e B, consideriamo il caso con solo componenti elettromeccanici. |
Si può notare che non esiste un’equivalenza tra i livelli SIL e i “PL a” o i “PL b”. Secondo la ISO 13849-1, è possibile realizzare un sistema di sicurezza a singolo canale che non utilizza componenti di comprovata affidabilità (well-tried components): è sufficiente impiegare sottosistemi di Categoria B con livelli di affidabilità pari a PL a o PL b.
Utilizzando la IEC 62061, ciò non è possibile, poiché un’Architettura di un Sottosistema Base di tipo A (1oo1) può essere realizzata solo utilizzando well-tried components. In altri termini, secondo la ISO 13849-1, è possibile utilizzare un PLC di tipo “general purpose” per implementare un sistema di sicurezza: il massimo PL raggiungibile è PL b. Questo non è consentito dalla IEC 62061, né con un canale singolo (Architettura A), né con un canale ridondante privo di diagnostica (Architettura B).