EN 13849-1 e EN 62061

Ing. Gianfranco Ceresini

Esempio di progettazione – assegnare i blocchi funzionaliai sottosistemi • • •

Ciascun blocco funzionale viene assegnato ad un sottosistema dell’architettura del sistema SRECS. Se un sottosistema si guasta si ha il mancato funzionamento della funzione di controllo relativa alla sicurezza. Ogni sottosistema può comprendere elementi del sottosistema e, se necessario, funzioni di diagnostica per assicurare che i guasti possano essere rilevati per consentire di intraprendere un’azione immediata corretta.


Esempio di progettazione – selezione dei componenti di ogni sottosistema •

Vengono scelti questi prodotti. La durata del ciclo nell’esempio è di 450 secondi, il ciclo di azionamento C è di 8 manovre all’ora: la protezione verrà quindi aperta 8 volte all’ora (test diagnostico T2)

42


Esempio di progettazione – progettazione della diagnostica •

•

• • •

Il SIL raggiunto dal sottosistema non dipende solamente dai componenti ma anche dall’architettura scelta. Nell’esempio sceglieremo architetture B per le uscite a contattore e D per i finecorsa. In questa architettura il modulo logico di sicurezza esegue l’autodiagnostica e verifica anche i finecorsa. Vi sono tre sottosistemi per i quali determinare il SILCL (SIL Claim Limits): SS1: due finecorsa in un sottosistema con architettura di tipo D (ridondante); SS2 di sicurezza: un modulo logico SILCL 3 (scelto in base ai dati, incluso il PFHD, , forniti dal costruttore); SS3: due contattori utilizzati in associazione con un’architettura tipo B (ridondante senza feedback)


Esempio di progettazione – progettazione della diagnostica

43


Esempio di progettazione – progettazione della diagnostica


Esempio di progettazione – calcolo PFHd dei contattori •

Per un’architettura di tipo B (a prova di guasto singolo senza diagnostica) la probabilità di guasto pericoloso del sottosistema è: λ DssB = (1 − β ) 2 × λ De1 × λ De2 × T 1 + β × (λ De1 + λ De2 ) / 2

PFH DssB

=

λ DssB ×1h

44


Esempio di progettazione – calcolo PFHd dei finecorsa •

Si sceglie un’architettura tipo D a prova di guasto singolo con funzione di diagnostica.


Esempio di progettazione – verifica finale

45


Esempio di progettazione – emergenza + apertura riparo


Esempio di progettazione – emergenza + apertura riparo Questo esempio di funzione di sicurezza descrive il monitoraggio di un apparecchio di comando per arresto d'emergenza (funzione 1) e di un dispositivo di protezione di separazione sotto forma di una porta di protezione (funzione 2): in questi casi si tratta di monitorare l'accesso non autorizzato a zone dell'impianto e di impedire una funzione pericolosa della macchina quando il dispositivo di protezione viene aperto. Funzione di sicurezza SF1 : l'apparecchio di comando per arresto d'emergenza con contatti ad apertura forzata viene monitorato dall'F-Link mediante l'S7-416F. Se si aziona l'arresto d'emergenza, i contattori Q1 e Q2 a valle vengono disinseriti con guida obbligata. Prima della riattivazione o della conferma dell'arresto d'emergenza mediante il pulsante di avviamento si controlla che il contatto dell'apparecchio di comando per arresto d'emergenza sia chiuso ed entrambi i contattori siano disinseriti. SIL richiesto = 3 Funzione di sicurezza SF2: anche la porta di protezione viene monitorata con due interruttori di posizionamento con contatti ad apertura forzata mediante l'F-Link tramite l'S7-416F. Se si apre la porta di protezione, i contattori Q1 e Q2 a valle vengono disinseriti con guida obbligata. Se la porta di protezione viene chiusa, viene eseguito un avvio automatico dopo la verifica degli interruttori di posizionamento e dei contattori a valle. SIL richiesto = 3.

46


Esempio di progettazione – emergenza + apertura riparo Dati della parte della logica, che è comune ad entrambe le funzioni di sicurezza


Esempio di progettazione – emergenza + apertura riparo Dati dei componenti soggetti a usura per la funzione di sicurezza SF1

47


Esempio di progettazione – emergenza + apertura riparo Verifica del soddisfacimento del livello SIL richiesto per funzione SF1

SIL effettivo = SIL richiesto


Esempio di progettazione – emergenza + apertura riparo Dati dei componenti soggetti a usura per la funzione di sicurezza SF2

48


Esempio di progettazione – emergenza + apertura riparo Verifica del soddisfacimento del livello SIL richiesto per funzione SF2

SIL effettivo = SIL richiesto


Esempio di progettazione – pressa per cuscinetti Individuazione della funzione di sicurezza Si ha una pressa per cuscinetti in cui il movimento del cilindro deve essere fermato quando il campo protetto della barriera viene interrotto.

49


Esempio di progettazione – pressa per cuscinetti Assegnazione del SIL La gravità della lesione può essere irreversibile (Se = 3), la frequenza di esposizione al rischio è due, tre volte al giorno per più di 10 minuti (Fr = 5), la probabilità del verificarsi di un evento pericolo è possibile (Pr = 3) ed esiste la possibilità da parte dell’operatore di limitare il danno (Av = 3). Si ottiene una classe di probabilità del danno pari a Cl = Fr + Pr + Av = 5 + 3 + 3 = 11. Ne risulta un SILr = 2.


Esempio di progettazione – pressa per cuscinetti Progettazione dell’architettura di controllo Una volta individuato il SIL necessario per la nostra funzione di sicurezza, che in questo caso vale 2, è necessario scomporre la funzione in blocchi funzionali FB (in figura si nota che i collegamenti tra i blocchi funzionali, e quindi tra i sottosistemi, non sono di tipo digitale).

Identificati i blocchi funzionali si procede quindi alla identificazione dei sottosistemi che realizzeranno i blocchi funzionali individuando una possibile configurazione elettrica.

50


Esempio di progettazione – pressa per cuscinetti Poiché il SIL richiesto totale è 2, ogni sottosistema deve avere un SILCL almeno pari a 2 per raggiungere l’obiettivo prefisso.

Per ogni sottosistema si calcola la probabilità di guasti (casuali) pericolosi all’ora PFHD.

Risulta che il PFHD totale risulta inferiore a 10-6 e quindi corrispondente a SIL 2 o SIL 3.


Esempio di progettazione – pressa per cuscinetti Determinazione del SIL massimo raggiungibile Poiché il SIL massimo raggiungibile da un sistema di controllo relativo alla sicurezza (SRESC) è sempre inferiore o pari al valore più basso dei SIL massimi raggiungibili, vanno controllati i vincoli dell’architettura di ognuno dei sottosistemi che lo costituiscono. Dai dati dei costruttori si ricava che il SILCL sia della barriera fotoelettrica che del PLC di sicurezza è pari a 3 e quindi coerente con la richiesta (maggiore o uguale a 2). Rimane da controllare il SILCL dell’elettrovalvola che è un componente della catena di sicurezza soggetto ad usura e privo di diagnostica interna. Va analizzato il vincolo sull’architettura per stabilirne il massimo SIL che può fornire l’elettrovalvola: dalla tabella D.1 della norma EN 62061 si trova che la frazione di guasto in sicurezza SFF dell’elettrovalvola è pari al 70% (mancata eccitazione 5% più perdita 65%), mentre la sua tolleranza all’avaria dell’hardware HFT è pari a 0 perché anche una sola avaria può causare una perdita della funzione di controllo relativa alla sicurezza. Risulta quindi che una singola elettrovalvola come attuatore di uscita non è sufficiente a raggiungere il SIL minimo pari a 2 che viene richiesto.

51


Esempio di progettazione – pressa per cuscinetti

Occorre allora ripensare alla struttura dell’attuatore andando a collegare in parallelo (ridondanza) due sottosistemi (in questo caso due elettrovalvole), entrambi rispondenti alle richieste dell‘architettura per SIL1, in modo che la tolleranza all’avaria dell’hardware HFT diventi pari a 1 e quindi si passi da SILCL1 a SILCL2.


Esempio di progettazione – pressa per cuscinetti

Poiché il sottosistema di uscita è ora costituito da due canali bisogna verificare la resistenza del sottosistema “doppia elettrovalvola” ai guasti per causa c omune. L’architettura del sottosistema con una singola tolleranza all’avaria dell’hardware senza funzione diagnostica è l’architettura B dove dovrebbe verificarsi un guasto pericoloso in più di un elemento prima che si verifichi un guasto al sottosistema.

52


Esempio di progettazione – pressa per cuscinetti Dalle tabelle F.1 e F.2 della norma EN 62061 si ricava rispettivamente che il punteggio è compreso tra 35 e 65 e quindi il CCF (β) è pari al 5%. Le formule utilizzabili per calcolare la probabilità di guasti (casuali) pericolosi all’ora PFHD del sottosistema costituito dalle due elettrovalvole (sottosistema di tipo B), sono le seguenti:

λ DssB

=

(1 − β )

2

×

λ De1 × λ De 2 × T 1 + β × ( λ De1 + λ De 2 ) / 2

PFH DssB

=

λ DssB ×1h

Per i dispositivi elettromeccanici come le elettrovalvole, il loro tasso di guasto λDe1 = λDe2 si determina utilizzando il valore B10 e il numero di cicli di funzionamento C dell’applicazione:

λ = 0,1⋅

C B10

In questo caso ricaviamo da una tabella dell’appendice C della norma EN 13849-1 che il B10d di una elettrovalvola è di 20000000 di cicli è poiché B10d è stimato pari a due volte B10 (ipotesi del 50% di guasti pericolosi), abbiamo che B10 è pari a 10000000 di cicli. C si assume pari a 60 /h. Il tempo di vita delle elettrovalvole si assume pari a 20 anni. Ne risulta che: PFH DssB−elettrovalvole

=

9

−

9 ×10


Esempio di progettazione – pressa per cuscinetti Verifica In questa fase si verifica che il SIL ottenuto sia uguale o superiore al SIL assegnato (SILr richiesto) stabilito dalla valutazione del rischio al passo 2. La verifica è positiva:

53


Esempio Architettura A

In una architettura semplice come questa (singolo canale A) si calcola che la Probabilità di Guasti Pericolosi per ora (PFH) è: PFH = λtot = λs + λk


Esempio Architettura A

λk

λs

= 5,10·10-7

= 1,00·10-6

PFHd = λtot = λs + λk = 1,51·10-6

SIL 1 Ora devo fare il controllo sull’architettura

54


Calcolo del SFF del dispositivo di interblocco

λs =4 λd

SFF =

λs + DC λd = λs + 1 λd

4 +

0 = 0,80

4 + 1


Calcolo del SFF del contattore

λs 35 = = 0,53 λd 65

SFF =

λs + DC 0,53 + 0 λd = λs + 1 0,53 + 1 λd

= 0,34

55


Vincolo architetturale

Per via del singolo dispositivo, sia per I che per O abbiamo HFT = 0

Contattore SFF = 34,6 %

Dispositivo interblocco SFF = 80 %

SILCL = SIL 1

(per l’eccezione § 6.7.6.4)


Esempio architettura D

Feedback loop

PFHsub1 = (1 – β )2 {[ λ λDe1 * λ λDe2 * (DC1 + DC2)] * T2/2 + [λ λ λDe1 * λ λ De2 * (2 - DC1 - DC2) ] * T1/2 } + β * (λ λ λ De1 + λ λ De2 )/2 * 1h

56



Risultato ? SIL 2 PFHd = 1,16·10-7 Feedback loop

MTTF λ 1/h β (%/100) T1 anni T2 giorni DC (%/100)

S1 S2 228 100 5,01E-07 1,142E-06 0,05 20,00 0,168 0,99 0,99

PFHd = 4,2·10 -8

SIL 3 PFHd = 2,26·10-8


S1 S2 114 114 1E-06 1,001E-06 0,05 20,00 0,168 0,99 0,99

PFHd = 5,17·10-8


Vincolo architetturale Per via dei dispositivi ridondanti, sia per I che per O abbiamo HFT = 1

57


Esempio di collegamento serie

Risultato ?

Feedback loop

SIL 2 PFHd = 2,05·10-7


S1 S2 228 100 5,01E-07 1,142E-06 0,05 20,00 0,168 0,00 0,00

SIL 3 PFHd = 2,26·10-8

PFHd = 1,31·10-7


S1 S2 114 114 1E-06 1,001E-06 0,05 20,00 0,168 0,99 0,99

PFHd = 5,17·10-8


Calcolo del SFF del dispositivo di interblocco

λs =4 λd

SFF =

λs + DC λd = λs + 1 λd

4 +

0 = 0,80

4 + 1

58


Vincolo architetturale



Elettrovalvola monitorata

Risultato ? SIL 3 PFHd = 7,44·10-8

Elettrovalvola normale MTTF λ 1/h β (%/100) T1 anni T2 giorni DC (%/100)

S1 S2 228 100 5,01E-07 1,142E-06 0,05 20,00 0,168 0,99 0,99

PFHd = 4,2·10 -8

SIL 3 PFHd = 2,26·10-8

λ β T1 T2 DC

MTTF 1/h (%/100) anni giorni (%/100)

S1 S2 2000 400 5,71E-08 2,854E-07 0,05 20,00 0,168 0,99 0,00

PFHd = 9,86·10 -9

59


Calcolo del SFF dell’elettrovalvola

λs 70 = = 2,33 λd 30

= 0,74


Vincolo architetturale Per via dei dispositivi ridondanti, sia per I che per O abbiamo HFT = 1

Elettrovalvole SFF = 74 %

SILCL = SIL 2

60

EN 13849-1 e EN 62061

Recommend Documents