Ultima modifica: 22/08/2023
Fault exclusion applicata ai Dispositivi di Interblocco
La mancanza di una funzione di sicurezza in assenza di un guasto hardware è dovuta a un guasto sistematico o a un guasto di causa comune. Quest’ultimo aspetto è discusso nel §3.6, mentre il primo può essere causato da errori commessi durante la progettazione o le fasi di integrazione. Alcuni di questi fallimenti sistematici saranno rivelati durante il processo di progettazione, mentre altri saranno rivelati durante la convalida del sistema di sicurezza.
Per quanto riguarda i guasti hardware, le considerazioni sulla Fault exclusion emergono quando si discute della necessità di ridondanza. Nei macchinari, un sensore molto comune è un dispositivo di interblocco con meccanismo di blocco della protezione.
Nelle figure 4.14 {4.11.2.1.1} e 4.15 {4.11.2.1.2} sono riportati un esempio e una rappresentazione grafica di un dispositivo di interblocco con i suoi elementi chiave:
- L’attuatore: nell’immagine è di tipo “a linguetta”. Secondo la norma ISO 14119 [30], si tratta di un dispositivo di interblocco di tipo 2, a bassa codifica.
- La testa di azionamento.
- Pistone ad incastro.
- Solenoide di blocco della protezione. Consente di bloccare l’attuatore in modo che la porta non possa essere aperta, a meno che non siano stati bloccati, ad esempio, tutti i movimenti pericolosi all’interno dell’area protetta.
- Contatto di monitoraggio dell’interblocco. È un contatto normalmente chiuso, nel senso che, quando la porta è chiusa, il contatto è chiuso e quindi il circuito di ingresso è eccitato.
- Contatto di monitoraggio del blocco della guardia. Indica lo stato del meccanismo di chiusura: di solito, se la porta è bloccata, il contatto è chiuso.
Se si vuole ottenere una ridondanza completa sul sottosistema di ingresso (la porta di accesso), il costruttore del macchinario deve installare due dispositivi di interblocco su quella specifica porta. Questo viene fatto raramente. Ciò che accade normalmente è che il produttore del componente lavora sul proprio dispositivo di interblocco, cercando di aumentare la ridondanza all’interno del componente stesso.
La prima cosa che i produttori fanno è fornire due contatti liberi da tensione per il monitoraggio dell’interblocco. Possono anche fornire due contatti per il monitoraggio del blocco del riparo. Quello che non farebbero mai è avere due solenoidi di blocco della protezione: in questo caso il produttore farebbe delle considerazioni sui guasti e arriverebbe alla conclusione che può fare una Fault exclusion sul solenoide.
In generale, alcuni guasti dell’hardware possono essere esclusi perché se un elemento ha chiaramente una probabilità di guasto molto bassa in virtù di proprietà intrinseche alla sua progettazione e costruzione, di norma non si ritiene necessario limitare (sulla base della tolleranza ai guasti dell’hardware) l’integrità della sicurezza di qualsiasi funzione di sicurezza che utilizzi tale elemento.
In altre parole, non è sempre possibile valutare i sottosistemi senza presupporre l’esclusione di alcuni guasti. La Fault excusion è un compromesso tra i requisiti di sicurezza tecnica e la possibilità che si verifichi un guasto.
La Fault exclusion può essere basata su:
- l’improbabilità tecnica del verificarsi di alcuni difetti,
- esperienza tecnica generalmente accettata, indipendente dall’applicazione considerata, e
- requisiti tecnici relativi all’applicazione e al pericolo specifico.
Fault exclusion su sottosistemi predefiniti
In generale, le Fault exclusion effettuate dal fabbricante del componente sono definite come effettuate su sottosistemi “predefiniti” o “pre-progettati”. L’utente può acquistare un dispositivo di interblocco di tipo 4, dichiarato PL e, per il quale il produttore ha applicato una Fault exclusion per una parte del suo componente. In un certo senso, ciò è “trasparente” per l’utente. Ciò significa che le limitazioni applicabili a una funzione di sicurezza quando vengono effettuate Fault exclusion non sono valide nel caso in cui la Fault exclusion venga effettuata dal produttore di uno dei componenti del sistema di sicurezza.
[ISO 14119] 9.2.2 Fault exclusion
9.2.2.1 General. […] In case of a fault exclusion for interlocking functions intended to reach PL e or SIL 3, the interlocking device shall, exhibit a dual channel structure or a category 4 behaviour to the majority of its architecture. Individual parts in the architecture of an interlocking device may be of single channel structure. If it can be proven that the single channel part cannot fail before other dual channel parts, e.g. through over dimensioning, a fault exclusion is permissible and will not limit the PL or SIL.
Fault exclusion da parte del costruttore del macchinario
In generale, le Fault exclusion effettuate dal fabbricante del componente sono definite come effettuate su sottosistemi “predefiniti” o “pre-progettati”. L’utente può acquistare un dispositivo di interblocco di tipo 4, dichiarato PL e, per il quale il produttore ha applicato una Fault exclusion per una parte del suo componente. In un certo senso, ciò è “trasparente” per l’utente. Ciò significa che le limitazioni applicabili a una funzione di sicurezza quando vengono effettuate Fault exclusion non sono valide nel caso in cui la Fault exclusion venga effettuata dal produttore di uno dei componenti del sistema di sicurezza.
[ISO 14119] 9.2.2 Fault exclusion
9.2.2.1 General. […] In case of a fault exclusion for interlocking functions intended to reach PL e or SIL 3, the interlocking device shall, exhibit a dual channel structure or a category 4 behaviour to the majority of its architecture. Individual parts in the architecture of an interlocking device may be of single channel structure. If it can be proven that the single channel part cannot fail before other dual channel parts, e.g. through over dimensioning, a fault exclusion is permissible and will not limit the PL or SIL.
Fault exclusion da parte del costruttore del macchinario
Diversa è la situazione in cui il costruttore della macchina utilizza un dispositivo di interblocco di tipo 2, illustrato nella figura 4.14 {4.11.2.1.1} e applica una Fault exclusion all’attuatore. In questo caso, non si può dire di raggiungere PL e o SIL 3 per quella funzione di sicurezza.
[IEC 62061] 7.3.3 Fault consideration and fault exclusion
7.3.3.3 Fault exclusion […] LIMITATION: For some applications, it is not expected that all failures can be excluded with sufficient confidence for SIL 3. The following non exhaustive list provides an indication of (non-predesigned) subsystems with a hardware fault tolerance of zero and where fault exclusions have been applied to faults that could lead to a dangerous failure where a maximum of SIL 2 can be appropriate, provided that sufficient justification is given:
- position switch with mechanical aspects with HFT of 0;
- leakage of a fluid power valve (where leakage is dangerous failure).
NOTE This limitation does not apply to pre-designed subsystems used within their specification.
In modo simile, il seguente paragrafo è presente nella ISO 13849-2 [14] Tabella D.8:
[ISO 13849-2] D.2.4 Fault exclusions and integrated circuits
Table D.8 […] For PL e, a fault exclusion for mechanical (e.g. the mechanical link between an actuator and a contact element) and electrical aspects is not allowed. In this case redundancy is necessary. For emergency stop devices in accordance with IEC 60947-5-5, a fault exclusion for mechanical aspects is allowed if a maximum number of operations is considered.
Si ricorda inoltre di fare riferimento alle seguenti considerazioni presenti nella ISO 14119 [30] per la possibilità, da parte del produttore di un macchinario, di eseguire la Fault exclusion su dispositivi di interblocco.
[ISO 14119] 9.2.2 Fault exclusion
9.2.2.3 Mechanical fault exclusions for type 2 interlocking devices without guard locking. For type 2 interlocking devices, the following faults of their mechanical parts can be excluded. Damage (breaking) and wearing of the actuator and the actuating system due to misalignment, only if additional mechanical alignment elements prevent the actuation of the position switch outside the limits of misalignment specified by the manufacturer. The additional mechanical alignment elements shall be designed and constructed as to be effective when subjected to a load equal to 2 times the maximum force expected during the operation of the guard for the intended lifetime (mission time) of the interlocking device.
In sostanza, se siete un costruttore di macchine e decidete, per buone ragioni, di applicare la Fault exclusion all’Attuatore di un dispositivo di interblocco di Tipo 2, dovete implementare alcune soluzioni per evitare che venga danneggiato, come descritto nella ISO 14119, e il livello massimo di Affidabilità che potete raggiungere è PL d o SIL 2. Tuttavia, se le vostre considerazioni non sono sostenibili (ad esempio l’attuatore non ha un corretto “invito” verso la testa di azionamento) quella funzione di sicurezza può raggiungere solo PL c o SIL
[ISO 14119] 9.2.2 Fault exclusion
9.2.2.3 Mechanical fault exclusions for type 2 interlocking devices without guard locking […] Where not all mechanical faults can be excluded, an interlocking system applying type 2 interlocking devices and requiring at least PL d in accordance with ISO 13849-1: 2021 or SIL 2 in accordance with IEC 62061:2021 shall be implemented by the integration of an additional interlocking device of any of the types 1 to 4. Application of diversity is recommended.
In sostanza, la Fault exclusion è applicabile solo a determinati guasti di un elemento e spetta al progettista (produttore o integratore) dimostrare l’esclusione dei rispettivi guasti, sulla base dei limiti imposti dalla progettazione e dall’uso. Tali esclusioni di guasti sono possibili solo a condizione che l’improbabilità tecnica del loro verificarsi possa essere giustificata sulla base delle leggi note della scienza fisica. Tali esclusioni di guasto devono essere giustificate e documentate: giustificabili in tutti gli ambienti industriali previsti, compresi temperatura, pressione, vibrazioni, inquinamento, atmosfera corrosiva, ecc.
Una Fault exclusion può essere applicata all’intero sottosistema solo quando è possibile escludere tutti i guasti pericolosi del sottosistema. Il produttore del componente può applicare una Fault exclusion durante la valutazione dell’affidabilità del componente. Informazioni utili sulle esclusioni di guasto sono disponibili nella norma ISO 13849-2:2012, allegati da A a D.
Tipi di meccanismo di bloccaggio del riparo
Prima di lasciare l’argomento, è importante chiarire ancora alcuni aspetti.
Ci sono due motivi per scegliere un sistema di interblocco con bloccaggio del riparo:
- O per proteggere le persone. Ad esempio, all’interno di un’area protetta ci sono movimenti pericolosi che hanno un’inerzia. La porta viene sbloccata solo quando tutti i movimenti vengono interrotti.
- Per motivi di produzione o di processo.
Esistono quattro modi possibili per bloccare una porta (serratura di protezione) [75]:
- Spring applied – Power-ON released. Viene anche chiamato “blocco meccanico del riparo”. Significa che il dispositivo di blocco del riparo viene spostato in posizione “bloccata” da una molla quando viene tolta la corrente. Si tratta di un principio di corrente a circuito chiuso, in relazione alla funzione di blocco. Quando viene fornita l’alimentazione, il dispositivo viene sbloccato. In caso di black out, la porta rimane bloccata.
- Power-ON applied – Spring released. Funziona in modo opposto e si chiama “blocco del riparo elettrico”. Si tratta di un principio di corrente a circuito aperto. Per mantenere la porta bloccata, la corrente deve essere sempre presente. In caso di blackout, la molla viene rilasciata, la porta si sblocca e può essere aperta.
- Power-ON applied – Power-ON released. secondo questo principio non si ha il cambio di posizione in caso di rimozione del sistema di alimentazione. È anche chiamato principio bistabile. Per passare all’altro stato è necessario applicare l’alimentazione. Poiché la rimozione dell’alimentazione non modifica la posizione del dispositivo di blocco del riparo, questo principio è considerato un principio a circuito chiuso. In caso di blackout, il blocco della porta rimane nella sua ultima posizione.
- Power-ON applied – Power-OFF released. Corrisponde al principio di circuito aperto, in quanto il dispositivo di blocco della protezione si apre quando viene tolta la corrente. Ha lo stesso comportamento del secondo caso, ma in questo non c’è la molla. La porta viene mantenuta chiusa grazie a un elettromagnete. In caso di black-out, il magnete viene diseccitato, la porta si sblocca e può essere aperta.
Quale principio di chiusura del riparo deve essere scelto? Se il blocco è per motivi di produzione, tutti e quattro sono adatti: il secondo e il quarto sono probabilmente più “flessibili”. Per la protezione dei macchinari, l’ingegnere progettista è completamente libero di decidere quale tipo di chiusura del riparo scegliere, poiché non rappresenta una funzione di sicurezza.
Se il blocco del riparo serve a proteggere il personale, le soluzioni 1 e 3 sono quelle consigliate.
Quali sono i segnali di sicurezza in un dispositivo di interblocco con blocco del riparo?
Il componente ha i seguenti ingressi e uscite:
- Un segnale di ingresso: quello che blocca il dispositivo di interblocco agendo sul solenoide di blocco della protezione. Se il principio di blocco è scelto per la protezione delle persone, il segnale deve provenire da un sistema di sicurezza. Per motivi di processo, può provenire da un sistema non di sicurezza.
- Due segnali di uscita: Contatti di monitoraggio interbloccati. Devono sempre essere indirizzati a un sistema di sicurezza.
- Uno o due segnali di uscita per il contatto di monitoraggio del blocco protezione. Per ragioni di processo, lo stato può essere gestito da un PLC generico, altrimenti deve essere gestito da un sistema di sicurezza.
Quali funzioni di sicurezza sono associate all’interblocco di protezione?
Un Interblocco di Protezione può essere utilizzato su una porta che dà accesso a uno spazio protetto (§4.3.3). Quando il dispositivo di interblocco viene attivato, tutti i movimenti pericolosi all’interno dell’area devono essere fermati. Le Funzioni di Sicurezza da analizzare con la valutazione dei rischi sono in realtà due:
- La funzione di arresto di sicurezza, all’apertura della porta.
- Prevenzione dell’avviamento involontario mentre la porta rimane aperta.
Le due funzioni possono richiedere, in linea di principio, livelli di prestazione o di SIL diversi.
Tra i due, l’ultimo è probabilmente il più importante. Se all’interno dell’area c’è un movimento pericoloso, normalmente è visibile. Pertanto, se non viene fermato, quando la porta viene aperta, l’operatore ha buone possibilità di vederlo e di proteggersi. Una situazione più pericolosa è quella in cui il movimento viene fermato, l’operatore sta lavorando sulla parte pericolosa che improvvisamente riparte: in questo caso la persona potrebbe non avere il tempo sufficiente per mettersi in posizione di sicurezza.
Anche la chiusura di sicurezza ha due funzioni di sicurezza da analizzare, in termini di prestazioni richieste o livello SIL:
- Lo sblocco del dispositivo di chiusura del riparo: in altre parole, quando la porta può essere sbloccata.
- La funzione di arresto correlata alla sicurezza quando viene rilasciato il dispositivo di blocco del riparo: in altri termini, ciò che deve essere fermato, all’interno dello spazio protetto, nel caso in cui la porta si sblocchi (ma rimanga comunque chiusa).