P8: Sicurezza funzionale in High Demand - Le categorie B, 1 e 2 della ISO 13849-1

ISO 13849-1 è uno dei due standard utilizzati per i macchinari e, almeno in Europa, è il più utilizzato tra i due, essendo il secondo la IEC 62061. Lo standard ISO è stato suddiviso in due parti:

• ISO 13849-1: Sicurezza del macchinario — Parti dei sistemi di comando legate alla sicurezza — Parte 1: Principi generali per la progettazione
• ISO 13849-2: Sicurezza del macchinario — Parti dei sistemi di comando legate alla sicurezza — Parte 2: Validazione

La prima edizione dell’ISO 13849-1 è stata pubblicata nel 1999 ed era identica all’EN 954-1:1996. L’ISO 13849-1 era semplicemente il numero ISO corrispondente alla EN 954-1; pertanto, la vera prima edizione (ufficialmente era la seconda) è stata nel 2006.

Le parti interessate che hanno redatto la EN 954-1 hanno visto la necessità di includere l’elettronica programmabile nei sistemi di sicurezza dei macchinari. In realtà, l’elettronica era già presente nella EN 954-1, ma senza alcun requisito dettagliato per il software. Lo standard necessitava di adottare un approccio probabilistico, lo stesso utilizzato dalla serie IEC 61508. Pertanto, la revisione che ha portato alla 2ª edizione della ISO 13849-1 ha combinato gli aspetti deterministici della EN 954-1 con l’approccio probabilistico della IEC 61508 e ha incluso per la prima volta i requisiti per il software.

Alcuni matematici dell’IFA hanno progettato i modelli di Markov per l’edizione 2006 dello standard.

La terza edizione è stata pubblicata nel 2015, mentre l’ultima, la quarta, è stata pubblicata nel 2022. Questa nuova edizione si basa sugli stessi principi della precedente. Di seguito menzioniamo due cambiamenti chiave:

• Il processo di validazione, dettagliato nell’ISO 13849-2, è ora incluso nella prima parte. Il motivo principale è che le persone non si concentravano abbastanza sul processo di validazione. I produttori normalmente eseguono i calcoli, ma non verificano se, una volta installata e messa in servizio la macchina, il sistema di sicurezza funzioni come previsto: la validazione è fondamentale per confermare e garantire il livello di sicurezza richiesto.
• Ora è chiaro che la Categoria è una caratteristica del sottosistema di sicurezza e non dell’intera funzione di sicurezza. Il sottosistema di ingresso può essere di Categoria 1 (canale singolo), mentre il sottosistema di uscita, della stessa funzione di sicurezza, può essere di Categoria 3 (doppio canale). La confusione derivava dall’eredità dell’EN 954-1. Il fatto che una funzione di sicurezza possa essere costituita da diverse categorie di sottosistemi significa che il suo livello di affidabilità è rappresentato solo dal suo livello di prestazione (PL). Nell’EN 954-1 l’affidabilità era rappresentata solo da un livello di categoria. Quando siamo passati all’ISO 13849-1, gli standard di tipo C hanno continuato a dare sia i requisiti PL che di Categoria per le funzioni di sicurezza. Da questa quarta edizione, è chiaro che solo il PL rappresenta il livello di affidabilità di una funzione di sicurezza: la categoria è solo un mezzo per raggiungerlo. Lo stesso vale per l’IEC 62061, in cui una funzione di sicurezza è caratterizzata solo da un livello SIL e non dalle architetture utilizzate per i vari sottosistemi.

I sottosistemi progettati secondo l’ISO 13849-1 devono essere conformi ai requisiti di una delle cinque categorie fondamentali per raggiungere un determinato Livello di Prestazione (Performance Level). Le categorie descrivono il comportamento richiesto dei sottosistemi in relazione alla loro resistenza ai guasti, basandosi su considerazioni progettuali come MTTFD, DC_avg, ecc.

La Categoria B è la categoria di base, in cui l’insorgere di un guasto può portare alla perdita della funzione di sicurezza. Nella Categoria 1, una resistenza migliorata ai guasti viene ottenuta utilizzando componenti di alta qualità.

Con le Categorie 2, 3 e 4, viene raggiunta una maggiore affidabilità del sottosistema migliorando la tolleranza ai guasti (solo nelle Categorie 3 e 4) e le misure diagnostiche. Nella Categoria 2, poiché non c’è ridondanza, ciò viene ottenuto controllando periodicamente che la funzione di sicurezza sia eseguita senza guasti (Copertura Diagnostica). Nelle Categorie 3 e 4, la Copertura Diagnostica lavora insieme ai canali ridondanti, in modo che un singolo guasto non porti alla perdita della funzione di sicurezza.

Nella Categoria 4 e, ove ragionevolmente praticabile, nella Categoria 3, tali guasti dovrebbero essere rilevati.

Le cinque Categorie sono rappresentate nell’ISO 13849-1 da specifici diagrammi a blocchi RBD, ognuno dei quali soddisfa i requisiti della Categoria. La modellazione di Markov utilizzata dagli ingegneri dell’IFA ha considerato solo queste cinque Architetture; è possibile discostarsi da esse, ma ciò implica affrontare una nuova modellazione.

Per ogni sottosistema, il valore massimo di MTTF_D per ciascun canale è limitato a 100 anni. Solo per i sottosistemi di Categoria 4, il valore massimo di MTTF_D per ciascun canale è limitato a 2 500 anni.