PL e SIL: come scegliere il livello di sicurezza giusto per la tua macchina

La valutazione dei rischi secondo EN ISO 12100 identifica i pericoli e determina le misure di riduzione del rischio. Quando queste misure coinvolgono il sistema di comando della macchina (es. interblocchi, arresti di emergenza, limitazioni di velocità gestite da software), la norma richiede che il sistema di comando legato alla sicurezza (SRP/CS) sia progettato con un livello di affidabilità adeguato al rischio.

Due norme definiscono come determinare e raggiungere questo livello di affidabilità: la EN ISO 13849-1 (che utilizza il Performance Level, PL) e la IEC 62061 (che utilizza il Safety Integrity Level, SIL). Entrambe sono norme armonizzate per la Direttiva Macchine e il Regolamento 2023/1230.

Scegliere il livello corretto è fondamentale: un livello troppo basso espone a rischi inaccettabili; un livello troppo alto genera costi sproporzionati senza benefici reali per la sicurezza.

La EN ISO 13849-1:2023 (aggiornata di recente) definisce 5 Performance Level, da PL a (il più basso) a PL e (il più alto), ciascuno corrispondente a un intervallo di probabilità media di guasto pericoloso per ora (PFH_D).

PL a: PFH_D ≥ 10⁻⁵ — adatto a rischi bassi, con danni reversibili e bassa probabilità di esposizione. PL b: PFH_D da 3×10⁻⁶ a < 10⁻⁵. PL c: PFH_D da 10⁻⁶ a < 3×10⁻⁶. PL d: PFH_D da 10⁻⁷ a < 10⁻⁶. PL e: PFH_D < 10⁻⁷ — richiesto per rischi elevati, con danni gravi irreversibili e alta frequenza di esposizione.

Il PL richiesto (PL_r) si determina mediante un grafo del rischio che considera tre parametri: gravità della lesione (S1 = lieve/reversibile, S2 = grave/irreversibile), frequenza e durata dell'esposizione (F1 = rara/breve, F2 = frequente/prolungata) e possibilità di evitare il pericolo (P1 = possibile, P2 = non possibile o difficile).

La EN ISO 13849-1 definisce 5 categorie architetturali (B, 1, 2, 3, 4) che descrivono la struttura del sistema di comando e il suo comportamento in caso di guasto.

Categoria B: architettura base, nessun requisito specifico di sicurezza oltre alle buone pratiche di progettazione. Un singolo guasto può causare la perdita della funzione di sicurezza. Consente di raggiungere al massimo PL b.

Categoria 1: come la B, ma con componenti ben provati e principi di sicurezza consolidati. Un singolo guasto può causare la perdita della funzione, ma la probabilità di guasto è ridotta. Consente di raggiungere al massimo PL c.

Categoria 2: include un test periodico automatico della funzione di sicurezza. Il guasto viene rilevato dal test, ma tra un test e l'altro la funzione potrebbe essere compromessa. Consente di raggiungere PL c o PL d a seconda del Diagnostic Coverage (DC) e del tempo medio tra guasti pericolosi (MTTFd).

Categoria 3: architettura ridondante (due canali). Un singolo guasto non causa la perdita della funzione di sicurezza. Include diagnostica per rilevare guasti. Consente di raggiungere PL d o PL e.

Categoria 4: come la 3, ma con requisiti aggiuntivi: anche l'accumulo di guasti non rilevati non causa la perdita della funzione di sicurezza. Consente di raggiungere PL e.

La IEC 62061 utilizza i Safety Integrity Level (SIL), da SIL 1 (il più basso) a SIL 3 (il più alto per il settore macchine). Ogni SIL corrisponde a un intervallo di PFH_D.

SIL 1: PFH_D da 10⁻⁶ a < 10⁻⁵ — comparabile a PL c. SIL 2: PFH_D da 10⁻⁷ a < 10⁻⁶ — comparabile a PL d. SIL 3: PFH_D da 10⁻⁸ a < 10⁻⁷ — comparabile a PL e.

Il SIL richiesto (SIL_r) si determina con un metodo matriciale che considera: gravità del danno (Se), frequenza/durata dell'esposizione (Fr), probabilità dell'evento pericoloso (Pr) e possibilità di evitamento (Av). La somma dei fattori Fr, Pr e Av determina la classe (Cl), che combinata con Se dà il SIL_r.

La IEC 62061 è particolarmente adatta per sistemi di comando elettronici/programmabili complessi, mentre la EN ISO 13849-1 copre anche sistemi idraulici, pneumatici ed elettromeccanici.

Entrambe le norme sono valide per soddisfare i requisiti della Direttiva Macchine e del Regolamento 2023/1230. La scelta dipende dalla tecnologia del sistema di comando e dalle preferenze del costruttore.

La EN ISO 13849-1 (PL) è generalmente preferita quando: il sistema di comando include componenti pneumatici, idraulici o elettromeccanici; il sistema è relativamente semplice; il costruttore ha familiarità con le categorie architetturali; si utilizzano componenti con dati di affidabilità forniti dal costruttore (B10d, MTTFd).

La IEC 62061 (SIL) è generalmente preferita quando: il sistema è prevalentemente elettronico/programmabile; il sistema è complesso con molti sottosistemi; si utilizza un approccio quantitativo rigoroso; si lavora in settori dove il SIL è lo standard di riferimento (es. processo).

Nella pratica, per la maggior parte delle macchine industriali, la EN ISO 13849-1 è la norma più utilizzata. Molti costruttori di componenti di sicurezza forniscono i dati già nel formato richiesto dalla 13849-1 (PL, categoria, MTTFd, DC).

Il raggiungimento del PL richiesto segue un processo strutturato in sei fasi.

1. Determinare il PL richiesto (PL_r): usando il grafo del rischio con i parametri S, F, P per ogni funzione di sicurezza.

2. Progettare il circuito di sicurezza: scegliere la categoria architetturale, selezionare i componenti e definire la struttura hardware/software.

3. Calcolare il PL raggiunto: verificare che l'architettura scelta, combinata con i dati dei componenti (MTTFd, DC, CCF), raggiunga almeno il PL richiesto. Esistono software dedicati come SISTEMA (gratuito, sviluppato da IFA) o PAScal (Pilz).

4. Validare il software: per le categorie 2, 3, 4 con componenti programmabili, il software deve essere sviluppato e validato secondo i requisiti della EN ISO 13849-1 (ciclo a V, diversità, test).

5. Verificare le misure contro guasti a causa comune (CCF): applicare la checklist dell'Allegato F della norma per verificare le misure contro guasti che colpiscono contemporaneamente entrambi i canali di un sistema ridondante.

6. Documentare: il fascicolo tecnico deve contenere per ogni funzione di sicurezza: descrizione della funzione, PL_r, schema del circuito, dati dei componenti, calcolo del PL raggiunto, risultati della validazione.

Dall'esperienza pratica, gli errori più frequenti nel calcolo e nella validazione del PL/SIL sono i seguenti.

Confondere categorie e PL: la categoria architetturale da sola non determina il PL. Una Categoria 3 non garantisce automaticamente PL d: dipende anche dal MTTFd dei componenti e dal Diagnostic Coverage. Verificare sempre con il calcolo quantitativo.

Utilizzare dati di affidabilità generici: i valori di MTTFd e B10d devono provenire dal costruttore del componente o da database riconosciuti (es. IFA). Valori stimati o generici possono portare a una sovrastima del PL raggiunto.

Trascurare il Common Cause Failure: nei sistemi ridondanti (Categorie 3 e 4), un guasto a causa comune può annullare il beneficio della ridondanza. La checklist CCF dell'Allegato F deve essere compilata con rigore.

Non validare il software: per sistemi con PLC di sicurezza, la validazione del software applicativo è un requisito esplicito. Deve includere specifiche funzionali, test di validazione e diversità nelle misure di rilevamento errori.

Funzioni di sicurezza non identificate: ogni funzione di sicurezza (arresto, limitazione, interblocco, ecc.) richiede un calcolo del PL dedicato. Non basta calcolare il PL del circuito complessivo.