Allegato B: Metodologia di progettazione dell’SCS

Ultima modifica: 27/06/2023

L’Allegato B presente all’interno della norma IEC 62061 riporta la metodologia da seguire per la progettazione di un Sistema di Controllo di Sicurezza (SCS). L’allegato contiene i seguenti esempi:

B.4.2 Progettazione del sottosistema 1 – “Monitoraggio delle porte di sicurezza“.

B.4.3 Progettazione del sottosistema 2 – “Logica di comando“.

B.4.4 Progettazione del sottosistema 3 – “Controllo del motore“.

Nel primo esempio c’è un’importante considerazione relativa al calcolo dell’SFF nel caso di dispositivi elettromeccanici a singolo canale.

Di seguito il passaggio nel testo:

[IEC 62061: 2021] – B.4.2.2 Valutazione dell’SFF

Gli effetti di guasto teorici dell’interruttore di posizione sono:

il contatto non si apre (più): guasto pericoloso (chiusura involontaria);

il contatto si apre “da solo”: guasto sicuro (apertura involontaria, che può essere considerata molto improbabile per un dispositivo elettromeccanico);

il contatto non si chiude (più): guasto sicuro che non ha alcuna influenza sulla funzione di sicurezza (apertura involontaria);

il contatto si chiude “da solo”: guasto pericoloso (chiusura involontaria).

E le considerazioni proseguono con il seguente paragrafo:

[IEC 62061: 2021] – B.4.2.2 Valutazione dell’SFF

Considerazioni pratiche:

L’apertura della porta di protezione definisce le modalità di guasto del finecorsa di sicurezza da considerare. Ciò significa che non esistono guasti sicuri del finecorsa di sicurezza relativi a questa funzione di sicurezza:

la modalità di guasto “contatto chiuso involontario” è sempre pericolosa (tipico guasto pericoloso dell’interruttore di posizione);

la modalità di guasto “contatto aperto involontario” non è rilevante per l’apertura della porta di protezione e influisce solo sulla disponibilità della macchina. Si tratta di un guasto senza effetto (IEC 61508-4:2010, 3.6.14) per la funzione definita. Pertanto, non si tratta di un guasto sicuro e λS  = 0.

Il ragionamento implica, nellla valutazione dell’SFF dei sottosistemi di ingresso elettromeccanici, che λS≈0 e quindi:

Questo ragionamento è valido per la maggior parte dei componenti elettromeccanici. Tali componenti sono definiti di Tipo A, secondo la norma IEC 61508-2 (§3.4.7.1). Il ragionamento non è applicabile ai componenti di Tipo B. Un componente di quest’ultimo tipo ha modi di guasto non ben definiti e, pertanto, il suo comportamento in caso di guasto non può essere completamente determinato. Un PLC di automazione è un classico esempio di componente di Tipo B.

È possibile trovare sul mercato componenti elettromeccanici, come i pressostati, certificati per applicazioni di sicurezza in high demand con un livello di affidabilità SIL 2 secondo la norma IEC 62061. Ciò è stato possibile assumendo un certo numero di guasti sicuri che portano l’SFF > 90%. Utilizzando la Tabella 6, riportata qui di seguito, con HFT = 0, il componente ha un SIL CLAIM o un vincolo architettonico = SIL 2.

Safe Failure Fraction (SFF)

Hardware fault tolerance (HFT)

0

1

2

SFF < 60 %

Not Allowed

(NOTE 1)

SIL 1

SIL 2

60 % ≤ SFF < 90 %

SIL 1

SIL 2

SIL 3

90 % ≤ SFF < 99 %

SIL 2

SIL 3

SIL 3

SFF ≥ 99 %

SIL 3

SIL 3

SIL 3

NOTE 1: For subsystems which have a SFF < 60 %, HFT = 0 and that use well-tried components, SIL 1 can be achieved.

Con la nuova edizione della IEC 62061, sarà più difficile raggiungere un SFF elevato (> 90%), poiché la norma prescrive, nel caso di componenti elettromeccanici, che non vi siano guasti sicuri, quindi λS≈0 e di conseguenza risulterà SFF = DC.