La direttiva macchine 2006/42/CE prescrive che i circuiti di comando con funzioni di sicurezza siano progettati e costruiti in modo da evitare l’insorgere di situazioni pericolose ed in particolare in modo tale che un’avaria nell’hardware o nel software del sistema di comando non crei situazioni pericolose.

Al fine di soddisfare tale requisito, è possibile prendere a riferimento la norma UNI EN ISO 13849-1:2016.

Tale norma stabilisce i requisiti di sicurezza ed una guida ai principi per la progettazione e l’integrazione delle parti dei sistemi di comando che svolgono funzioni di sicurezza (SRP/CS), inclusa la progettazione del software.

A differenza della norma precedente la EN 954-1:1996, la norma UNI EN ISO 13849-1:2016 introduce il concetto di affidabilità dei componenti poiché il rilievo dei guasti era puramente deterministico, quindi inadatto a componenti elettronici.

Nello specifico, la norma UNI EN ISO 13849-1:2016:

  • definisce le principali funzioni di sicurezza delle macchine (arresto di emergenza, interblocco del riparo mobile, ripristino, blocco del riparo, velocità ridotta, ecc.);
  • fornisce una procedura per la determinazione del livello di prestazione richiesto per ciascuna funzione di sicurezza (PLr);
  • descrive una procedura semplificata per la stima del Performance Level (PL) dei circuiti di comando che svolgono funzioni di sicurezza; tale stima prende in considerazione l’affidabilità dei componenti, la copertura diagnostica (DC), la categoria del circuito di comando, le misure contro i guasti di causa comune (CCF);
  • determina i requisiti di sicurezza del software;
  • è applicabile a tutti i circuiti di comando che svolgono funzioni di sicurezza indipendentemente dal tipo di tecnologia ed energia utilizzate (elettrica, idraulica, pneumatica, ecc.).

La norma UNI EN ISO 13849-2:2013 specifica i procedimenti e le condizioni da seguire per la validazione mediante analisi e prova. Tale norma definisce poi che tali funzioni di sicurezza debbano essere validate per un tempo di vita previsto di 20 anni. Non sempre è possibile creare una funzione di sicurezza che rispetti tale tempo di vita, deve essere segnalato nel manuale della macchina in cui è presente la funzione di sicurezza quale/i componente/i devono essere sostituiti e con che frequenza per tutta il tempo di vita previsto.

La validazione consiste nell’applicazione di analisi e, se necessario, nell’esecuzione di prove in conformità al programma di validazione. L’equilibrio tra analisi e/o prove dipende dalla tecnologia.

La validazione delle funzioni di sicurezza mediante analisi richiede la formulazione di motivazioni deterministiche. Le motivazioni deterministiche sono diverse da altre giustificazioni per il fatto che dimostrano che le proprietà richieste del sistema derivano logicamente da un modello del sistema.

Quando la validazione mediante analisi non è sufficiente per dimostrare la soddisfazione di funzioni di sicurezza e categorie specificate, devono essere condotte delle prove per completare la validazione. La prova è sempre complementare all’analisi ed è spesso necessaria.

Le prove di validazione devono essere programmate e implementate in modo logico.