Determinazione del SIL richiesto (SILr) in riferimento alla IEC 62061

L’Allegato A della IEC 62061 fornisce un metodo per stimare il SIL richiesto o Safety Integrity Level, di un sistema di controllo per la sicurezza. Il metodo si adatta bene alla modalità high demand delle operazioni e non è raccomandato per Funzioni di Sicurezza in modalità low demand, dove altri metodi come LOPA (layer of Protection Analysis) [71] possono essere utilizzate.

Inoltre, nella IEC 62061 l’Allegato A è informativo e si applicano esattamente le stesse considerazioni riguardanti la soggettività, come descritto nel paragrafo precedente.

Si applicano i parametri seguenti:

• Severità del danno (Se), equivalente alla severità dell’infortunio per la ISO 13849-1
• Probabilità di accadimento del suddetto danno, che è funzione di:
• Frequenza e durata dell’esposizione dele persone al rischio (Fr)
• Probabilità di accadimento dell’evento pericoloso (Pr)
• Possibilità di evitare o limitare il pericolo (Av)

Alla severità del danno (Se) è assegnato un valore che va da 1 a 4, con 4 quello più severo.

La probabilità che si verifichi un danno è divisa in tre parametri; ad ognuno di questi parametri è assegnato un valore che va da 1 a 5, con 5 che descrive la situazione “peggiore” e il loro valore viene sommato per determinare una classe (Cl).

La valutazione del SIL viene poi scelta dalla matrice che traccia il punteggio della severità (SE) e la classe (Cl). Il SIL viene determinato usando la tabella 4.6 {4.8.1.1}. la classe (Cl) viene calcolata come segue Cl = Fr + Pr + Av.

L’area nera indica il SIL assegnato come target per l’SCS. Le aree ombreggiate più chiare indicano che una funzione di sicurezza con valore inferiore a SIL 1 possono essere utilizzate. Questo è equivalente a PLr a in riferimento alla ISO 13849-1. Nel caso in cui si utilizzi un sistema di controllo per ridurre il rischio, solamente i Basic Safety Principle dovrebbero essere utilizzati. Questo metodo viene anche chiamato “Other Measures” (OM).

Confrontato alla prima edizione della IEC 62061, SIL 2 a classe 3 e 4 è ora ridotto a SIL 1, a causa del basso punteggio per le classi di Frequenza, Probabilità e Evitabilità del danno.

Come indicato nella tabella 4.4, c’è una relazione tra SIL e PL. In più, un ingegnere di macchinario può usare l’Allegato A della IEC 62061 per determinare il PLr richiesto e usare la ISO 13849-1 per i calcoli dell’affidabilità raggiunta. Questa è la ragione per cui, nella tabella 4.6 {4.8.1.1} (come per la tabella A.6 della IEC 62061), entrambi i livelli di SIL e PL sono indicati.

Analogamente alla ISO 13849-1, la severità del danno può essere stimata scegliendo il valore appropriato in base alle conseguenze dell’incidente. Questa volta vengono dati quattro livelli, simile alle linee guida della Rapex: §  4 è un infortunio fatale oppure significativo e irreversibile: Perdita di un arto, danno permanente al polmone, perdita di un occhio o una parziale o totale perdita della vista;§  3 è un infortunio serio irreversibile, ma è possibile continuare a lavorare dopo la guarigione; esempi sono la perdita di dita della mano o del piede, ma anche arti rotti.§  2 è un serio infortunio reversibile che richiede attenzione medica. È possibile tornare al lavoro dopo un breve periodo di tempo, come per esempio serie lacerazioni, ecchimosi gravi e dolorose.§  1 è una lesione lieve per la quale sono sufficienti le cure di primo soccorso senza intervento medico.

Confrontata con la ISO 13849-1, un punteggio di 3 o 4 corrisponde a S2 e un punteggio di 1 o 2 corrisponde a S1.

Ognuno di questi tre parametri Fr, Pr, Av, deve essere stimato separatamente usando la situazione più sfavorevole.

Il parametro Fr è legato a:

• Frequenza della presenza della persona nella zona pericolosa;
• Durata media della presenza.

La norma fornisce la frequenza e la durata dell’esposizione classificate in cinque livelli:

Come mostrato in tabella, se la durata è inferiore a 10 min, il valore può essere arrotondato per difetto al livello successivo. Ciò non si applica alla frequenza di esposizione 1 h, che non dovrebbe essere diminuita in nessun caso.

Questo parametro non è esplicito nella ISO 13849-1.

La probabilità di accadimento di un evento pericoloso varia su una scala tra 1, per una probabilità trascurabile, e 5 in caso probabilità molto alta.

Questo è probabilmente il parametro più difficile da stimare a causa dell’influenza dell’Automazione, o del Sistema di controllo, che non presentano dati di Affidabilità.

Consideriamo ora sia la presenza di una persona sia di un Robot all’interno dello spazio protetto. Per determinare il SIL richiesto, la domanda è qual è la probabilità che una persona possa venire colpita dal robot, in caso di un avvio inaspettato; certamente senza un Sistema di controllo per la sicurezza.

Si potrebbe osservare che, anche senza un Sistema di sicurezza, l’Automazione tiene fermo il Robot: la probabilità sarebbe quindi Rara o Trascurabile. Il problema è che il Sistema di automazione non ha dati di affidabilità e, per un approccio conservativo, non si può fare affidamento su di esso in questa analisi. se la persona rimane vicina al Robot tutto il tempo, mentre è all’interno dell’area, la probabilità di accadimento sarebbe molto alta.

Occorre quindi considerare il luogo in cui la persona lavora normalmente e il fatto che, in caso di avvio imprevisto, potrebbe trovarsi nello spazio operativo del robot. Più stretto è lo spazio operativo, più alta è la probabilità.

Il parametro descrive se il danno possa essere evitato o limitato oppure no in caso di un evento pericoloso.

La possibilità può essere stimata considerando i seguenti aspetti:

• Skills dell’operatore della macchina.
• Velocità del pericolo.
• Consapevolezza del rischio.
• Capacità di reazione.

In riferimento alle skills e alle abilità, la norma chiarisce che le abilità dell’uomo non possono essere contate più di una volta per ogni funzione di sicurezza. Ci sono tre livelli per Av.

Sempre considerando una pressa a caricamento manuale, la conseguenza dell’evento pericoloso è un infortunio irreversibile, con la possibilità di perdita di una mano: Se= 4.

Tutti gli altri parametri devono essere sommati insieme per poter selezionare la classe.

– Un operatore viene esposto al pericolo diverse volte al giorno -> Fr= 5

– L’evento pericoloso potrebbe avvenire -> Pr = 3

– Il pericolo può essere evitato -> Av = 3

La somma di  Fr, Pr e Av (5 + 3 + 3) = 11

Il Sistema di controllo per la Sicurezza deve raggiungere un livello di SIL 3

Il documento [55], è una buona analisi delle differenze tra la ISO 13849-1 e la IEC 62061 per la determinazione del Livello di Affidabilità richiesto.