Direttiva Macchine 2006/42/EC

euFlag
I regolamenti comunitari richiedono che le macchine soddisfino i Requisiti Essenziali per la Salute e la Sicurezza (EHSR) definiti nella Direttiva Macchine 2006/42/EC.

Tutti i nuovi macchinari devono soddisfare gli stessi requisiti nell’ambito del mercato comunitario, inoltre gli standard armonizzati secondo la Direttiva Macchine sono una via preferenziale per presumere la conformità.

L’importanza della sicurezza delle macchine sta crescendo rapidamente nel settore dell’automazione industriale. La sicurezza sta diventando una parte integrante delle funzionalità della macchina, piuttosto che una parte aggiunta a-posteriori per soddisfare i regolamenti comunitari. I sistemi per la sicurezza funzionale stanno diventando quindi un must nel mercato.

L’obiettivo principale della sicurezza funzionale è di proteggere le persone e gli operatori da possibili incidenti. Tale scopo viene raggiunto usando sistemi progettati in modo da ridurre la probabilità di eventi indesiderati o pericolosi. In ultima analisi la sicurezza funzionale si riconduce all’affidabilità dei sistemi di sicurezza di svolgere la loro funzione intervenendo correttamente anche in caso di guasto. Nasce da qui il concetto di funzione di sicurezza.

La funzione di sicurezza è intesa come azione da compiere in condizioni di pericolo potenziale, mitiga il rischio e le conseguenze dannose che si verificherebbero se non vi fosse il sistema di sicurezza funzionale.

La Direttiva Macchine definisce i requisiti EHSR a livello comunitario ai quali le macchine devono rispondere. Progettisti e produttori devono quindi vigilare e tener in considerazione durante tutto il processo di tali requisiti::

  • Eliminare o minimizzare il pericolo tanto quanto ragionevolmente possibile considerando gli aspetti di sicurezza nella progettazione e nella costruzione della macchina.
  • Applicare le misure di protezione necessarie contro i pericoli che non possono essere eliminati.
  • Informare gli operatori dei rischi rimanenti, nonostante l’applicazione delle misure di protezione adottate, specificando ogni requisito per la formazione degli operatori o per l’utilizzo di dispositivi di protezione.

I costruttori che intendono implementare la sicurezza funzionale in conformità con la Direttiva Macchine possono seguire due standard alternativi sviluppati dalla International Organization for Standardization (ISO) e dalla International Electrotechnical Commission (IEC); essi sono:

  • IEC 62061-1_2005, applicabile ai sistemi elettronici di controllo;
  • EN ISO 13849-1/2, applicabile all’intera macchina.

La conformità ai requisiti della Direttiva Macchine può essere ottenuta anche facendo eseguire un’investigazione sulla macchina da una terza parte autorizzata.

Due standard armonizzati

ISO 13849-1:2008

Creare macchie sicure

Lo standard normativo EN ISO 13849-1:2008 fornisce le istruzioni di progetto per realizzare delle macchine sicure. Le istruzioni includono le raccomandazioni per il progetto del sistema, per l’integrazione e per la validazione. La normativa può essere applicata alle parti del sistema di controllo legate alla sicurezza di varie tipologie di macchine, indipendentemente dalla tecnologia adottata e dalla sorgente di energia utilizzata. Lo standard include anche una parte speciale per le parti del sistema di sicurezza dotate di elettronica programmabile.

Performance Level

La norma ISO 13849 definisce il metodo per valutare il Performance Level (PL) e i criteri per verificare il PL attribuibile a un sistema.  Il PL descrive l’affidabilità con cui un sistema di sicurezza è in grado di svolgere la sua funzione entro le condizioni operative prevedibili. La norma definisce 5 livelli di PL: a, b, c, d, e. Un sistema con PL-“e” ha l’affidabilità più alta mentre un sistema con PL-“a” ha l’affidabilità più bassa.

EN62061

Sistemi elettronici di sicurezza

La norma IEC 62061-1:2005 è uno standard appartenente al framework IEC 61508 ed è dedicata specificamente alla progettazione dei sistemi elettronici ed elettrici di sicurezza nel settore delle macchine.

Livello di Integrità di Sicurezza (SIL)

La norma IEC 62061 definisce il metodo per valutare il Livello di Integrità di Sicurezza (SIL) e i criteri per verificare il SIL attribuibile a un sistema. Il SIL rappresenta l’affidabilità di una funzione di sicurezza. La norma definisce 4 livelli di SIL: 1, 2, 3, 4.  Una funzione di sicurezza SIL-4 ha l’affidabilità più alta mentre una funzione di sicurezza SIL1 ha l’affidabilità più bassa.

Seguiamo tutto il processo di certificazione

Gli standard armonizzati definiscono una serie di attività successive ciascuna delle quali considera la macchina nel suo complesso e nell’ambiente operativo.

Le fasi del processo di certificazione sono:

Valutazione dei rischi e dei pericoli

Analisi dei rischi, della loro eliminazione o minimizzazione, si fa riferimento allo standard normativo ISO 12100:2010.

Definizione dei requisiti delle funzioni di sicurezza

Definizione delle funzionalità e delle performance necessarie per ridurre i rischi e portarli a un livello tollerabile.

Implementazione delle funzioni di sicurezza

Progettazione e creazione di sistemi per implementazione delle funzioni di sicurezza.

Verifica della sicurezza funzionale

Assicurare che i sistemi di sicurezza soddisfino i requisiti definiti nella fase 2

Validazione della sicurezza funzionale

Verifica, tornando indietro alla fase 1, della riduzione dei rischi identificati.

Documentazione della sicurezza funzionale

Produzione della documentazione di progetto e della documentazione per l’operatore.

Verifica della conformità

Certificazione di conformità della macchina ai requisiti EHSR della Direttiva Macchine attraverso un Audit di conformità, usando le direttive armonizzate.

Usiamo le direttive armonizzate

Risk-ANalysis

Valutazione dei rischi e pericoli

La valutazione dei rischi e pericoli è un processo che analizza e valuta i rischi considerati come una combinazione della conseguenza del danno e della probabilità di accadimento del danno quando si è esposti al pericolo.


In accordo con la Direttiva Macchine è obbligatorio eseguire l’analisi dei rischi e pericoli per una macchina i cui risultati devono essere tenuti in considerazione nella fase di progettazione.


L’analisi dei rischi e pericoli condotta secondo la norma ISO 12100:2010 consiste in due parti: l’analisi dei pericoli e la valutazione dei rischi.


L’analisi dei pericoli ha lo scopo di identificare gli eventi pericolosi potenzialmente presenti.

La valutazione dei rischi ha lo scopo di decidere se il rischio è accettabile oppure se necessita di una misura di riduzione del rischio.

Riduzione dei rischi

Il modo migliore per mitigare i rischi è ridurli in fase di progettazione modificando il design oppure il principio di funzionamento.


Laddove non è possibile adottare un design intrinsecamente sicuro, si può dotare la macchina di un sistema di protezione, per esempio una funzione di sicurezza o una guardia di protezione.


In ultima analisi si possono utilizzare i metodi di informazione per l’utente: segnali di warning acustici e/o visivi, avvertimenti sulle istruzioni d’uso e training degli operatori.

Definiamo i requisiti di sicurezza

L’integrità della sicurezza misura le performances della funzione di sicurezza,quantificando la probabilità che la funzione di sicurezza svolga quanto richiesto, quando richiesto. Il livello di integrità richiesto per una funzione di sicurezza viene determinato durante la fase di valutazione dei rischi ed è  classificata dal relativo valore SIL o PL, in funzione dello standard normativo di riferimento.

Determinare il SIL secondo la EN 62061

SIL-62061

È un processo in quattro fasi:

  1. Determinazione dei valori di frequenza e durata dell’evento pericoloso.
  2. Determinazione della probabilità di esposizione all’evento pericoloso.
  3. Determinazione  della possibilità di prevenire o limitare le conseguenze dell’evento pericoloso.
  4. Determinazione  della severità della conseguenza dell’evento pericoloso.

A titolo di esempio la figura a destra  mostra una tipica valutazione di SIL richiesto per una funzione di sicurezza.

Nelle prime tre fasi si determina la probabilità di accadimento del danno, nella seconda fase, in funzione della severità del danno, si determina il SIL richiesto.

Nel caso in esame:

  • Frequenza di esposizione tra 1 ora e due settimane,
  • Probabilità dell’evento pericoloso = Possibile,
  • Possibilità di evitare il danno = Possibile,

Si ottiene un punteggio pari a 11 che corrisponde a un SIL-2 per la funzione di sicurezza.

Determinare il PL secondo la ISO 13849

La definizione del PL si articola in tre fasi:

Determinare la severità del danno:

  • S1 = lieve, di solito un danno reversibile;
  • S2 = severo, un danno irreversibile, incluso il decesso.

Determinare la frequenza e la durata dell’esposizione al pericolo:

  • F1 = da raro a spesso e/o esposizione per breve durata;
  • F2 = da frequente a continuo e/o esposizione per tempi lunghi.

Determinare la possibilità di prevenire il pericolo o limitare i danni causati dal pericolo:

  • P1 = possibile in alcune condizioni;
  • P2 = difficilmente possibile.

La figura a sinistra illustra un esempio di determinazione del PL in cui:

  • S = S2,
  • F = F2,
  • P = P1.

Il Performance Level richiesto per la funzione di sicurezza è PLr=“d”.

PL-13849

Realizziamo la funzione di sicurezza

Definito il PL o il SIL richiesto è necessario definire l’architettura designata per implementare la funzione di sicurezza. Entrambe le norme armonizzate forniscono le linee guida per scegliere l’architettura in funzione dalla performance della funzione di sicurezza.

Nel caso si adotti la ISO 13849 si può scegliere l’architettura tra le categorie B, 1, 2, 3 oppure 4; se si adotta la EN 62061 si può scegliere tra le architetture A, B, C oppure D.

Nella progettazione del sistema di sicurezza si possono usare componenti certificati, se disponibili questa scelta è ampiamente consigliata, oppure si deve eseguire un calcolo della sicurezza di ciascun sottosistema non certificato.

In fase di progettazione è anche importante definire correttamente le procedure di montaggio, installazione e manutenzione necessarie per assicurare la sicurezza della macchina.

ISO13849-architecture

Verifichiamo la sicurezza funzionale

Verificare la sicurezza funzionale vuol dire dimostrare che la funzione di sicurezza ha le performance prestabilite in fase di definizione dei requisiti.

In altri termini bisogna dimostrare che l’affidabilità della funzione di sicurezza è maggiore o uguale di quella necessaria per garantire la necessaria riduzione del rischio.

Test-procedure

La verifica della funzione di sicurezza va eseguita mediante prove formali, analisi e verifiche sperimentali sui diversi aspetti del progetto:

  1. Revisione formale dei requisiti.
  2. Verifica funzionale della funzione di sicurezza mediante prove sperimentali.
  3. Verifica dei requisiti ambientali.
  4. Verifica delle prestazioni mediante test operativi.
  5. Verifica di reazione in caso di guasti casuali e/o errori software, prove di laboratorio.
  6. Verifica formale di applicazione delle misure di riduzione dei guasti sistematici hardware e software.
  7. Revisione formale dei documenti di design e del manuale operatore.

Verifica secondo lo standard EC 62061

Verifica secondo lo standard ISO 13849-1

checklist
  1. Verifica del SILCL (SIL Claim Level) del sistema di sicurezza.
  2. Calcolo della PFHd (Probability of Dangerous Failure per hour) per i sottosistemi.
  3. Stima del valore di CCF (Common Cause Failure).
  4. Calcolo del fattore Beta e stima della PFDh complessiva.
  5. Determinazione del SIL raggiunto.
  1. Determinare la Categoria del sistema di sicurezza.
  2. Calcolare il valore di MTTFd (Mean Time to Dangerous Failure).
  3. Calcolare il valore di DC (Diagnostic Coverage).
  4. Valutare, usando la norma, il PL raggiunto.

Convalidiamo la sicurezza funzionale

Documentiamo l’intero progetto

L’intero sistema è analizzato con riferimento alla valutazione dei rischi e pericoli per determinare se le sue funzioni di sicurezza apportano davvero la riduzione del rischio richiesta nella fase di definizione dei requisiti

Tutte le fasi di progettazione, dall’analisi dei rischi e pericoli, ai file di progetto, verifica e al rapporto di verifica e convalida sono documentati e gestiti con un avanzato sistema di DMS (Document Management System).

technical_file

Seguiamo l’Audit di certificazione

36322_3149

La verifica della conformità alla direttiva macchine viene eseguita da un’ente notificato durante una o più sessioni di Audit.

Durante questi incontri, l’ente verifica:

  • Conformità ai requisiti EHSR.
  • Conformità ad altre direttive applicabili.
  • Completezza e aggiornamento del fascicolo tecnico.
  • Evidenza di conformità alla Direttiva Macchine mediante fascicolo tecnico.
  • L’adeguatezza delle verifiche di conformità.
  • Produzione e consegna della dichiarazione di conformità EC insieme alla macchina.

Il fascicolo tecnico deve contenere tutte le informazioni di progetto, realizzazione, installazione e uso necessari per dimostrare la conformità.