Sicurezza funzionale nei sistemi PLC: livelli SIL, relè di sicurezza e conformità spiegati
Un sistema di sicurezza o funziona o non funziona, e quando non funziona, le persone si fanno male. Questa è la realtà ineludibile della sicurezza funzionale industriale. Ma tradurre questa realtà in una specifica di acquisto per un PLC significa destreggiarsi tra livelli SIL, norma IEC 61511, I/O a prova di guasto e un mercato pieno di certificazioni sovrapposte che possono far girare la testa.
Nel 2026, questa non è più solo una questione ingegneristica, ma anche legale. La direttiva europea NIS2 ora include il settore manifatturiero tra le infrastrutture critiche. I progetti in Medio Oriente, realizzati secondo gli standard di Saudi Aramco e ADNOC, impongono la conformità alla norma IEC 61511 con specifici obiettivi SIL. Persino in Nord America, dove storicamente l'OSHA ha adottato un approccio meno rigoroso in materia di standard di sicurezza per l'automazione, le compagnie assicurative stanno inserendo nelle loro polizze requisiti che fanno riferimento alla norma IEC 61508.
Questo articolo fa chiarezza sulla terminologia specifica. Una volta terminata la lettura, saprai quale livello SIL è necessario per la tua applicazione, quali famiglie di PLC di sicurezza lo garantiscono e che aspetto ha la documentazione di conformità.
La sicurezza funzionale non è la stessa cosa della sicurezza elettrica. La sicurezza elettrica previene scosse elettriche e incendi, attraverso una corretta messa a terra, la protezione dei circuiti e gli involucri. La sicurezza funzionale garantisce che, in caso di malfunzionamento, il sistema di controllo si guasti in modo da proteggere le persone.
Un sistema di sicurezza funzionale ha tre compiti: rilevare una condizione di pericolo (la barriera fotoelettrica si rompe), prendere una decisione (arrestare la macchina da stampa) ed eseguire tale decisione in modo affidabile (disattivare il contattore del motore). L'intera catena – sensore, algoritmo logico, elemento finale – deve essere progettata in modo che nessun singolo guasto di un componente impedisca al sistema di svolgere la sua funzione.
Il livello di integrità della sicurezza (SIL) misura la riduzione del rischio fornita da una funzione di sicurezza. Va da SIL 1 (il più basso) a SIL 4 (il più alto, quasi mai utilizzato nell'automazione industriale).
Livello SIL | Fattore di riduzione del rischio | Probabilità di guasto su richiesta | Applicazione tipica
SIL 1 | 10–100 | 0,1–0,01 (da 1 su 10 a 1 su 100) | Semplice viaggio per eccesso di velocità
SIL 2 | 100–1.000 | 0,01–0,001 (da 1 su 100 a 1 su 1.000) | Valvola di arresto del processo
SIL 3 | 1.000–10.000 | 0,001–0,0001 (da 1 su 1.000 a 1 su 10.000) | Gestione del bruciatore, protezione ad alta pressione
SIL 4 | 10.000–100.000 | 0,0001–0,00001 | Protezione dei reattori nucleari
Nell'ambito dell'automazione industriale, i livelli SIL 2 e SIL 3 coprono il 95% delle applicazioni. Il livello SIL 4 esiste solo sulla carta e nelle centrali nucleari, ma non lo si troverà in una linea di confezionamento o in un impianto di trattamento delle acque.
Tre standard costituiscono la base della sicurezza funzionale nell'automazione industriale:
IEC 61508 — Lo standard di riferimento. Copre tutti i settori industriali e tutti i sistemi di sicurezza elettrici/elettronici/programmabili. Definisce il concetto SIL e il ciclo di vita della sicurezza.
IEC 61511 — Adattamento per l'industria di processo della norma 61508. È la norma seguita da raffinerie, impianti chimici e centrali elettriche. Copre l'intero sistema di sicurezza strumentato (SIS), dal sensore al risolutore logico fino all'elemento finale.
IEC 62061 / ISO 13849 — Norme di sicurezza per macchinari. Se state costruendo una macchina utensile, una macchina per l'imballaggio o una cella robotizzata, queste norme si applicano. Definiscono i livelli di prestazione (da PL a a PL e) che corrispondono approssimativamente ai livelli SIL 1-3, ma utilizzano una metodologia di calcolo diversa.
Se operate nel settore petrolifero e del gas in Medio Oriente, la norma di riferimento è la IEC 61511. Se invece siete costruttori di macchinari ed esportate in Europa, si applicano le norme IEC 62061 e ISO 13849. Assicuratevi di sapere quale norma è citata nella polizza assicurativa del vostro cliente.
Un PLC di sicurezza non è semplicemente un normale PLC con un'etichetta di sicurezza. L'architettura è diversa a livello di silicio.
Doppio canale con confronto (1oo2) — Due processori separati eseguono la stessa logica di sicurezza. Un comparatore hardware verifica continuamente che entrambi i processori concordino su ogni decisione di uscita. Se non concordano anche di un solo bit, le uscite di sicurezza si disattivano. Questa è l'architettura standard per i PLC di sicurezza SIL 3. Allen-Bradley GuardLogix, Siemens S7-1500Fe Omron NX-SL utilizzano tutti una qualche forma di architettura 1oo2.
Tripla ridondanza modulare (2oo3): tre processori votano su ogni uscita. Il guasto di un singolo processore non fa scattare il sistema: i due rimanenti votano in maggioranza. Questa architettura (TMR) è comune nei sistemi Honeywell Safety Manager e Triconex per applicazioni SIL 3, dove i falsi allarmi possono avere enormi conseguenze finanziarie. Un falso allarme sul sistema di arresto di emergenza di una piattaforma offshore può costare 1 milione di dollari al giorno in termini di perdita di produzione.
Monocanale con diagnostica (1oo1D) — Un processore con diagnostica interna completa. Adatto per applicazioni SIL 2 in cui il requisito di riduzione del rischio è moderato. TwinSAFE di Beckhoff e molti controllori di sicurezza compatti utilizzano questo approccio.
I moduli I/O di sicurezza sono simili esternamente ai moduli I/O standard. Internamente, tuttavia, sono fondamentalmente diversi:
· Test a impulsi: il modulo invia impulsi della durata di microsecondi attraverso il circuito di uscita per verificare che il cablaggio di campo sia integro e che il carico non sia in cortocircuito. Questi impulsi sono troppo brevi per eccitare la bobina di un contattore, ma sufficientemente lunghi da consentire alla diagnostica del modulo di rilevare un circuito aperto o un cortocircuito.
· Intervalli di test al buio: sugli ingressi digitali, il modulo disattiva brevemente l'alimentazione interna e verifica che il segnale di ingresso si riduca effettivamente a zero. Questo permette di individuare un guasto "bloccato" che altrimenti passerebbe inosservato, poiché l'ingresso risulterebbe sempre attivo.
· Ingressi a doppio canale: un singolo ingresso di sicurezza (arresto di emergenza, barriera fotoelettrica) si collega a due canali di ingresso separati. Il modulo verifica che entrambi i canali cambino stato entro un tempo di discrepanza definito, in genere compreso tra 100 e 500 millisecondi. Se un canale si apre ma l'altro rimane chiuso oltre il tempo di discrepanza, il modulo segnala un guasto e impone uno stato di sicurezza.
Questi processi diagnostici vengono eseguiti continuamente, centinaia di volte al secondo. Non li vedi. Il PLC non li segnala a meno che non si verifichi un guasto. Ma sono ciò che fa la differenza tra un sistema sicuro sulla carta e uno sicuro solo dopo tre anni di vibrazioni, calore e incuria.
La logica di sicurezza viene eseguita in un programma di sicurezza separato con una propria partizione di esecuzione. Il programma di controllo standard non può scrivere sui tag di sicurezza, ma solo leggerli. La logica di sicurezza utilizza un set di istruzioni limitato: niente cicli, niente indirizzamento indiretto, niente allocazione dinamica della memoria. Ogni possibile percorso di esecuzione deve essere analizzabile in fase di compilazione.
Funzioni di sicurezza comuni che programmerai:
· Monitoraggio dell'arresto di emergenza: ingresso a doppio canale, ripristino manuale richiesto, logica anti-blocco per impedire la disattivazione dell'arresto di emergenza
· Silenziamento della barriera fotoelettrica: disabilita temporaneamente la funzione di sicurezza per consentire il passaggio del materiale, utilizzando sensori di silenziamento disposti in modo che una persona non possa attivare lo stesso schema di rilevamento.
· Arresto sicuro della coppia (STO): Diseccita lo stadio di uscita dell'azionamento del motore senza interrompere l'alimentazione principale, consentendo un riavvio rapido dopo un evento di sicurezza.
· Velocità limitata di sicurezza (SLS): monitora il feedback dell'encoder e interviene se il motore supera un limite di velocità configurabile.
· Gestione del bruciatore: temporizzazione dello spurgo, rilevamento della fiamma, verifica della valvola del combustibile e sequenza di arresto di emergenza.
Medio Oriente: lo standard SAES-J-601 di Saudi Aramco impone la conformità alla norma IEC 61511 per tutti i nuovi sistemi di sicurezza di processo. Il livello SIL 3 è quello predefinito per i sistemi di rilevamento incendi e gas, arresto di emergenza e protezione dalla sovrapressione ad alta integrità (HIPPS). Honeywell Safety Manager e Triconex dominano la base installata, mentre Yokogawa ProSafe-RS sta guadagnando quote di mercato nei progetti EPC giapponesi. Se fornite apparecchiature per un progetto Aramco, prevedete nel budget un PLC di sicurezza certificato e una valutazione della sicurezza funzionale (FSA) da parte di un ingegnere certificato TÜV prima della messa in servizio.
Europa: la marcatura CE ora richiede un ciclo di vita di sicurezza documentato per i macchinari. Il Regolamento Macchine UE 2023/1230 (in vigore dal 2027, ma i fornitori si stanno già adeguando) inasprisce i requisiti per i robot mobili autonomi e i robot collaborativi, entrambi fortemente dipendenti dai PLC di sicurezza per il monitoraggio della velocità e della distanza di sicurezza. Le CPU Siemens F sono predominanti in Germania e nell'Europa orientale. Il Pilz PSS 4000 è la soluzione ideale per le applicazioni di sicurezza pura.
Nelle Americhe, la normativa OSHA PSM (Process Safety Management, 29 CFR 1910.119) sta promuovendo l'adozione di GuardLogix nei settori della raffinazione e della chimica. GuardLogix sta riscuotendo un grande successo perché gli impianti dispongono già dell'ecosistema Rockwell. Il passaggio alla sicurezza integrata (logica di sicurezza nella stessa piattaforma del controllo standard) ha subito un'accelerazione da quando Studio 5000 Logix Designer di Rockwell ha reso la programmazione della sicurezza pressoché identica alla programmazione standard.
I livelli SIL non si calcolano a caso. Si calcolano utilizzando un'analisi degli strati di protezione (LOPA). Il metodo:
1. Partiamo dalla frequenza dell'evento scatenante: con quale frequenza si verifica la condizione pericolosa? Una sovrapressione del reattore potrebbe verificarsi una volta all'anno. Un inceppamento del nastro trasportatore potrebbe verificarsi una volta al giorno.
2. Determinare il rischio tollerabile: qual è la frequenza massima accettabile dell'evento dannoso? Per un decesso, gli obiettivi comuni nel settore variano da 1 × 10⁻⁴ a 1 × 10⁻⁶ all'anno.
3. Considerare i livelli di protezione non SIS: valvole di sicurezza, intervento dell'operatore, contenimento fisico. Ogni livello di protezione indipendente (IPL) riduce il rischio di un fattore.
4. Lo spazio rimanente è ciò che la funzione di sicurezza strumentata deve coprire: tale spazio determina il livello SIL richiesto.
Esempio semplificato: un evento di sovrapressione si verifica una volta ogni 10 anni. Senza protezione, ucciderebbe un operatore. Il rischio tollerabile è di 1 × 10⁻⁴ all'anno (un decesso ogni 10.000 anni). Una valvola di sicurezza riduce il rischio di 100 volte (un IPL). Rischio residuo: 1 × 10⁻³ all'anno. Per raggiungere 1 × 10⁻⁴, è necessario un ulteriore fattore di 10, ovvero SIL 1. Il PLC di sicurezza deve chiudere la valvola di ingresso entro il tempo di sicurezza del processo quando la pressione supera il punto di intervento.
Il vostro PLC di sicurezza certificato SIL ha una probabilità di guasto su richiesta (PFDavg) nominale. Tale valore presuppone che eseguiate test di verifica a intervalli regolari, in genere ogni 12 mesi. Il test di verifica controlla l'intera catena di sicurezza, dal sensore all'elemento finale, e individua i guasti che la diagnostica automatica non ha rilevato.
Un test di verifica su un PLC di sicurezza prevede:
· Forzare gli input di sicurezza e verificare che gli output di sicurezza corretti rispondano
· Verifica del tempo di risposta (che deve rientrare nei tempi di sicurezza del processo).
· Verificare il funzionamento della copertura diagnostica (iniettare un guasto, confermare che il PLC lo rilevi e lo segnali).
· Test del circuito watchdog (timer hardware che forza uno stato di sicurezza se il processore di sicurezza si blocca).
Programmate i test di verifica durante gli arresti programmati. Documentate ogni risultato del test. La documentazione costituirà la prova qualora un'indagine su un incidente dovesse mettere in dubbio la conformità del sistema di sicurezza alle specifiche dei requisiti di sicurezza.
In Europa, la normativa NIS2 impone che i sistemi di sicurezza siano protetti dalle minacce informatiche. Un PLC di sicurezza collegato a una rete di impianto non segmentata non è sicuro, non perché il PLC si guasterà, ma perché una workstation di ingegneria compromessa può scaricare un programma di sicurezza modificato che disabilita le protezioni.
Il modello di difesa multilivello per i PLC di sicurezza:
· Segmentazione della rete: PLC di sicurezza su un segmento di rete di sicurezza dedicato, isolato dalla rete di controllo dell'impianto tramite firewall.
· Gestione delle modifiche: tutte le modifiche al programma di sicurezza richiedono approvazione documentata, verifica indipendente e test funzionali.
· Integrità del firmware: il firmware del PLC di sicurezza deve essere firmato digitalmente e verificato all'avvio.
· Sicurezza fisica: l'interruttore a chiave di sicurezza del PLC è lì per un motivo. Usalo
· CPU di sicurezza Omron NX-SL3300 SIL 3: da 1.200 a 1.800 dollari USA; tempo di ciclo delle attività di sicurezza da 10 a 20 ms; si integra con la piattaforma I/O della serie NX.
· Allen-Bradley 1756-L82ES GuardLogix SIL 3: da 12.000 a 18.000 dollari USA; supporta la sicurezza integrata e il controllo standard in un unico controller.
· Siemens S7-1500F (1516F-3 PN/DP) SIL 3: $6.000–$9.000 USD; integrazione con TIA Portal; F-CPU con PROFIsafe su PROFINET
· Honeywell Safety Manager SIL 3: Prezzo su richiesta (in genere oltre 25.000 dollari solo per il risolutore logico); architettura TMR; preferito dai principali operatori del settore petrolifero e del gas.
· Nota: tutti i prezzi escludono i moduli I/O di sicurezza, che in genere aggiungono dal 30% al 50% al costo totale dell'hardware. Tempi di consegna: da 4 a 12 settimane a seconda della piattaforma. I relè di sicurezza fuori produzione e i PLC di sicurezza legacy (Pilz PNOZmulti Classic, GuardLogix precedenti) sono ancora disponibili su tztechio.com/industrial-automation
Ho bisogno di un PLC di sicurezza separato o posso usare il mio PLC standard?
Se il tuo PLC standard è certificato per la sicurezza (come GuardLogix o S7-1500F), la logica di sicurezza viene eseguita in una partizione separata sullo stesso hardware: funzionalmente separata, ma fisicamente integrata. Se il tuo PLC standard è un controllore standard senza certificazione di sicurezza, hai bisogno di un PLC di sicurezza separato. Non eseguire mai la logica di sicurezza su un controllore non certificato.
Qual è la differenza tra SIL e PL?
Il livello SIL (Safety Integrity Level) deriva dalle norme IEC 61508/61511 e si applica alle industrie di processo e ai sistemi di sicurezza complessi. Il livello PL (Performance Level, da a a e) deriva dalla norma ISO 13849 e si applica ai macchinari. I due livelli si sovrappongono: PL d corrisponde approssimativamente a SIL 2, PL e corrisponde approssimativamente a SIL 3. Se si sta certificando una macchina per il mercato europeo, è necessario il livello PL. Se si sta progettando un sistema di sicurezza di processo, è necessario il livello SIL. Alcuni PLC di sicurezza sono certificati per entrambi i livelli.
I PLC di sicurezza Omron possono integrarsi con PLC standard di altre marche?
Sì. La CPU di sicurezza Omron NX-SL comunica i dati di sicurezza tramite EtherCAT utilizzando FSoE (Fail-Safe over EtherCAT). Qualsiasi master EtherCAT che supporti FSoE può scambiare dati di sicurezza con l'NX-SL. Ciò significa che è possibile utilizzare una CPU di sicurezza Omron con un PLC standard Beckhoff, o viceversa, purché entrambi supportino il protocollo FSoE.
Con quale frequenza è necessario sostituire i PLC di sicurezza?
I PLC di sicurezza hanno una "vita utile" documentata nel loro manuale di sicurezza, in genere 20 anni dalla data di fabbricazione. Trascorso tale periodo, i tassi di guasto probabilistici nel calcolo SIL non sono più garantiti. Molti impianti utilizzano PLC di sicurezza per oltre 20 anni, ma in caso di incidente, l'indagine rileverà che l'apparecchiatura ha superato la sua vita utile certificata. È consigliabile prevedere la sostituzione al quindicesimo anno per consentire il tempo necessario alla migrazione prima della scadenza.
La sicurezza funzionale è un requisito obbligatorio per gli impianti di trattamento delle acque in Medio Oriente?
Non è una prassi universale, ma sta diventando uno standard. I principali progetti di desalinizzazione e trattamento delle acque reflue in Arabia Saudita, Emirati Arabi Uniti e Qatar ora specificano SIL 2 per il dosaggio del cloro e SIL 2-3 per la protezione delle membrane RO ad alta pressione. Se il progetto fa riferimento a una specifica Aramco o ADNOC, la conformità alla norma IEC 61511 è obbligatoria indipendentemente dal settore.
--------------------------------------------------------------------------------------------------------------------
TZ Tech è un fornitore professionale di componenti per l'automazione industriale e l'elettronica, nonché di alcuni componenti per la strumentazione e le telecomunicazioni. Vendiamo principalmente prodotti a magazzino, a prezzi competitivi e con tempi di consegna brevi. Grazie al nostro ampio inventario, siamo in grado di fornire anche componenti fuori produzione.
Comprendiamo le vostre preoccupazioni, pertanto garantiamo la qualità. Selezioniamo scrupolosamente i componenti richiesti, in modo che non dobbiate preoccuparvi di eventuali problemi di qualità con la merce ricevuta. Per i componenti specializzati fuori produzione, vi informeremo con la massima trasparenza sulle reali condizioni del prodotto. Tutti i ricambi nuovi sono coperti da una garanzia di 1 anno.
Se avete bisogno di ricambi, non esitate a inviarci una richiesta. Il nostro staff vi risponderà entro 6 ore (esclusi i fine settimana).
Continua a leggere, rimani aggiornato, iscriviti e ti invitiamo a dirci cosa ne pensi.
Inoltre, con il tuo permesso, vogliamo inserire cookie per rendere la tua visita e l'interazione con slOC più personale. Per questo utilizziamo cookie analitici e pubblicitari. Con questi cookie noi e terze parti possiamo tracciare e raccogliere il tuo comportamento su Internet all'interno e all'esterno di super-instrument.com. In questo modo noi e terzi adattiamo super-instrument.com e le pubblicità al tuo interesse. Facendo clic su Accetta accetti questo. Se rifiuti, utilizziamo solo i cookie necessari e purtroppo non riceverai alcun contenuto personalizzato. Ti invitiamo a visitare la nostra Cookie policy per maggiori informazioni o per modificare il tuo consenso in futuro.
Accept and continue Decline cookies
