IEC TS 63394: Guidelines on functional safety

Ultima modifica: 29/06/2023

Lo standard IEC TS 63394 non è una norma internazionale come la IEC 62061 o la ISO 13849-1, ma una specifica tecnica.

IEC TS 63394:2023 – Safety of machinery – Guidelines on functional safety of safety-related control system

La prima edizione della norma è stata pubblicata a Febbraio 2023.

Nel contesto della sicurezza delle macchine, lo standard di settore IEC 62061 e la norma ISO 13849-1 forniscono ai costruttori di macchine i requisiti per la progettazione, lo sviluppo e l'integrazione di sistemi di controllo di sicurezza (SCS) o di parti di sistemi di sicurezza (SRP/CS), a seconda della tecnologia utilizzata (tecnologie meccaniche, pneumatiche, idrauliche o elettriche) per svolgere le funzioni di sicurezza.

Questo documento fornisce una guida aggiuntiva per l'applicazione della norma IEC 62061 o della norma ISO 13849-1:

  • Fornisce linee guida e requisiti aggiuntivi per funzioni di sicurezza specifiche basate sulla metodologia della ISO 12100, che sono rilevanti per le macchine e che rispettano le condizioni limite tipiche delle macchine;
  • Prende in considerazione le funzioni di sicurezza che sono progettate per un funzionamento in high demand ma che vengono azionate raramente, chiamate funzioni di sicurezza attivate raramente;
  • Fornisce informazioni aggiuntive per il calcolo dei tassi di guasto che utilizzano altre tecnologie (non elettroniche) basate, ad esempio, sulla distribuzione di Weibull, poiché tutte le formule definite nella IEC 62061 e nella ISO 13849-1 si basano sulla distribuzione esponenziale.

Questo documento non tratta la modalità di funzionamento in low demand secondo la norma IEC 61508, anche se nell'Allegato J mostra come affrontare sistemi di sicurezza "misti" in high e in low demand. Si tratta di una situazione tipica di macchinari come forni e reattori di processo.

Il presente documento non prende in considerazione l'analisi del livello di protezione (LOPA) o il sistema di controllo del processo di base (BPCS), secondo la norma IEC 61511, come misura di riduzione del rischio. Questo documento considera tutte le fasi del ciclo di vita della macchina per quanto riguarda la sicurezza funzionale e l'SCS o SRP/CS.

Funzioni di sicurezza attivate occasionalmente

Quando un costruttore progetta una funzione di sicurezza di un macchinario, solitamente considera una modalità di funzionamento in high demand. Tuttavia, può accadere che la richiesta stimata di una funzione di sicurezza non venga eseguita in un anno; ciò può accadere quando il costruttore della macchina ipotizza un tasso medio di richiesta della funzione di sicurezza considerando il caso peggiore nel momento in cui determina il livello di affidabilità che deve essere garantito. Le funzioni di sicurezza progettate per un funzionamento in high demand, ma che potrebbero non essere richieste in un anno, sono chiamate "funzioni di sicurezza attivate raramente".

Le funzioni di sicurezza attivate raramente sono progettate, implementate e integrate come funzioni di sicurezza in modalità di funzionamento in high demand, tuttavia, poiché vengono attivate meno di una volta all'anno, ma comunque più di una volta ogni 2 anni, devono essere progettate misure contro l'accumulo di guasti e i guasti non rilevati. Per garantire l'integrità della sicurezza di queste funzioni di sicurezza è necessaria una verifica periodica.

La figura seguente indica il processo per determinare se un sistema di sicurezza sta funzionando in condizioni di high demand, low demand o in high demand ma è una funzione di sicurezza attivata raramente.

La presente Norma tecnica fornisce indicazioni su come trattare i sistemi di sicurezza che si trovano in modalità di funzionamento in high demand, nonostante il fatto che, secondo la IEC 61508 -2, dovrebbero essere classificati come sistemi di sicurezza in low demand.

Architectural constraints

Le funzioni di sicurezza vengono eseguite dall’SCS o dall’SRP/CS che è costituito da sottosistemi.

Poiché l’intervallo del test diagnostico è legato al tasso di richiesta, la diagnostica è possibile solo quando la funzione di sicurezza è richiesta. In base all’accumulo di guasti, i vincoli architettonici devono essere valutati in base alla modalità di funzionamento. In modalità di funzionamento in high demand, la tabella seguente mostra una sintesi di come la ISO 13849-1 e la IEC 62061 analizzano i sottosistemi di sicurezza.

La tabella confronta i vincoli architettonici della IEC 62061 con le limitazioni previste dalla ISO 13849-1 ed è quindi applicabile a tutti i sistemi di sicurezza in modalità high demand.

Si può notare che non esiste un’equivalenza SIL con PL a o PL b. Secondo la ISO 13849-1, è possibile avere un sistema di sicurezza a singolo canale che non utilizzi well tried-components: è sufficiente utilizzare sottosistemi di categoria B con livelli di affidabilità pari a PL a o PL b. Utilizzando la IEC 62061 ciò non è possibile, poiché un’architettura di base del sottosistema A (1oo1) può essere realizzata solo utilizzando well-tried components.

Allegato J: Combinazione di modi operativi

L’allegato descrive le situazioni che si verificano nei macchinari che hanno processi interni. È il caso di un forno industriale. Vengono considerate le seguenti funzioni di sicurezza:

  • Funzione di sicurezza per il “monitoraggio della bassa pressione” in modalità di funzionamento in high demand, in cui due pressostati di bassa pressione, installati su un gruppo gas, attivano la chiusura di due valvole gas on/off, installate sullo stesso gruppo;
  • Safety Instrumented Function (SIF) per il “monitoraggio delle alte temperature” in low demand, in cui due termocoppie che rilevano il valore critico di temperatura, progettate per il funzionamento in low demand, agiscono sulle stesse due valvole gas on/off attivate dai pressostati di bassa pressione che lavorano in high demand.

Come si può intuire, ci sono due sottosistemi di ingresso, uno in high demand e uno in low demand, e un sottosistema di uscita che lavora in high demand. Si tratta del cosiddetto “sistema di sicurezza misto“. Il SIL richiesto per la Safety Instrumented Function (SIF) in modalità di funzionamento in low demand e per la funzione di sicurezza in modalità di funzionamento in high demand è previsto essere SIL 2.

Il diagramma a blocchi dell’affidabilità è rappresentato qui sopra.

La Safety Instrumented Subfunction in low demand è analizzata in base allo standard IEC 61511-1, tuttavia è possibile utilizzare solo componenti certificati con la Route 1H.

I sottosistemi di ingresso dei pressostati, della logica e di uscita delle due elettrovalvole vengono analizzati utilizzando la norma IEC 62061 o la norma ISO 13849-1. La metodologia completa è riportata nell’Allegato J.

Sicurezza nella robotica collaborativa
Non esiste un "robot collaborativo". Questa è una delle prime dichiarazioni di chi lavora nella robotica collaborativa. Il motivo è che ...