Home

Sistemi di controllo legati alla sicurezza delle macchine

image

Contents

1. 59 Formule consigli e applicazione delle soluzioni di sicurezza per il controllo delle parti mobili potenzialmente pericolose mediante il calcolo delle distanze di sicurezza Prevenzione dell accensione non intenzionale 63 Lockout Tagout sistemi di isolamento di sicurezza sezionatori di carico sistemi a chiave bloccata misure alternative al lockout Sistemi di controllo legati alla sicurezza e sicurezza funzionale ariana tia 65 Introduzione Che cos la sicurezza funzionale IEC EN 62061 ed EN ISO 13849 1 2008 SIL e IEC EN 62061 PL ed EN ISO 13849 1 2008 confronto tra PL e SIL Progettazione del sistema secondo EN ISO 13849 1 2008 iiiii 71 Architetture dei sistemi di sicurezza strutture ciclo di vita tempo medio prima di un guasto pericoloso MTTF4 copertura diagnostica DC guasti per causa comune CCF guasti sistematici livelli prestazionali PL progettazione di sottosistemi e loro combinazioni convalida messa in servizio delle macchine esclusione dei guasti Progettazione del sistema secondo IEC EN 62061 94 Progettazione di sottosistemi IEC EN 62061 influenza dell intervallo dei test diagnostici influenza dell analisi dei guasti per causa comune metodologia di classificazione per categorie vincoli hardware B10 e B104 guasti per causa comune CCF copertura diagnostica DC tolleranza ai guasti hardwar
2. Un dispositivo di reset automatico non richiede un azione di commutazione manuale ma dopo la disattivazione condurr sempre un controllo di integrit del sistema prima di resettare il sistema Un sistema di reset automatico non deve essere confuso con un dispositivo senza sistemi di reset In questi infatti il sistema di sicurezza sar attivato immediatamente dopo la disattivazione ma non sar effettuato alcun controllo di integrit del sistema L interruttore di reset deve essere posizionato in un luogo che consenta di vedere bene il pericolo in modo che l operatore possa controllare che l area non presenti pi rischi prima di utilizzare la macchina 51 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Protezioni di controllo Una protezione di controllo arresta una macchina quando la protezione aperta e l avvia direttamente quando chiusa L uso di questo tipo di protezioni consentito solo in determinate condizioni molto precise poich qualsiasi avviamento imprevisto o il mancato arresto sarebbero estremamente pericolosi Il sistema di interblocco deve avere la maggiore affidabilit possibile spesso consigliabile usare il blocco della protezione L uso delle protezioni di controllo pu essere preso in considera zione SOLO per le macchine in cui non esiste ALCUNA POSSIBILIT che un opera tore o parte del suo corpo si trovino all interno o raggiungano la zon
3. CJ Motion Groups C3 Ungrouped Axes I Trends 3 4 Data Types H O User Defined E Oa Strings 3 Ga Predefined Module Defined E 1 0 configuration B S 1756 Backplane 1756 44 fa 0 1756 L625 TrainingDemo J 1 1756 LSP TrainingDemo Partner E 8 2 1756 DNB DeviceNetBridge E a DeviceNet 9 0 1756 DNB DeviceMetBridge gj 30 1791DS IB8XOB8 A Node30ComboMi h Type Description Slot 0 Major Fault Minor Fault 1756 L62S ControlLogix5562S Safety Controller 1 Logica e tag standard si comportano come ControlLogix 2 Dati tag standard analizzati dal pro gramma o dal controllore e dispositivi esterni interfacce operatore PC altri controllori ecc 3 Come controllore integrato GuardLogix permette di trasferire mappare dati tag standard nei tag di sicurezza da usare per task di sicurezza Per gli utilizzatori ci significa poter leggere informazioni di stato sul lato standard di GuardLogix I dati non devono essere usati per controllare direttamente una uscita di sicurezza 4 tag di sicurezza possono essere letti direttamente dalla logica standard 5 tag di sicurezza possono essere letti o scritti dalla logica di sicurezza 6 tag di sicurezza possono essere scambiati tra i controllori GuardLogix su EtherNet 7 dati tag di sicurezza analizzati dal programma o dal controllore possono essere letti da dispositivi esterni interfacce operatore PC altri controllo
4. possibile giustificare l esclusione di guasti come la rottura degli attuatori degli interruttori Tuttavia in un pannello di controllo progettato in conformit con standard pertinenti potrebbe anche essere accettabile escludere i guasti come i cortocircuiti dei cablaggi 69 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine SIL e IEC EN 62061 IEC EN 62061 descrive sia l entit del rischio da ridurre che la capacit di un sistema di controllo di ridurre quel rischio in termini di SIL Safety Integrity Level Livello di integrit della sicurezza Sono tre i SIL usati nel settore delle macchine SIL1 il pi basso e SIL3 il pi alto Dal momento che il termine SIL utilizzato nella stessa accezione anche in altri settori industriali come quello petrolchimico della generazione dell energia e ferroviario lo standard IEC EN 62061 si rivela molto utile quando le macchine vengono utilizzate in tali settori Maggiori rischi possono verificarsi in altri settori come l industria di processo e per questo motivo IEC 61508 e lo standard specifico per il settore dell industria di processo IEC 61511 includono SILA Un SIL si applica a una funzione di sicurezza sottosistemi che costituiscono il sistema che implementa la funzione di sicurezza devono avere una adeguata capacit SIL Questo talvolta riferito come SIL Claim Limit SIL CL Prima che possa essere cor rettamente applica
5. una lista di standard che includono informazioni sulla valutazione dei rischi ANSI B11 TR3 Risk assessment and risk reduction A guide to estimate evaluate and reduce risks associated with machine tools ANSI PMMI B155 1 Safety Requirements for Packaging Machinery and Packaging Related Converting Machinery ANSI RIA R15 06 Safety Requirements for Industrial Robots and Robot Systems AS 4024 1301 2006 Principles of risk assessment CSA Z432 04 Safeguarding of Machinery CSA Z432 03 Industrial Robots and Robot Systems General Safety Requirements IEC EN 61508 Sicurezza funzionale dei sistemi elettrici elettronici ed elettronici programmabili per applicazioni di sicurezza IEC EN 62061 Sicurezza del macchinario Sicurezza funzionale dei sistemi di comando e controllo elettrici elettronici ed elettronici programmabili correlati alla sicurezza EN ISO 13849 1 Safety of machinery Safety related parts of control systems EN ISO 14121 1 Principles for risk assessment ISO TR 14121 2 Risk assessment Practical guidance and examples of methods 35 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Misure di protezione e dispositivi complementari Quando la valutazione del rischio evidenzia che una macchina o un processo impli cano un rischio di lesione personale tale rischio deve essere eliminato o contenuto Il modo in cui questo obiettivo viene raggiunto
6. 92 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 PLbasso Nbasso PL a del PL per sottosistemi combinati in a A CR Nel sistema mostrato nel diagramma lt 3 a che segue i livelli prestazionali pi gt 2 a bassi sono quelli dei sottosistemi 1 e b 2 Entrambi sono PLb Quindi lt 2 b i usando questa tabella possiamo gt 2 b seguire i dati b nella colonna PLbasso lt 2 c e 2 nella colonna Nbasso per trovare il 53 PL del sistema come b nella colonna d ki PL Se tutti e tre i sottosistemi lt 3 d fossero stati PLb il PL risultante gt 3 d sarebbe stato PLa e lt 3 e Sottosistema 1 PLb Combinazione di sottosistemi in serie come sistema PLb Convalida La convalida svolge un ruolo importante in tutto il processo di sviluppo e di messa in servizio del sistema di sicurezza Lo standard ISO EN 13849 2 2003 definisce i requisiti per la convalida e richiede la definizione di un piano di convalida e la valutazione mediante tecniche di analisi e di prova quali l analisi dell albero dei guasti e dei modi degli effetti e della criticit dei guasti Molti di questi requisiti si applicheranno al produttore del sottosistema anzich all utilizzatore Messa in servizio delle macchine In fase di messa in servizio delle macchine o del sistema deve essere effettuata una convalida delle funzioni di sicurezza in tutte le modalit operative che dovrebbe cop
7. a V In questo esempio il guasto di cablaggio rilevato dalla barriera fotoelettrica Alcune barriere fotoelettriche usano una tecnica di rilevamento dei guasti chiamata test a impulsi Con queste barriere fotoelettriche il rilevamento del guasto immediato e la barriera fotoelettrica disattiva la sua uscita In altre il rilevamento avviene quando la barriera fotoelettrica liberata Quando la barriera fotoelettrica tenta di eccitare la sua uscita il guasto viene rilevato e l uscita rimane disattivata In entrambi i casi il pericolo rimane disattivato in presenza del guasto Rilevamento dei guasti mediante test a impulsi I circuiti di sicurezza sono concepiti per condurre corrente quando il sistema di sicurezza attivo e il pericolo protetto Il test a impulsi una tecnica per cui la corrente del circuito scende a zero per un periodo molto breve La durata troppo breve perch il circuito di sicurezza risponda e disattivi il pericolo ma abbastanza lunga per il rilevamento da parte di un sistema a microprocessore Gli impulsi sui canali sono sfasati uno rispetto all altro Se si verifica un cortocircuito incrociato il microprocessore rileva gli impulsi su entrambi i canali e genera un comando di disattivazione del pericolo 120 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Categoria 4 Come la Categoria 3 la Categoria 4 impone che il sistema di sicurezza risponda
8. la corrente a regime del carico elettromagnetico pari a 2 2 la corrente nominale di funzionamento Riavvio della macchina Se ad esempio una protezione interbloccata viene aperta su una macchina in funzione l interruttore di interblocco di sicurezza arresta la macchina Nella maggior parte delle circostanze essenziale che la macchina non si riavvii immediatamente dopo la chiusura della protezione Uno dei modi pi comuni per ottenere questo risultato affidarsi a un contattore di avviamento a ritenuta La pressione e il rilascio del pulsante di avvio eccita momentaneamente la bobina di controllo del contattore che chiude i contatti di alimentazione Finch la corrente presente tra i contatti la bobina di controllo rimane eccitata a ritenuta elettrica tra mite i contatti ausiliari del contattore accoppiati meccanicamente ai contatti dell ali mentazione Qualsiasi interruzione dell alimentazione principale o di controllo ha come risultato la diseccitazione della bobina e l apertura dei contatti dell alimenta zione principale e ausiliaria L interblocco della protezione cablato nel circuito di controllo del contattore Questo significa che il riavvio pu essere effettuato solo chiudendo la protezione e quindi impostando su ON il normale pulsante di avvia mento resettando cos il contattore e avviando la macchina requisiti per le normali situazioni di interblocco sono definiti dallo standard ISO 12100 1 Pa
9. permanente perdita della vista amputazione di arti danni respiratori ecc e GRAVE generalmente reversibile perdita di conoscenza ustioni fratture ecc 3 1 e MINORE ematomi tagli lievi i abrasioni ecc Minore Grave Maggiore Mortale A ogni descrizione viene assegnato un valore come illustrato Punti assegnati alla gravit 2 Frequenza dell esposizione La frequenza di esposizione risponde alla domanda Quanto spesso l operatore o il tecnico di manutenzione esposto al pericolo La frequenza di esposizione al pericolo pu essere classificata come e FREQUENTE pi volte al giorno e OCCASIONALE una volta al giorno e RARA una volta a settimana o meno 1 A ogni descrizione viene assegnato un valore come illustrato Rara Occasionale Frequente Punti assegnati alla frequenza di esposizione 28 SAFEBOOK 4 Strategia della sicurezza 3 Probabilit di lesioni Occorre presumere che l operatore sia esposto al movimento o al processo pericoloso Se si considera il modo in cui l operatore interagisce con la macchina e altri fattori velocit di avviamento ad esempio possibile classificare la probabilit di danno come IMPROBABILE e PROBABILE e POSSIBILE e CERTA 4 2 A ogni descrizione viene assegnato un 1 w valore come illustrato ss Improbabile Possibile Probabile Certa Punti assegnati alla frequenza di esposizione A tutte le descrizioni viene assegnat
10. Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e nn SAFEBOOK 4 2 Garanzia di qualit totale Occorre redigere un dossier tecnico e il produttore deve applicare un sistema di qualit approvato per la progettazione la produzione l ispezione finale e le prove Il sistema di qualit deve garantire la conformit della macchina alle disposizioni di questa direttiva Il sistema di qualit deve essere sottoposto a verifica ispettiva periodica da parte di un organismo notificato Nel caso di macchine non incluse nell Al legato IV o di macchine incluse nell Alle gato IV ma perfettamente conformi alle norme europee armonizzate applicabili il produttore o suo rappresentante autoriz zato in alternativa ha anche la possibilit di redigere autonomamente il dossier tec nico e di autocertificare la conformit della macchina Devono essere previsti controlli interni per assicurare che la macchina prodotta rimanga conforme Valutazioni degli organismi Organismi notificati In tutta PUE esiste una rete di organismi notificati che comunicano tra di loro e lavorano con criteri comuni Gli organismi notificati sono nominati dai governi non dall industria e tutte le informazioni relative a queste organizzazioni sono rintracciabili su http ec europa eu enterprise sectors mechanical machinery index_ en htm Procedura per la dichiarazione di conformit CE insieme alle macchine deve essere fornita
11. controllore di sicurezza e contattore di sicurezza Questo sistema leggermente pi complesso perch richiesta anche della logica Il controllore di sicurezza di per s tollerante ai guasti ad es a canale doppio internamente ma l intero sistema ancora limitato allo stato di canale singolo a causa dell interruttore di finecorsa e del contattore singoli Sottosistema Sottosistema Sottosistema di ingresso logico di uscita Interruttore di finecorsa SmartGuard 600 Contattore di sicurezza Sistema di sicurezza a doppio canale Se si considera l architettura di base dello schema precedente ci sono anche altri aspetti da valutare In primo luogo il numero di canali del sistema Un sistema a canale singolo si guasta se uno dei suoi sottosistemi fallisce Un sistema a due canali anche detto ridondante dovr avere due guasti uno per canale prima che il sistema fallisca Proprio perch possiede due canali esso pu tollerare un guasto singolo e continuare a lavorare Nel diagramma sopra rappresentato un sistema a due canali 76 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 Chiaramente un sistema a doppio canale ha meno probabilit di fallire in una condizione pericolosa rispetto a un sistema a canale singolo Ma possiamo renderlo pi affidabile in termini della sua funzione di sicurezza se nel rilevamento del guasto includiamo delle misure diagnostiche Naturalmente dopo aver ident
12. e 01x78 T9 h S 9 90 X 08 Z q 0 X Z 9 q 0 X 96 e 0L X EE e 0L X YOZ gS s q 0L XGL E q 0 X 1649 e 0L XOLL e e0 X ZL e OLX PZZ VG L q 0 X87 E q 0 X89 e 0L X 02 L e 0 X 091 e 0L X EYZ LY 2 q 0 X 68 q 0 X 6 8 e 0L XEEL e e0 X9L L e 0L X 59 Et q 0 X 0F F q 0 X ZE 6 e 0L X 8p e e0 X 96 e 0L X E6 6 5 q 04 X 987 e s04 X 0 e 0L XZ9L e OLXELZ e 0LX ZVE gE lt q 0 X Y S e 0L XEL e e0 X62 e 0L X EEZ e 0L X 9 E EE o q 0 X 609 e 0L X 971 e 0L X664 e 0 X 85 e 0 X 08 eye ugg BIpaul sPeuOGq esseq ugga epaw ugg esseq ugg sa Mesi iuue ul Td p3O Id 32 Id W Id Z Id 79 Id W Id 8 o Es 1d a euo ze sald o l AI ju puodsiuo2 a U e10 11e IsojoS5H d senp Ip eIpaw e jiqeqoId 2008 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 0L XF 0 X 674 p 10 X 10 L0LX6ZZ 10L X 8746 9 0L X L 00 0L XPZ 0 X 76 p LOL XPL 20LX 197 104 X 88 S 3 0L X GZL L6 9 s0Lxg80 8 0b1X626 p cO xs 104X LO S r0VX199 5 f0 X6E 8 01X r e 0 X 29 9 p 0 XS 01 XOVE 10L X LE L 9 0b X Zg SL 0 X 09 0 X 897 p 10L X p8 10L x 06 10X148 9 0 X89 89 0L XZE Y 0 X p88 p OLXELZ 0L X Epy 1 04 X 90 6 9 0b X p8 L z9 0LX Ezt 104 X 80 p 0L XZSZ 0LXOVS 0 X ZO L 3 0 X 7047 9S 04 X 9749 01 X61 L p
13. lazione di schermi La macchina non deve passare da un ciclo a un altro senza il rilascio e la pressione di entrambi i pulsanti Questo evita la possibilit che entrambi i pulsanti siano bloccati lasciando cos la macchina in continuo funzionamento Il rilascio di uno qualsiasi dei pulsanti deve provocare l arresto della macchina L uso del controllo a due mani deve essere analizzato con attenzione poich in genere lascia comunque un certo margine di rischio Il comando a due mani protegge solo la persona che lo usa L operatore protetto deve essere in grado di osservare tutta l area di accesso al pericolo poich le altre persone potrebbero non essere protette ISO 13851 EN 574 fornisce ulteriori informazioni sul comando a due mani Dispositivi di abilitazione I dispositivi di abilitazione sono controlli che permettono a un operatore di entrare in una zona pericolosa solo tenendo premuto l interruttore di abilitazione dispositivi di abilitazione sono dotati di interruttori a due o tre posizioni tipi a due posizioni sono disattivati quando l attuatore non premuto e attivati in caso contrario Gli interruttori a tre posizioni sono disattivati quando non premuti posizione 1 attivati quando tenuti in posizione centrale posizione 2 e disattivati quando premuti oltre la 44 SAFEBOOK 4 Dispositivi e misure di protezione posizione centrale posizione 3 Inoltre nel ritorno dalla posizione 3 alla posizione 1 il circui
14. pi comodo ed efficace usare un dispositivo a fune posto lungo l area di pericolo come dispositivo di arresto d emergenza Questi dispositivi usano un cavo d acciaio collegato agli interruttori a ritenuta a fune in modo tale che tirando il cavo in qualsiasi direzione e in qualsiasi punto lungo la sua lunghezza l interruttore venga attivato e interrompa l alimenta zione della macchina Gli interruttori a fune devono rilevare sia il tensionamento sul cavo che l eventuale mancanza di tensionamento Quest ultima funzione assicura che il cavo non sia tagliato e quindi pronto all uso La distanza del cavo incide sulle prestazioni dell interruttore Per brevi distanze a una estremit installato l interruttore di sicurezza e all altra estremit una molla di tensione Per lunghe distanze l interruttore di sicurezza deve essere installato a entrambe le estremit del cavo in modo da garantire che una singola azione dell operatore generi un comando di arresto La forza di trazione necessaria per il cavo non dovrebbe superare i 200 N o uno spostamento di 400 mm nel punto centrale tra i due supporti del cavo Comandi a due mani L uso dei comandi a due mani chiamati anche comandi bimanuali un metodo molto diffuso per evitare l accesso a una macchina mentre questa si trova in una condizione pericolosa Per avviare la macchina occorre azionare contemporanea mente due comandi entro 0 5 s uno dall altro In questo modo en
15. rel di monitoraggio di sicurezza elettromeccanici usano un altra tecnica di differenziazione un ingresso pull up e un ingresso pull down Un corto dal canale 1 al canale 2 attiva il dispositivo di protezione dalle sovracorrenti e il sistema di sicurezza procede allo spegnimento Uscite Gli MSR sono disponibili con pi uscite tipi di uscite aiutano a determinare quale MSR usare in determinate applicazioni Molti MSR hanno almeno 2 uscite di sicurezza immediatamente operative Le uscite di sicurezza MSR sono normalmente aperte Sono considerate di sicurezza grazie alla ridondanza e al controllo interno Un secondo tipo di uscita sono le uscite tem porizzate Le uscite temporizzate vengono generalmente usate negli arresti di Cate goria 1 in cui la macchina ha bisogno di tempo per l arresto prima di permettere l accesso alla zona pericolosa Gli MSR hanno anche uscite ausiliarie General mente si tratta di uscite normalmente chiuse Caratteristiche delle uscite Le caratteristiche delle uscite descrivono la capacit del dispositivo di protezione di commutare carichi Generalmente le caratteristiche dei dispositivi industriali sono descritte come resistive o elettromagnetiche Un carico resistivo pu essere un elemento riscaldatore carichi elettromagnetici sono generalmente rel contattori o elettromagneti che hanno una forte caratteristica induttiva del carico L allegato A dello standard IEC 60947 5 1 descrive le categorie dei
16. 1 e ISO 13849 2 forniscono dettagli sulla considerazione e l esclusione dei guasti Se un guasto comporta il guasto di un componente successivo esso deve essere considerato insieme a tutti quelli successivi come un unico guasto Se due o pi guasti avvengono come risultato di una singola causa devono essere considerati come un unico guasto Questo ci che si definisce guasto per causa comune Il verificarsi simultaneo di due o pi guasti considerato altamente improbabile e non affrontato in questa analisi Il presupposto di base che si verifichi un solo un guasto tra le richieste di intervento della funzione di sicurezza a patto che i periodi tra l utilizzo della funzione non siano eccessivamente lunghi Esclusioni dei guasti Lo standard EN 954 1 in via di dismissione e i pi recenti EN ISO 13849 1 e IEC 62061 consentono tutti di utilizzare le esclusioni dei guasti nella determinazione della classificazione di un sistema di sicurezza a patto che possa essere dimostrato che il guasto altamente improbabile Se si utilizzano le esclusioni dei guasti im portante che vengano giustificate correttamente e che siano valide per la durata pre vista del sistema di sicurezza Pi alto il livello di rischio coperto dal sistema di si curezza tanto pi rigorosa dovr essere la giustificazione richiesta per l esclusione del guasto Ci ha sempre provocato una certa confusione in merito alle tipologie di esclusioni
17. 104 X S67 10 X 08 S OLX ELL 9 0L X PZZ IS 01 X 9249 10L Xe p 10L X SE 20LX 679 0b X tZ L 9 0L X Erz Ly 04 XZE 9 10L X YSL p 10 X 28 OLX EL e04 X ZE 9 0 X 697 p 0L X pZ 10L X 82 p 10L X ESY 0L X 018 0L X ES 9 0 X 67 6 0b X ZL 10L X LOZ p 10L X 94 S 104X 6 6 o0 X L9 L q 0L XZE 9e 04 X 298 0L X OEZ p 10L X 76 9 04 X 90 L 0L X 68 q 04 X 97 E ee 0 X p9 6 104 X 997 p 104 X 6 9 01 X L2 L 0 X 90 q 0 X 08 oe 10L XOLE p 104 X 0 8 0L X6E L 0L X ZEZ q 0L X EZY 1 10L XOL E p 204 X 216 0L X Z9 0 X 99 q 0 X92 Z4 10L X 124 3 0 X 701 0L X 28 01 X E6Z q 01 X61 S ra 104 X 584 3 0L XZL 0 X907 0 XZE q 0LX4ZS 07 104 X 29 6 9 0L X FL 01 X ZEZ 0 X 89 q 01 X peg gl eunssau eunssau eye PO sp uoq esseq ugg erug q PUOI _epuog wog juue ul Id p 3eO Td 129 II Ze Id L120 Td queg areueo ubo J0d P4LLIN qda a euo ze sald o l AI ju puodsiuo2 a U e10 11 ISo jodlJad senp Ip eIp ui e iliqeqoid Allen Bradley i 147 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine 148 www rockwellautomation com Power Control and Information Solutions Headquarters Americhe Rockwell Automation 1201 South Second Street Milwaukee WI 53204 2496 USA Tel 1 414 382 2000 Fax 1 414 382 4444 Europa Medio Oriente Africa Rockwell Automation NV Pegasus Park De Klcetlaan 12a 1831 Diegem Belgio Tel 32 2 663 0600 Fax 32 2
18. 3 vi possono essere dei guasti che non possono essere rilevati ma che di per s non devono comportare la perdita della funzione di sicurezza Se i guasti possono essere rilevati dobbiamo sapere se in determinate circostanze potrebbero risultare mascherati o azzerati involontariamente con l intervento di altri dispositivi all interno della struttura del sistema 115 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e fi sAFEBOOK 4 Errore di cablaggio nel sistema Motore Terra pericolo Contattori Connessione in serie dei dispositivi di ingresso L approccio qui riportato ampiamente utilizzato per collegare molteplici dispositivi a un rel di monitoraggio di sicurezza Ogni dispositivo contiene due contatti ad azione di apertura diretta normalmente chiusi Questi dispositivi possono essere una combinazione di interblocchi o pulsanti di arresto di emergenza Dato che i dispositivi di ingresso sono collegati a margherita questo approccio consente di risparmiare sui costi di cablaggio Presumiamo che attraverso uno dei contatti si verifichi un cortocircuito in corrispondenza di Sw2 come mostrato in figura Il guasto pu essere rilevato Se l interruttore Sw1 o Sw3 viene aperto sia Ch1 che Ch2 diventano circuiti aperti e l MSR toglie corrente alla zona di pericolo Se quindi Sw3 viene aperto e richiuso il guasto tra i suoi contatti non viene rilevato poich non si ha un cambiamen
19. 663 0640 Asia Rockwell Automation Level 14 Core F Cyberport 3 100 Cyberport Road Hong Kong Tel 852 2887 4788 Fax 852 2508 1846 Italia Rockwell Automation S r l Via Gallarate 215 20151 Milano Tel 39 02 334471 Fax 39 02 33447701 www rockwellautomation it Svizzera Rockwell Automation AG Buchserstrasse 7 CH 5001 Aarau Tel 41 62 88977 77 Fax 41 62 88977 11 Pubblicazione SAFEBK RM002B IT P Marzo 2011 2011 Rockwell Automation Inc Tutti i diritti riservati Sostituisce la pubblicazione SAFEBK RM002A IT P
20. Inc NTS e SGS U S Testing Company Inc SGSUS e Southwest Research Institute SWRI e TUV America Inc TUVAM e TUV Product Services GmbH TUVPSG e TUV Rheinland of North America Inc TUV e Underwriters Laboratories Inc UL e Wyle Laboratories Inc WL 16 SAFEBOOK 4 Regolamenti Alcuni stati hanno adottato i propri OSHA locali Ventiquattro stati Porto Rico e le Isole Vergini hanno piani nazionali approvati dall OSHA e hanno adottato propri standard e proprie politiche di applicazione Nella maggior parte dei casi questi stati adottano standard identici agli OSHA federali Tuttavia alcuni stati hanno adottato standard differenti o diverse politiche di applicazione datori di lavoro devono rife rire all OSHA la storia degli incidenti L OSHA compila i tassi di incidenti trasmette le informazioni agli uffici locali e utilizza queste informazioni per pianificare le ispezioni I principali criteri di controllo sono pericolo imminente e catastrofi e fatalit e reclami dei dipendenti industrie ad alto rischio e ispezioni locali pianificate e ispezioni di monitoraggio e programmi a livello nazionale e locale La violazione degli standard OSHA pu comportare delle sanzioni Violazioni e sanzioni sono classificate come segue e Grave fino a 7 000 USD per violazione e Non grave a discrezione ma non oltre 7 000 USD e Recidiva fino a 70 000 USD per violazione e Intenzionale fino a 70 000 USD per
21. NON Se CONFORMI CONFORMI Devono conformarsi Devono essere agli standard agli standard conformi ai requisiti armonizzati essenziali di armonizzati europei agli standard i europei PURE Sicurezza pertinenti armonizzati europei pertinenti e salute pertinenti U Waq w qapa s Inviare il DOSSIER Inviare il TECNICO a un SE organismo notificato Inviare l attrezzatura o che lo esaminer aun organismo a un organismo op e fornir notificato per Tenane fmi e a la RICEZIONE DI ADEGUATEZZA per il dossier necessario DEVONO essere comporre il sottoposti a DOSSIER un organismo TECNICO notificato per se richiesto l esame di tipo CE A PER LE MACCHINE Occorre fornire una dichiarazione di conformit e apporre il marchio CE oppure fornire una dichiarazione di incorporazione PER I COMPONENTI DI SICUREZZA Occorre fornire una dichiarazione di conformit Procedura schematica per la Direttiva Macchine Mentre la Direttiva Macchine indirizzata ai fornitori questa Direttiva 89 655 CEE modificata dalle direttive 95 63 CE 2001 45 CE e 2007 30 CE rivolta agli utilizza tori delle macchine Riguarda tutti i settori industriali e prevede sia obblighi generali per i datori di lavoro che requisiti minimi di sicurezza delle attrezzature di lavoro Tutti i paesi UE hanno recepito tale direttiva nelle proprie leggi nazionali per poterla applicare 11 Allen Brad
22. Naturalmente i guasti che sono veramente pericolosi sono i guasti pericolosi non rilevabili indicati con il simbolo Adu La DC data dalla formula DC Add Ad espressa in percentuale Questa accezione del termine DC comune agli standard EN ISO 13849 1 ed EN IEC 62061 ma il modo in cui viene ricavata diverso Quest ultimo standard propone l utilizzo di un calcolo basato sull analisi della modalit di guasto mentre PEN ISO 13849 1 fornisce un metodo semplificato sotto forma di tabelle di consulta zione in cui sono elencate varie tecniche diagnostiche tipiche con la percentuale DC che si intende ottenere In alcuni casi si richiede ancora un giudizio razionale per esempio in alcune tecniche il valore DC ottenuto proporzionale alla frequenza con cui viene eseguita la prova C chi sostiene che questo approccio troppo vago Tuttavia la stima di DC pu dipendere da molte variabili diverse e qualsiasi tecnica si utilizzi il risultato potr essere veramente considerato solo approssima tivo 87 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine importante comprendere che le tabelle dello standard EN ISO 13849 1 sono basate su un ampia attivit di ricerca condotta dalla BGIA con risultati ottenuti tramite tecniche diagnostiche note usate in applicazioni reali Per semplificare le cose lo standard suddivide la DC in quattro campi base lt 60 nessuna dal 60
23. SAFEBOOK 4 Per ottenere una classificazione di sicurezza il dispositivo software firmware deve essere testato in base a uno standard approvato da un laboratorio certificato Negli USA OSHA mantiene aggiornata una lista dei laboratori di prova riconosciuti a livello nazionale NRTL In Canada lo Standard Council of Canada SCC dispone di una lista simile Singolo canale con monitoraggio sistemi di controllo di sicurezza a singolo canale con monitoraggio devono rispettare tutti i requisiti richiesti per il singolo canale essere di sicurezza e avere funzionalit di controllo Il controllo delle funzioni di sicurezza deve essere effettuato all avviamento della macchina e periodicamente durante il funzionamento Il controllo automatico preferibile a quello manuale L operazione di controllo permette il funzionamento se non viene rilevato alcun guasto o genera un segnale di arresto se il guasto viene rilevato Eventuali pericoli persistenti dopo la cessazione del movimento devono essere segnalati Naturalmente il controllo stesso non deve provocare una situazione pericolosa Dopo il rilevamento del guasto il robot deve rimanere in stato di sicurezza fino alla correzione del guasto La categoria Singolo canale con monitoraggio strettamente allineata con la Categoria 2 di EN 954 1 1996 Controllo affidabile Il pi alto livello di riduzione dei rischi negli standard per i robot statunitensi e canadesi si ottiene attraverso s
24. alla Categoria B usi principi di sicurezza e realizzi la funzione di sicurezza in presenza di un singolo guasto Diversamente dalla Categoria 3 dove un accumulo di guasti pu portare alla perdita della funzione di sicurezza la Categoria 4 richiede l operativit della funzione di sicurezza in presenza di un accumulo di guasti Quando si considera un accumulo di guasti 2 guasti possono essere sufficienti anche se per alcune configurazioni possono essere necessari 3 guasti Cablaggio Cablaggio Questo lo schema a blocchi Ingresso Logica Uscita A nosso Logica Usoa per la Categoria 4 II monito raggio di entrambi i dispositivi Monitoraggio obbligatorio di uscita e il monitoraggio in per rilevamento guasti crociato sono requisiti essen Ingresso 4bl2090 ziali non solo quando ragione volmente praticabile Questo Cablaggi CESAR contribuisce a differenziare la Categoria 4 dalla Categoria 3 Arresto Rel di monitoraggio di sicurezza CH2 Protezione chiusa Interruttore con attuatore Motore pericolo Contatori Categoria 4 con esclusione dei guasti sull interblocco con attuatore Questo un esempio di circuito di Categoria 4 con esclusione dei guasti sull interblocco con attuatore L esclusione dei guasti elimina la considerazione del guasto di apertura dei contatti dell interblocco con attuatore L esclusione del guasto deve essere tecnicamente giustificata e documentata Nella giustif
25. alla sicurezza funzionale dei sistemi di controllo Per descrivere le prestazioni di reazione ai guasti di un sistema di controllo legato alla sicurezza si utilizzano cinque categorie riepilogate nella Tabella 19 Le note si riferiscono alla tabella Nota 1 la categoria B non prevede misure speciali per la sicurezza ma rappresenta la base per le altre categorie Nota 2 pi errori provocati da una causa comune o inevitabili conseguenze del primo guasto devono essere considerati quale un solo guasto Nota 3 la revisione dei guasti pu essere limitata a una combinazione di due errori se questo pu essere giustificato ma nel caso di circuiti complessi ad esempio circuiti a microprocessori possibile che sia necessario prendere in considerazione pi errori contemporaneamente La categoria 1 volta alla PREVENZIONE degli errori Si ottiene utilizzando principi progettuali componenti e materiali adeguati La semplicit del principio di funziona mento e del progetto e le caratteristiche stabili e prevedibili del materiale sono i punti essenziali di questa categoria Le categorie 2 3 e 4 richiedono che se il guasto non pu essere prevenuto deve essere RILEVATO e quindi devono essere presi i provvedimenti necessari Ridondanza diversit e monitoraggio sono le chiavi di queste categorie La ridondanza la duplicazione della stessa tecnica La diversit l uso di due diverse tecniche Il monitoraggio il controllo dell
26. aprir la finestra di dialogo Module Definition impostare Input Status su Combined Status Power quindi fare clic su OK Module Definition 14 Chiudere la finestra di dialogo Module Properties facendo clic su OK 15 Ripetere i passaggi 10 14 per aggiungere un secondo modulo d ingresso di sicurezza 1734 IB8S e un modulo di uscita di sicurezza 1734 OB8S Configurazione dei moduli I O Per configurare i moduli POINT Guard I O attenersi alla seguente procedura 1 Nell Organizer del controllore fare clic con il pulsante destro del mouse su un modulo 1734 1B8S e scegliere Properties 2 Fare clic su Input Configuration e configurare il modulo come indicato in figura General Conaclon Safety Module Inta put Configuration Test Output Safety Safety Input Emor Latoh Time TNE Status Difine Eos 138 SAFEBOOK 4 Esempio applicativo con SISTEMA 3 Fare clic su Test Output e configurare il modulo come indicato in figura Geral Connection Safety Module Io kout Configuration Test Oso Fini Font Wsse EH eones I t PowerSosoy x E2 f Power Suspy w E2 Power Supo x 4 Fare clic su OK 5 Nell Organizer del controllore fare clic con il pulsante destro del mouse sul secondo modulo 1734 1B8S e scegliere Properties 6 Fare clic su Input Configuration e configurare il modulo come indicato in figura General Connection Safety Modul
27. basse ten sioni quando il motore rallenta Arresto del movimento l MSR deve rilevare i treni di impulsi da diversi sensori ridondanti Dispositivo di comando a due mani MSR deve rilevare ingressi diversi normal mente aperti e normalmente chiusi oltre a fornire la temporizzazione di 0 5 s e la logica sequenziale rel di monitoraggio di sicurezza devono essere concepiti specificamente per interfacciare ognuno di questi dispositivi poich hanno diverse caratteristiche elettriche Alcuni MSR possono collegarsi a diversi tipi di ingressi ma una volta scelto il dispositivo MSR si pu interfacciare solo con quel dispositivo Il progettista deve selezionare un MSR che sia compatibile con il dispositivo di ingresso 46 SAFEBOOK 4 Dispositivi e misure di protezione Impedenza d ingresso L impedenza d ingresso dei rel di sicurezza di monitoraggio determina il numero di dispositivi d ingresso che possono essere connessi al rel e fino a che distanza essi possono essere montati Ad esempio un rel di sicurezza pu avere un impedenza di ingresso consentita massima di 500 Ohm Quando l impedenza di ingresso superiore a 500 Ohm le uscite non vengono attivate L utente deve prestare particolare attenzione per garantire che l impedenza d ingresso rimanga al di sotto del valore massimo a specifica La lunghezza la dimensione e il tipo di cavo usato incidono sull impedenza d ingresso Numero di dispos
28. carichi Le categorie sono riportate anche nella sezione Principi del catalogo di sicurezza Lettera di designazione una lettera seguita da un numero ad esempio A300 La lettera fa riferimento alla corrente termica convenzionale in custodia e se la corrente continua o alternata Ad esempio A rappresenta 10 amp di corrente alternata Il numero indica la tensione di isolamento nominale Ad esempio 300 significa 300 V Utilizzo l utilizzo descrive i tipi di carichi per la cui commutazione il dispositivo progettato Gli utilizzi pertinenti allo standard IEC 60947 5 sono riportati nella tabella che segue 48 SAFEBOOK 4 Dispositivi e misure di protezione Utilizzo Descrizione del carico Controllo di carichi resistivi e carichi a stato AC 12 I I solido con optoaccoppiatori di isolamento Controllo di carichi a stato solido con AC 13 a trasformatore d isolamento AC 14 Controllo di piccoli carichi elettromagnetici meno di 72 VA AC 15 Carichi elettromagnetici superiori a 72 VA Controllo di carichi resistivi e carichi a stato DC 12 SERA solido con optoaccoppiatori di isolamento DC 13 Controllo di elettromagneti Controllo di carichi elettromagnetici con DC 14 FORE Sa resistori nel circuito Corrente termica Ith la corrente termica convenzionale in custodia il valore della corrente usata per i test di aumento della temperatura dell apparecchiatura quando montata in una custo
29. che il pericolo sia bloc cato o se questa condizione gi sussiste che non sia trasmessa energia I componenti legati alla sicurezza del sistema di controllo della macchina eseguono la funzione di sicurezza La funzione di sicurezza non eseguita da un singolo dispositivo ad esempio solo dalla protezione L interblocco sulla protezione invia un comando a un dispositivo logico che a sua volta disabilita un attuatore La funzione di sicurezza inizia con il comando e finisce con l implementazione Il sistema di sicurezza deve essere progettato con un livello di integrit commisurato ai rischi della macchina Rischi maggiori richiedono maggiori livelli di integrit per garantire l operativit della funzione di sicurezza sistemi di sicurezza della macchina possono essere classificati in base al tipo di progettazione e alla capacit di garantire l operativit della funzione di sicurezza o in altre parole in base al livello di integrit della sicurezza funzionale Sicurezza funzionale dei sistemi di controllo Importante gli standard e i requisiti considerati in questa sezione sono relativa mente nuovi gruppi di redazione stanno ancora lavorando ad alcuni aspetti soprattutto per quanto riguarda il chiarimento e la combinazione di alcuni di questi standard Quindi possibile che ci siano ancora delle variazioni rispetto ad alcuni dei dettagli forniti in queste pagine Per le ultime informazioni consultare http www ab com s
30. collegamento aggiungono valore riducendo i costi di installazione e manutenzione dei sistemi di sicurezza progetti devono prendere in considerazione sistemi a canale singolo a doppio canale a doppio canale con segnalazione e molteplici tipi di dispositivi Quando necessario un collegamento in serie di interblocchi a due canali un blocco di distribuzione pu semplificare l installazione Con un grado di protezione IP67 questi dispositivi possono essere installati sulla macchina in posizioni remote Quando necessario un diverso gruppo di dispositivi possibile utilizzare un 58 SAFEBOOK 4 Calcolo delle distanze di sicurezza modulo ArmorBlock Guard I O Per installare vari tipi di dispositivi gli ingressi possono essere configurati via software Calcolo delle distanze di sicurezza Le funzioni di sicurezza devono intervenire in tempo per evitare che l operatore possa raggiungere il punto di pericolo Per il calcolo delle distanze di sicurezza esistono due gruppi di standard In questo capitolo questi standard sono raggruppati come segue ISO EN ISO 13855 ed EN 999 US CAN ANSI B11 19 ANSI RIA R15 06 e CAN CSA Z434 03 Formula La distanza minima di sicurezza dipende dal tempo necessario a elaborare il comando di arresto e da quanto l operatore pu penetrare la zona di rilevamento prima del rilevamento In tutto il Mondo la formula utilizzata ha la stessa forma e gli stessi requisiti Le differenze sono i simboli
31. comprovata efficienza un singolo guasto tra i controlli pu comportare la perdita della funzione di sicurezza Quindi i sistemi di Categoria 2 sono utilizzati nelle applicazioni a rischio pi basso Quando sono necessari livelli pi alti di tolleranza ai guasti il sistema di sicurezza deve essere di Categoria 3 o 4 Categoria 3 Oltre a rispondere ai requisiti della Categoria B e ai principi di sicurezza di compro vata efficienza la Categoria 3 richiede l operativit della funzione di sicurezza in presenza di un singolo guasto Il guasto deve essere rilevato in concomitanza o prima della successiva richiesta di intervento della funzione di sicurezza ogniqual volta ragionevolmente praticabile Di nuovo abbiamo la frase ogniqualvolta ragionevolmente praticabile Ci consi dera i guasti che possono non essere rilevati Fino a che il guasto non rilevabile non comporta la perdita della funzione di sicurezza la funzione di sicurezza pu rispon dere alla Categoria 3 Di conseguenza un accumulo di guasti non rilevabili pu comportare la perdita della funzione di sicurezza Cablaggio Lo schema a blocchi qui Uscita presentato spiega i principi di un sistema di Categoria 3 Per Rilevamento guasti garantire le prestazioni della ragionevolmente praticabile funzione di sicurezza si ricorre Uscita alla ridondanza e al monitoraggio incrociato e delle uscite quando ragionevolmente praticabile Cablaggio 113 Allen
32. con la Direttiva Macchine anche se si tratta di macchine per uso proprio della societ L adeguatezza delle attrezzature di lavoro un requisito importante della direttiva e sottolinea la responsabilit del datore di lavoro nella realizzazione di una corretta procedura di valutazione dei rischi richiesta una manutenzione corretta della macchina Normalmente questo signi fica che deve esistere un piano di manutenzione ordinaria e preventiva pianificato Si consiglia di compilare un registro e tenerlo aggiornato Ci particolarmente im portante quando la manutenzione e l ispezione delle attrezzature contribuiscono alla costante integrit della sicurezza di un dispositivo o di un sistema di protezione Nell Allegato della Direttiva U W E sono riportati i requisiti minimi generali applicabili all attrezzatura di lavoro Se le attrezzature sono conformi alle direttive sul prodotto pertinenti ad esempio la Direttiva Macchine risulteranno automaticamente conformi ai requisiti di progetta zione delle macchine riportati tra i requisiti minimi dell Allegato Agli Stati membri consentito emanare leggi riguardanti l uso di attrezzature di lavoro con requisiti pi restrittivi rispetto ai requisiti minimi della Direttiva U W E 12 SAFEBOOK 4 Regolamenti Per informazioni dettagliate sulla Direttiva Uso delle attrezzature di lavoro possibile consultare il sito Internet ufficiale del UE http europa eu
33. costituita nel 1896 La sua missione ridurre i danni causati dagli incendi migliorando la qualit della vita tramite l uso di codici e standard basati su dati scientifici la ricerca e l addestra mento in merito alle problematiche riguardati il fuoco e la sicurezza La NFPA pro muove l uso di numerosi standard che aiutino a realizzare tale missione Due stan dard molto importanti correlati alla sicurezza industriale e alla salvaguardia sono il National Electric Code NEC e l Electrical Standard for Industrial Machinery L NFPA agisce in qualit di sostenitore del NEC fin dal 1911 Il documento del codice originale stato sviluppato nel 1897 in seguito allo sforzo congiunto di vari interessi legati a diversi settori tra cui quello elettrico edilizio e delle assicurazioni Da allora il NEC stato aggiornato diverse volte e viene revisionato ogni tre anni circa L articolo 670 del NEC contiene alcuni dettagli relativi ai macchinari industriali e fa riferimento all Electrical Standard for Industrial Machinery NFPA 79 NFPA 79 si applica ad attrezzature apparati o sistemi di macchine industriali elet trici elettronici che operano a una tensione pari a un massimo di 600 Volt Lo scopo dell NFPA 79 fornire informazioni dettagliate per l applicazione di attrezzature ap parati o sistemi elettrici elettronici che fanno parte di macchinari industriali in modo tale da promuovere la sicurezza di beni e persone L NFPA 79 adottato uf
34. dei guasti che possono essere utilizzate o meno Come abbiamo gi os servato in questo capitolo gli standard e i documenti di riferimento pi recenti hanno chiarito alcuni aspetti di questo problema In generale quando si richiede il livello PLe o SIL3 per l implementazione di una funzione di sicurezza da parte di un sistema di sicurezza di norma le esclusioni dei guasti non sono considerate sufficienti per raggiungere tale livello prestazionale Ci dipende dalla tecnologia impiegata e dall ambiente operativo previsto Pertanto il progettista deve prestare molta attenzione all uso delle esclusioni dei guasti all aumentare dei livelli PL o SIL richiesti Ad esempio le esclusioni dei guasti non sono applicabili agli aspetti meccanici degli interruttori di posizione elettromeccanici 123 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine e degli interruttori ad azionamento manuale ad es un dispositivo di arresto di emergenza per conseguire il livello PLe o SIL3 Le esclusioni dei guasti applicabili a specifiche condizioni di guasto meccaniche es usura corrosione rottura sono indicate nella Tabella A 4 di ISO 13849 2 Pertanto nel caso di un sistema di interblocco di una protezione che deve raggiungere il livello PLe o SIL3 si dovr prevedere una tolleranza ai guasti minima pari a 1 ad esempio con due interruttori di posizione meccanici di tipo tradizionale per ottenere tale livell
35. dipende dalla natura della macchina e del pericolo Le misure di protezione abbinate alle protezioni fisse ripari servono a impedire l accesso a un pericolo o a prevenire movimenti pericolosi in corrispon denza di un pericolo qualora sia possibile l accesso Esempi tipici di misure di prote zione sono le protezioni interbloccate le barriere fotoelettriche le pedane di sicu rezza i comandi a due mani e gli interruttori di abilitazione dispositivi e sistemi di arresto di emergenza sono associati a sistemi di controllo legati alla sicurezza ma non sono sistemi di protezione diretti devono essere esclusivamente considerati come misure di protezione complementari Protezioni fisse che impediscono l accesso Se il pericolo riguarda una parte della macchina a cui non necessario accedere questa dovrebbe essere protetta mediante una protezione fissa Per rimuovere questo tipo di protezioni dovrebbe essere necessario utilizzare degli utensili Le protezioni fisse devono essere in grado di 1 far fronte all ambiente operativo 2 contenere eventuali pezzi scagliati con violenza e 3 non creare pericoli evitando ad esempio la presenza di bordi taglienti Le protezioni fisse possono essere dotate di aperture in corrispondenza del punto di unione con la macchina o per l utilizzo di recinzioni a rete metallica Le finestre rappresentano un efficiente mezzo per monitorare le prestazioni delle macchine per l accesso alla parte specifica de
36. h lt giorno Probabile Reversibile intervento medico SIL 1 SJ 192 gt giorno lt 2 settimane Possibile Reversibile primo soccorso ES MAN 2 settimane lt 1 anno Raramente gt 1 anno Trascurabile Pericolo L uso di ognuno dei due metodi sopra menzionati dovrebbe fornire risultati equivalenti Ogni metodo traduce dettagliatamente il contenuto dello standard a cui appartiene 33 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine In entrambi i casi estremamente importante attenersi alle linee guida contenute nel testo dello standard Il grafico e la tabella dei rischi non devono essere usati prescindendo dal loro contesto o in modo troppo semplicistico Valutazione Dopo aver scelto la misura di protezione e prima che questa sia implementata importante ripetere la stima dei rischi Questa procedura viene spesso trascurata possibile che installando una misura di protezione l operatore alla macchina si senta totalmente e completamente protetto contro il rischio originale previsto Non avendo pi la consapevolezza del pericolo originale pu interagire con la macchina in modo diverso esponendosi pi frequentemente al rischio o ad esempio introdu cendosi ulteriormente nella macchina Ci significa che se la misura di protezione non funziona l operator
37. necessit di fornire al personale equipaggiamento protettivo aggiuntivo Ogni misura di questa gerarchia deve essere presa in considerazione partendo dall inizio dell elenco e usata laddove possibile Questo approccio conduce di solito all uso contemporaneo di pi misure Progettazione a sicurezza intrinseca Nella fase di progettazione della macchina possibile evitare molti dei possibili rischi semplicemente mediante l attenta considerazione di fattori come i materiali i requisiti di accesso le superfici calde i metodi di trasmissione i punti di intrappo lamento i livelli di tensione ecc Ad esempio se non necessario accedere a una zona pericolosa la soluzione proteggerla all interno della macchina o con qualche tipo di protezione fissa 31 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Misure e sistemi di protezione Se accedere alla zona pericolosa necessario la soluzione sar un po pi com plessa Sar necessario garantire che l accesso sia possibile solo con la macchina in condizioni di sicurezza Saranno necessarie misure protettive quali porte di protezione interbloccate e o sistemi di sgancio La scelta del dispositivo o sistema protettivo deve essere fortemente determinata dalle caratteristiche operative della macchina Questo estremamente importante poich un sistema che peggiora l efficienza della macchina sar soggetto a essere rimosso
38. questa funzione sono gli interruttori con blocco della protezione Sono adatti a macchine con caratteristiche di arresto progressivo ma pos sono fornire un importante potenziamento della sicurezza per la maggior parte delle macchine 40 SAFEBOOK 4 Dispositivi e misure di protezione e Interruttori di interblocco senza contatto questi dispositivi non richiedono alcun contatto fisico per l attivazione e alcune versioni integrano una funzione di codifica che incrementa il livello di protezione dalle manomissioni Interblocchi di posizione interruttori di finecorsa i commutatori a camme sono di solito interruttori di finecorsa o di posizione a modalit positiva con camma lineare o rotante Si utilizzano generalmente sulle protezioni scorrevoli Interblocchi a chiave bloccata Le chiavi bloccate codificate possono ser vire all interblocco del comando o dell alimentazione Nel caso di interblocco del comando un dispositivo di interblocco invia un comando di arresto a un dispositivo intermedio che a sua volta disattiva un successivo dispositivo per scollegare l alimentazione dall attuatore Nel caso di interblocco dell ali mentazione il comando di arresto interrompe direttamente l alimentazione agli attuatori della macchina Dispositivi di interfaccia operatore Funzione di arresto Negli Stati Uniti in Canada in Europa e a livello internazio nale esiste l armonizzazione degli stan
39. relativo Convalida Convalida tr alla sicurezza convalidato di sicurezza i Progettaz sistem ione a A Risultato sud odifica Verifica Modello V per sviluppo software 86 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 Copertura diagnostica Abbiamo gi affrontato questo argomento quando abbiamo parlato delle categorie di architetture designate 2 3 e 4 Queste categorie richiedono una qualche forma di test autodiagnostici per verificare se la funzione di sicurezza ancora operativa Per descrivere l efficacia di questo test si utilizza il termine copertura diagnostica solitamente abbreviato in DC importante notare che la DC non si basa solo sul numero di componenti che possono causare un guasto pericoloso ma tiene conto dell incidenza totale tasso dei guasti pericolosi Il tasso di guasto indicato con il simbolo La DC il rapporto dei tassi di incidenza dei due seguenti tipi di guasti pericolosi Guasti pericolosi rilevabili Add sono guasti che potrebbero causare o portare a una perdita della funzione di sicurezza ma sono rilevabili Dopo il rilevamento una funzione di reazione del guasto fa s che il dispositivo o il sistema passi allo stato sicuro Guasti pericolosi Ad sono tutti i guasti che potenzialmente possono causare o portare a una perdita della funzione di sicurezza Il dato comprende sia i guasti rilevabili che quelli che non lo sono
40. rimossa o staccata i contatti di sicurezza tornano in stato di chiusura sicuro Molti interruttori di interblocco sono concepiti con teste rimovibili per adattarsi ai requisiti di installazione di varie applicazioni La testa pu essere rimossa e ruotata tra due e quattro posizioni Se le viti di montaggio della testa non sono correttamente serrate potrebbe verifi carsi un guasto In questa condizione le vibrazioni della macchina possono provo 114 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali care l uscita delle viti di montaggio della testa La testa sotto la pressione della molla rilascia i contatti di sicurezza che quindi si chiudono Di conseguenza l apertura della protezione non apre i contatti di sicurezza e si verifica un guasto in grado di generare un pericolo In modo simile anche il meccanismo operativo all interno dell interruttore deve essere esaminato Qual la probabilit che il guasto di un singolo componente comporti la perdita della funzione di sicurezza Una pratica comune l uso di interblocchi con attuatore con doppi contatti in circuiti di Categoria 3 Ci deve essere basato sull esclusione del singolo guasto dell interruttore per aprire i contatti di sicurezza Si tratta della cosiddetta esclusione del guasti trattata pi avanti in questo capitolo rel di monitoraggio di sicurezza MSR spesso vengono valutati da terzi dopodich viene
41. rischio Riferimento Tornio parallelo Nessuna RA302 Nessuno L apparecchiatura Rotazione Intrappola Montaggio 11 25 94 J Kershaw Bloggs dichiarata elettrica conforme mandrino con mento Taglio interruttore di Report n 9567 N di serie a BS EN 60204 protezione interblocco di 8390726 Pulsanti di aperta protezione Installato 1978 emergenza montati sostituiti 1989 Fluido di taglio Tossicit Sostituire con 11 80 94 J Kershaw tipo non tossico Report n 9714 Pulizia sfridi Taglio Fornire guanti 11 80 94 J Kershaw Report n 9715 Fresatrice a Dir Macchine RA416 Nessuno Movimento Schiaccia Spostare la 4 13 95 J Kershaw torretta Bloggs Dir EMC slitta verso la mento macchina per Report n 10064 N di serie parete assicurare spazio 17304294 sufficiente Fabbricata 1995 Installata Maggio 95 Gerarchia delle misure per la riduzione dei rischi Esistono tre metodi di base da considerare e usare nel seguente ordine 1 eliminare o ridurre i rischi nella maggiore misura possibile progettazione e costruzione di macchine intrinsecamente sicure 2 installare i sistemi e le misure di protezione necessari ad es protezioni inter bloccate barriere fotoelettriche ecc in relazione ai rischi che non possono essere eliminati in fase progettuale 3 informare gli utenti dei rischi residui dovuti a eventuali lacune delle misure protettive adottate indicare l addestramento necessario e specificare l eventuale
42. standard OSHA sono obbligatori di legge Alcune delle parti pi importanti relative alla sicurezza delle macchine sono le seguenti A Dati generali B Adozione ed estensione degli Established Federal Standards C Disposizioni generali su salute e sicurezza H Materiali pericolosi Dispositivi di protezione personale J Controlli ambientali generali tra cui Lockout Tagout O Protezione delle macchine e dei macchinari R Settori speciali S Impianti elettrici 14 SAFEBOOK 4 Regolamenti Alcuni standard OSHA incorporano per riferimento una serie di standard volontari L effetto legale dell incorporazione per riferimento che il materiale viene trattato come se fosse stato pubblicato per intero nel Federal Register Quando uno stan dard che gode di consenso nazionale viene incorporato per riferimento in una delle sottoparti considerato obbligatorio Ad esempio l NFPA 70 uno standard volonta rio conosciuto come US National Electric Code riportato nella Sottoparte S Ci rende obbligatori i requisiti contenuti nello standard NFPA 70 Il 29 CFR 1910 147 nella Sottoparte J dedicato al controllo delle fonti di energia pericolosa Si tratta di ci che pi generalmente conosciuto come lo standard Lockout Tagout Lo standard volontario corrispondente ANSI Z244 1 Fondamen talmente questo standard richiede che prima degli interventi di assistenza e manu tenzione l alimentazione
43. standard presentano differenze a seconda degli utenti a cui sono destinate La metodologia IEC EN 62061 mira a permettere l uso di complesse funzionalit di sicurezza da implementare attraverso precedenti architetture di sistema non con venzionali La metodologia EN ISO 13849 1 ha come scopo la definizione di un percorso pi diretto e meno complicato per garantire funzionalit di sicurezza pi convenzionali implementate da architetture di sistema convenzionali 68 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza e sicurezza funzionale Ancora una volta la differenza fondamentale tra questi due standard l applicabilit alle varie tecnologie IEC EN 62061 limitato ai sistemi elettrici Lo standard EN ISO 13849 1 pu essere invece applicato ai sistemi pneumatici idraulici meccanici ed elettrici Relazione tecnica congiunta su IEC EN 62061 e EN ISO 13849 1 Le commissioni IEC e ISO hanno redatto una relazione tecnica congiunta a supporto degli gli utenti dei due standard Questa relazione illustra il rapporto tra i due standard e i principi di equivalenza tra i PL Livelli prestazionali di EN ISO 13849 1 e i SIL Livelli di integrit della sicurezza di IEC EN 62061 sia a livello di sistemi che di sottosistemi Per dimostrare che i due standard danno risultati equivalenti nella relazione viene illustrato un sistema di sicurezza di esempio calcolato in base alle metodologie dei due standard La relazione inoltr
44. stessi occhi dello standard quindi cominciamo da qui Struttura del sistema Ogni sistema pu essere scomposto in componenti base o sottosistemi Ciascun sottosistema possiede una propria funzione discreta La maggior parte dei sistemi pu essere suddivisa in tre funzioni base ingresso logica e attuazione alcuni sistemi semplici non hanno logica gruppi di componenti che attuano queste funzioni sono detti sottosistemi Sottosistema Logica Sottosistema di ingresso Sottosistema di uscita Ogni sistema pu essere scomposto in componenti base o sottosistemi Ciascun sottosistema possiede una propria funzione discreta La maggior parte dei sistemi pu essere suddivisa in tre funzioni base ingresso logica e attuazione alcuni sistemi semplici non hanno logica gruppi di componenti che attuano queste funzioni sono detti sottosistemi Sottosistema Sottosistema di ingresso di uscita Interruttore di finecorsa Contattore di sicurezza Interruttore di interblocco e contattore di sicurezza Sopra riportato un esempio di sistema elettrico semplice a canale singolo che comprende solo sottosistemi di ingresso e uscita 75 Allen Bradley SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Sottosistema Sottosistema Sottosistema di ingresso logico di uscita Uscita verso altri sistemi Interruttore di finecorsa SmartGuard 600 Contattore di sicurezza Interruttore di interblocco
45. team interfunzionale di persone arriver a un risultato pi esaustivo ed equilibrato rispetto a un singolo La valutazione dei rischi un processo iterativo che deve essere realizzato in diverse fasi del ciclo di vita della macchina Le informazioni disponibili varieranno in base alla fase del ciclo di vita Ad esempio una valutazione dei rischi condotta da un costruttore potr avvalersi di ogni dettaglio sui meccanismi della macchina e sui materiali di costruzione ma probabilmente potr soltanto ipotizzare l ambiente di lavoro finale della macchina D altra parte una valutazione dei rischi effettuata dall utilizzatore della macchina non entrer nel merito di tutti i dettagli tecnici ma potr considerare con precisione l ambiente di lavoro della macchina Idealmente il risultato di una iterazione l input per l iterazione successiva Determinazione dei limiti della macchina Ci comporta la raccolta e l analisi di informazioni sulle parti sui meccanismi e sulle funzioni di una macchina Inoltre sar necessario considerare tutti i tipi di intera zione umana con la macchina e l ambiente in cui questa operer L obiettivo una chiara comprensione della macchina e delle sue modalit d uso Le macchine singole che vengono collegate meccanicamente o mediante sistemi di controllo dovrebbero essere considerate come un unica macchina a meno che non siano separate a zone da adeguate misure di protezione i
46. verticalmente che funge da dispositivo di protezione Anche le porte di protezione interbloccate possono essere considerate come dispositivi di solo intervento quando non c niente a impedire che la porta si richiuda dopo l ingresso Se l accesso dell intera persona non possibile cos che una persona non possa proseguire dopo il punto di intervento la presenza sempre rilevata e anche la seconda funzione impedire il reinserimento dell alimentazione attivata Per le applicazioni con accesso parziale del corpo gli stessi tipi di dispositivi svolgono la funzione di intervento e di rilevamento accesso L unica differenza sta nel tipo di applicazione I dispositivi di rilevamento accesso servono a rilevare la presenza di persone La fa miglia di dispositivi include barriere fotoelettriche di sicurezza barriere di sicurezza a fascio singolo scanner della zona di sicurezza pedane e bordi di sicurezza Barriere fotoelettriche di sicurezza Le barriere fotoelettriche di sicurezza possono essere descritte semplicemente come sensori di presenza fotoelettrici concepiti specificatamente per proteggere il personale dai movimenti pericolosi delle macchine Note anche come AOPD dispositivi di protezione optoelettrici attivi o ESPE dispositivi elettrosensibili di protezione le barriere fotoelettriche garantiscono un livello di sicurezza ottimale pur consentendo un elevata produttivit Sono inoltre soluzioni pi ergonomiche risp
47. violazione e Violazioni causa di decessi ulteriori penali e Mancato intervento 7 000 USD giorno La tabella che segue mostra le prime 14 citazioni OSHA da ottobre 2004 a settembre 2005 Standard Descrizione 1910 147 Il controllo delle fonti di energia pericolose Lockout Tagout 1910 1200 Comunicazione dei pericoli 1910 212 Requisiti generali per tutte le macchine 1910 134 Protezione respiratoria 1910 305 Metodi di cablaggio componenti e apparecchiature di uso generale 1910 178 Veicoli industriali a motore 1910 219 Trasmissione meccanica 1910 303 Requisiti generali 1910 213 Macchinari di lavorazione del legno 19102 215 Mole abrasive 19102 132 Requisiti generali 1910 217 Presse meccaniche 1910 095 Esposizione al rumore sul luogo di lavoro 1910 023 Protezione di fori e aperture a muro e a pavimento 17 Allen Bradley Sicurezza funzionale dei sistemi di controllo DI SAFEBOOK 4 Regolamenti canadesi In Canada la sicurezza industriale governata a livello provinciale Ogni provincia mantiene e applica i propri regolamenti L Ontario ad esempio ha promulgato l Occupational Health and Safety Act che stabilisce i diritti e i doveri di tutti i soggetti sul luogo di lavoro Il suo scopo principale quello di proteggere i lavoratori contro i pericoli per la salute e la sicurezza sul lavoro La legge definisce una serie di procedure atte a gestire i rischi sul posto di la
48. zona pericolosa sono disponibili molti dispositivi alternativi La scelta migliore per una particolare applicazione dipende da una serie di fattori e Frequenza di accesso Tempo di arresto del pericolo e Importanza del completamento del ciclo della macchina e Contenimento di pezzi scagliati con violenza fluidi nebbie vapori ecc Protezioni mobili adeguatamente selezionate possono essere interbloccate per offrire protezione contro pezzi scagliati con violenza fluidi nebbie e altri tipi di peri colo questo tipo di protezione viene spesso utilizzata quando l accesso al pericolo non frequente Le protezioni interbloccate possono anche essere bloccate per im pedire l accesso alla macchina durante il ciclo e quando la macchina impiega molto tempo per fermarsi dispositivi di rilevamento accesso come barriere fotoelettriche pedane e scanner forniscono un rapido e facile accesso alla zona di pericolo e vengono spesso selezio nati quando gli operatori devono accedere frequentemente a tale zona Questo tipo di dispositivi non fornisce protezione contro pezzi scagliati in aria nebbie fluidi o altri tipi di pericoli La scelta migliore di misura protettiva un dispositivo o un sistema che garantisca la massima protezione con la minima interferenza nel normale funzionamento della macchina Tutti gli aspetti della macchina devono essere considerati poich l espe rienza insegna che si tende a non utilizzare o
49. 05 Ape 1 x 10 guasti ora T1 87 600 ore 10 anni T2 2 ore DC 90 PFHopssp 5 791E 08 guasti pericolosi ora Questo risultato rientra nel campo richiesto per il SIL3 101 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Influenza dell intervallo dei test diagnostici Secondo lo standard IEC EN 62061 consigliabile ma non obbligatorio un intervallo dei test diagnostici Proof Test Interval PTI di 20 anni Consideriamo ora l effetto che l intervallo dei test diagnostici ha sul sistema Se ricalcoliamo la formula imponendo un T1 pari a 20 anni otteniamo PFHpssp 6 581E 08 Tale valore rientra ancora nel campo richiesto per il SIL3 Il progettista deve tenere a mente che per calcolare il tasso di guasto pericoloso globale questo sottosistema deve essere combinato con gli altri sottosistemi Influenza dell analisi dei guasti per causa comune Guardiamo l influenza che i guasti per causa comune hanno sul sistema Suppo niamo di adottare misure supplementari e di portare il nostro valore Beta all 1 0 01 mentre l intervallo dei test diagnostici rimane a 20 anni Il tasso di guasto pe ricoloso migliora passando a 2 71E 08 che significa che il sottosistema ora pi adatto a essere impiegato in un sistema SIL3 Guasti per causa comune CCF guasti per causa comune si verificano quando molteplici guasti risultanti da una singola causa producono u
50. 204 1 e NFPA 79 possibile usare gli inverter di sicurezza nei circuiti di arresto di emergenza senza bisogno di un sezionatore elettromeccanico dell attuatore ad es il motore Premendo il pulsante di emergenza si aprono le uscite delPMSR Questo invia un segnale di arresto all inverter rimuove il segnale di abilitazione e interrompe l alimentazione del controllo di gate L inverter esegue un arresto di Categoria 0 immediato scollegamento dell alimentazione al motore Questa funzione conosciuta con il termine di Safe Torque Off L inverter raggiunge la Categoria 3 perch ha segnali ridondanti per togliere alimentazione al motore il segnale di abilitazione e un rel a guida forzata Il rel a guida forzata fornisce all attuatore il feedback ragionevolmente praticabile Lo stesso inverter viene analizzato per determinare che un singolo guasto non comporti la perdita della funzione di sicurezza 118 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Protezione ICT chiusa Interruttore con sie L loi pericolo Contattori Errore di cablaggio Esempio di guasto di cablaggio nel sistema Questo un esempio di un guasto di cablaggio un cortocircuito tra l uscita di sicurezza del Canale 2 MSR e la bobina del contattore K1 Tutti i componenti stanno funzionando correttamente Questo guasto di cablaggio pu verificarsi prima della messa in servizio della macchin
51. 3 deve usare i principi di sicurezza base vedere allegato dello standard EN ISO 13849 2 Si richiede inoltre che il sistema sottosistema non possa fallire in caso di singolo guasto Ci significa che il sistema deve avere una tolleranza al singolo errore in relazione alla sua funzione di sicu rezza ll modo pi comune per soddisfare questo requisito di usare un architettura a canale doppio come mostrato sopra Inoltre necessario per quanto possibile che il guasto singolo sia rilevato Questo requisito corrisponde al requisito originale previsto per la categoria 3 dello standard EN 954 1 In tale contesto il significato 80 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 dell espressione per quanto possibile era alquanto problematico Significava che la categoria 3 poteva coprire qualsiasi sistema da un sistema con ridondanza ma senza rilevamento di guasto spesso definita opportunamente come ridondanza stupida a un sistema ridondante in cui sono rilevati tutti i guasti singoli Questo pro blema viene affrontato nello standard EN ISO 13849 1 con la necessit di stimare la qualit della copertura diagnostica Diagnostic Coverage DC Maggiore l affida bilit MTTFd del sistema minore la DC necessaria Tuttavia altrettanto chiaro che per la categoria di architettura 3 la DC deve essere almeno pari al 60 Dispositivo Cablaggio Dispositivo di ingresso di uscita quanno 4 Monitorag
52. 39 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Per la realizzazione dei bordi di sicurezza sono disponibili diverse tecnologie Una tecnologia molto diffusa l inserimento di un lungo interruttore all interno del bordo Questo approccio consente di avere bordi dritti e generalmente usa la tecnica di collegamento a 4 fili Barriere fotoelettriche scanner pedane e bordi sensibili sono classificati come dispositivi di protezione In effetti non impediscono l accesso semplicemente si attivano quando lo rilevano segnalandolo La capacit di garantire la sicurezza dipende interamente dalla loro capacit di rilevamento e di interruzione In generale sono adatti solo a macchine che si arrestano in tempi ragionevolmente rapidi dopo l interruzione dell alimentazione Poich un operatore pu camminare o raggiungere direttamente l area pericolosa ovviamente necessario che il tempo richiesto per l interruzione del movimento sia minore di quello necessario affinch l operatore raggiunga l area pericolosa dopo aver azionato il dispositivo di protezione Interruttori di sicurezza Quando l accesso alla macchina non frequente preferibile ricorrere a protezioni mobili apribili La protezione interbloccata con l alimentazione della fonte di pericolo in modo che quando la porta di protezione non chiusa l alimentazione sia disinserita Questo metodo implica l us
53. Allen Bradley e m GuardImarster Sistemi di controllo legati alla sicurezza delle macchine Principi standard e implementazione SAFEBOOK 4 LISTEN 1 Rockwell Automation SONE SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Capitolo 1 Capitolo 2 Capitolo 3 Capitolo 4 Capitolo 5 Capitolo 6 Capitolo 7 Capitolo 8 Capitolo 9 Capitolo 10 Capitolo 11 Sommario Regolamenti iaia dana 2 Legislazione e direttive UE Direttiva Macchine Direttiva Uso delle attrezzature di lavoro regolamenti USA OSHA Occupational Safety and Health Administration regolamenti canadesi Standalidb otranto nr 18 ISO International Organisation for Standardisation IEC International Electrotechnical Commission norme europee armonizzate EN standard USA standard OSHA standard ANSI standard canadesi standard australiani Strategia della sicurezza iii 23 Valutazione dei rischi determinazione dei limiti delle macchine identificazione di attivit e pericoli stima e riduzione dei rischi progetti a sicurezza intrinseca misure e sistemi di protezione valutazione formazione dispositivi di protezione personale standard Misure di protezione e dispositivi complementari 36 Prevenzione accessi protezioni fisse rilevamento accessi sistemi e prodotti di sicurezza Calcolo delle distanze di siCUrezza
54. Bradley Sistemi di controllo legati alla sicurezza delle macchine e fi sAFEBOOK 4 Arresto fanti di WJ monitoraggio di sicurezza CH2 Protezione Te chiusa Interruttore con w J Terra Contattori Sistema di sicurezza di Categoria 3 Questo un esempio di sistema di Categoria 3 Un set ridondante di contatti viene aggiunto all interruttore di interblocco con attuatore Internamente il rel di monitoraggio di sicurezza MSR contiene circuiti ridondanti che si monitorano reciprocamente Un set ridondante di contattori toglie alimentazione al motore I contattori sono monitorati dall MSR attraverso i contatti ad accoppiamento meccanico nel modo ragionevolmente praticabile Il rilevamento dei guasti deve essere preso in esame per ogni componente del sistema di sicurezza oltre che per i collegamenti ovvero il sistema Quali sono le modalit di guasto di un interruttore con attuatore a due canali Quali sono le modalit di guasto dell MSR Quali sono le modalit di guasto dei contattori K1 e K2 Quali sono le modalit di guasto del cablaggio L interruttore interbloccato con attuatore concepito con contatti ad apertura diretta Quindi sappiamo che l apertura della protezione concepita per aprire un contatto saldato Questo risolve una modalit di guasto Esistono altre modalit di guasto L interruttore ad azione di apertura diretta di solito concepito con un ritorno a molla Se la testa viene
55. Contigurabie Redundori tput Des CROUT Feachdach Type Ferdbeck Reaction Tire Mesec Acuse Ono Zone _Oupuensble Frodback 1 AENT 11PE0ata 9 Feedbech 2 AENT 1POEData 0 nt Stat AENT 1 ComtanedpnpuStatur d Output Status AENT 2 CombinecOutputstatus 0 Resat Configurable Redundant Output CROUT Tone2_K2K3 Feedback Type Feedback Reaction Time Msec Actuate Cmd_Zone2_OutputEnable 0 Feedback 1 AMENT 1 PLO7Data D Feedback 2 AENT 1 I Pt07Data o Input Status AENT 1 1 Combinedinpu Status o Output Status AENT 21 CombinedOutputStatus 0 Reset Sts Zone2_Salety_Gate1_InputOK to drive satety outputs 00 and 01 Tags ModuleNsme O Pt00Data and 141 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Reset su fronte di discesa Lo standard EN ISO 13849 1 stabilisce che le funzioni di reset delle istruzioni siano collocate in corrispondenza dei fronti di discesa dei segnali Per ottemperare a questo requisito occorre aggiungere un istruzione one shot sul fronte di discesa nel codice di reset come mostrato di seguito One Saa Fi Storage Dt Vik Zret Satiety Ranst ONF Output a ik Zone _SatetyReset_FAli osge Dati prestazionali Se la configurazione eseguita correttamente ciascuna funzione di sicurezza pu raggiungere un livello di sicurezza pari a PLe CAT 4 secondo EN ISO 13849 1 2008 I calcoli vengono eseguiti considerando 360 giorni di fu
56. DI LESIONI Assegneremo dei valori a ognuno di questi fattori analizzandoli separatamente Occorre sfruttare tutti i dati e le esperienze a disposizione Poich vengono considerate tutte le fasi di vita della macchina per evitare troppa complessit necessario basare le decisioni sul caso pi grave per ogni fattore inoltre importante usare il buon senso Le decisioni devono basarsi su azioni fattibili realistiche e plausibili Questo il motivo per cui utile l approccio da parte di un team interfunzionale Ai fini di questo esercizio non bisognerebbe considerare eventuali sistemi di protezione esistenti Se la stima dei rischi rivela l esigenza di un sistema di protezione attraverso una serie di metodologie possibile determinarne le caratteristiche v pi avanti in questo capitolo 27 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 1 Gravit delle lesioni potenziali In questo caso si presume che l incidente o il danno si sia verificato forse come conseguenza del pericolo Lo studio accurato del pericolo riveler qual il maggior danno possibile Ricordare in questo caso si presume che il danno sia inevitabile e ci si concentra solo sulla sua gravit Occorre presumere che l operatore sia esposto al movimento o al processo pericoloso La gravit del danno deve essere valutata quale e FATALE Morte e IMPORTANTE generalmente irreversibile disabilit
57. MA 85 Allen Bradley e nn SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Software guasti al software sono di natura intrinsecamente sistematica guasti sono causati dal modo in cui il software concepito scritto o compilato Pertanto tutti i guasti sono causati dal sistema in cui viene eseguito non dal suo utilizzo Per ci per controllare gli errori occorre controllare il sistema Sia l IEC 61508 che PEN ISO 13849 1 indicano requisiti e metodologie ideati a questo scopo Non c bisogno di entrare in dettaglio se non per dire che utilizzano il classico modello V Il software integrato un problema che riguarda il progettista di dispositivi In genere si tende a sviluppare software integrati in conformit con i metodi formali stabiliti nello standard IEC 61508 parte 3 Per quanto riguarda il codice applica tivo il software con cui l utente interfaccia la maggior parte dei dispositivi di si curezza programmabili sono dotati di routine o blocchi funzione certificati Ci semplifica il compito di convalida del codice applicativo ma non bisogna dimen ticare che il programma applicativo completo deve essere ancora convalidato Il modo in cui i blocchi sono collegati e parametrizzati deve essere verificato e convalidato per l applicazione prevista Gli standard EN ISO 13849 1 e IEC EN 62061 forniscono entrambi criteri per questo processo Specifica software Specifica y funzioni
58. OSHA 1910 147 ANSI Z244 1 CSA Z460 05 e AS 4024 1603 Questi standard hanno un oggetto comune il metodo primario per impedire accensioni non intenzionali scollegare l alimentazione al sistema e bloccare il sistema in stato di disattivazione Lo scopo permettere alle persone di entrare in sicurezza nelle zone pericolose della macchina Lockout Tagout Le macchine nuove devono essere costruite con dispositivi di isolamento dell ali mentazione bloccabili dispositivi si applicano a tutti i tipi di energia elettrica idraulica pneumatica gravitazionale e laser Per lockout si intende l applicazione di un blocco a un dispositivo di isolamento dell alimentazione Il blocco deve essere rimosso solo dal suo proprietario o da un supervisore in condizioni controllate Quando sulla macchina devono lavorare diverse persone ogni persona deve appli care il proprio blocco ai dispositivi di isolamento dell alimentazione Ogni blocco deve essere rapportabile al suo proprietario Negli USA il tagout una alternativa al lockout per le macchine pi vecchie su cui non mai stato installato un dispositivo lucchettabile In questo caso la macchina viene spenta e viene applicato un cartellino per avvisare tutto il personale di non avviare la macchina mentre l operatore che ha apposto il cartellino sta lavorando sulla macchina A partire dal 1990 le macchine che sono state modificate devono essere aggiornate in modo da prevedere un disposit
59. a lt 90 bassa dal 90 a lt 99 media 299 alta Questo approccio basato sull uso dei campi anzich di singoli valori percentuali pu essere considerato pi realistico in termini di precisione ottenibile Il tool SISTEMA si avvale delle stesse tabelle di consultazione dello standard Poich i dispositivi legati alla sicurezza richiedono un elettronica sempre pi complessa la DC diventa un fattore molto importante probabile che in futuro gli standard cercheranno di fare chiarezza su questo problema Nel frattempo il giudizio dei tecnici e il buon senso dovrebbero essere sufficienti a determinare una scelta corretta del campo di DC Guasto per causa comune Nella maggior parte dei sistemi o sottosistemi a canale doppio ovvero a prova di singolo guasto il principio diagnostico si basa sul presupposto che non vi siano guasti pericolosi in entrambi i canali allo stesso tempo Il concetto di allo stesso tempo espresso in maniera pi accurata come entro l intervallo del test diagnostico Se l intervallo di test diagnostico ragionevolmente breve ad es meno di otto ore ragionevole ipotizzare che sia molto improbabile che due guasti separati e indipendenti si verifichino entro tale termine Tuttavia lo standard indica che dobbiamo considerare attentamente se le possibilit di guasto sono davvero separate e indipendenti Ad esempio se un guasto in un componente pu prevedibilmente portare a guasti di altri co
60. a di architettura designata 1 ha la stessa struttura della categoria B e pu ancora fallire in caso di singolo guasto Ma poich si avvale di principi di sicu rezza collaudati vedere allegato dell EN ISO 13849 2 la probabilit che questo accada inferiore rispetto alla categoria B Per i requisiti completi consultare lo standard EN ISO 13849 1 79 Allen Bradley e nn SAFEBOOK 4 I S istemi di controllo legati alla sicurezza delle macchine Dispositivo Cablaggio Dispositivo di ingresso di uscita Monitoraggio di prova La categoria di architettura designata 2 deve adottare i principi di sicurezza base vedere allegato dello standard EN ISO 13849 2 necessario inoltre un monitorag gio diagnostico tramite un test funzionale del sistema o sottosistema Ci deve aver luogo all avvio e poi periodicamente con una frequenza che equivale ad almeno un centinaio di test per ogni richiesta di intervento della funzione di sicurezza Il sistema o il sottosistema pu ancora fallire se si verifica un singolo guasto tra un test funzionale e l altro ma la probabilit di solito inferiore rispetto alla categoria 1 Per i requisiti completi consultare lo standard EN ISO 13849 1 Categoria di architettura designata 2 Dispositivo di ingresso di uscita Monitoraggio Monitoraggio incrociato Dispositivo di ingresso di uscita Monitoraggio Categoria di architettura designata 3 La categoria di architettura designata
61. a o successivamente durante le operazioni di manutenzione o aggiornamento Il guasto pu essere rilevato Questo guasto non pu essere rilevato dal sistema di sicurezza come mostrato Fortunatamente di per s non comporta la perdita della funzione di sicurezza Questo guasto come il guasto da Ch1 a K2 deve essere rilevato durante la messa in servizio o controlli successivi agli interventi di manutenzione L elenco di possibili esclusioni dei guasti riportato in EN ISO 13849 2 Allegato D Tabella D4 chiarisce che questo tipo di guasti pu essere escluso se l apparecchiatura contenuta in un armadio elettrico e sia l armadio che i cablaggi risultano conformi ai requisiti dello standard IEC EN 60204 1 Nella relazione tecnica congiunta su EN ISO 13849 1 e IEC 62061 viene inoltre chiarito che questa esclusione dei guasti pu essere considerata fino a PLe e SIL3 compresi e pu essere utilizzata anche con la Categoria 4 119 Allen Bradley fi SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Cortocircuito trasversale canali incrociati nel sistema Arresto Rel di monitoraggio di sicurezza Contattori Guasto di cablaggio di canali incrociati con barriere fotoelettriche Questo un esempio di sistema di sicurezza con barriera fotoelettrica uscite OSSD Il sistema di sicurezza pu rilevare questo guasto L MSR non pu rilevare questo guasto perch entrambi gli ingressi sono in pull up
62. a pericolosa mentre la protezione chiusa Inoltre la protezione di controllo deve costituire l unico accesso all area pericolosa Controlli a logica programmabile di sicurezza L esigenza di applicazioni di sicurezza flessibili e scalabili alla base dello sviluppo dei controllori PLC di sicurezza controllori programmabili di sicurezza offrono agli utilizzatori in un applicazione di sicurezza lo stesso livello di flessibilit del controllo che avrebbero con controllori programmabili standard Tuttavia le differenze tra PLC standard e di sicurezza sono molte PLC di sicurezza sono disponibili in varie piattaforme per rispondere ai requisiti di scalabilit funzionalit e integrazione dei pi complessi sistemi di sicurezza Sono molti i microproces sori utilizzati per elaborare IO memoria e comunica zioni sicure Le analisi dia gnostiche vengono realiz er zate da circuiti watchdog woma Questo tipo di struttura nota come 1oo2D perch Bu uno qualunque dei due microprocessori pu rea lizzare la funzione di sicu rezza mentre nel con tempo una attenta diagnostica garantisce Architettura 1002D che entrambi i micropro cessori stiano funzio nando in sincronizza zione Indirizzo Inoltre ogni circuito di ingresso testato internamente diverse volte al secondo per verificarne il corretto funzionamento Grazie a questi continui test ad esempio 52 SAFEBOOK 4 Dispositivi e misure di prot
63. acchine dell Allegato IV se appropriato il nome l indirizzo e il numero di identificazione dell organismo notificato che ha eseguito l esame di tipo CE indicato nell Allegato IX e il numero del certificato dell esame di tipo CE Perle macchine dell Allegato IV se appropriato il nome l indirizzo e il numero di identificazione dell organismo notificato che ha approvato il sistema di garanzia qualit totale a cui si fa riferimento nell Allegato X Luogo e data della dichiarazione Identit e firma della persona autorizzata a redigere la dichiarazione per conto del produttore o del rappresentante autorizzato Dichiarazione CE di incorporazione di macchine parzialmente completate Se la macchina fornita destinata a essere assemblata con altri elementi con cui andr a costituire una macchina completa in una data successiva dovr essere ac compagnata da una DICHIARAZIONE DI INCORPORAZIONE Il marchio CE NON deve essere apposto La dichiarazione dovrebbe affermare che l attrezzatura non deve essere messa in servizio finch la macchina in cui sar incorporata non sar stata dichiarata conforme necessario redigere un dossier tecnico e insieme alla macchina parzialmente completata devono essere fornite informazioni comprendenti una descrizione delle condizioni che devono essere soddisfatte per una corretta incorporazione nella macchina finale in modo tale da non compromettere la sicu rezza Questa opzione non dispon
64. afety Che cos la sicurezza funzionale Per sicurezza funzionale si intende quella parte della sicurezza complessiva che dipende dal corretto funzionamento del processo o delle apparecchiature in risposta ai relativi ingressi Lo standard IEC TR 61508 0 per contribuire a chiarire il signifi cato di sicurezza funzionale fornisce il seguente esempio Per esempio un dispo sitivo di protezione da sovratemperature che utilizza un sensore termico negli avvolgimenti di un motore elettrico per diseccitare il motore prima che possa surri scaldarsi un esempio di sicurezza funzionale Ma l isolamento di un componente 66 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza e sicurezza funzionale contro le alte temperature non un esempio di sicurezza funzionale anche se sempre un esempio di sicurezza e potrebbe proteggere esattamente dallo stesso pericolo Come ulteriore esempio confrontiamo una protezione fisica e una prote zione interbloccata La protezione fisica non considerata sicurezza funzionale anche se pu proteggere contro l accesso allo stesso pericolo come una porta in terbloccata La porta interbloccata invece un esempio di sicurezza funzionale Quando la protezione aperta l interblocco funge da ingresso per il sistema che garantisce lo stato di sicurezza Anche i dispositivi di protezione personale DPP vengono utilizzati come misura protettiva per contribuire ad aumentare la sicurezza d
65. aggior parte dei quali ha un equivalente ISO Si pu constatare che il concetto di sicurezza in fase di progettazione dipende dal tipo di macchina e dalle caratteristiche dell applicazione e dell ambiente in cui essa viene impiegata Il costruttore di macchine deve anticipare questi fattori per poter progettare il concetto di sicurezza Le condizioni d impiego concepite ovvero previste dovrebbero essere indicate nel manuale dell utente L utente della macchina deve verificare che esse corrispondano alle reali condizioni di utilizzo Siamo arrivati cos a una descrizione della funzionalit di sicurezza L allegato A dello standard ci indica il livello prestazionale richiesto PLr per le parti del sistema di con trollo SRP CSI correlate alla sicurezza che saranno utilizzate per attuare tale funziona lit Non resta che progettare il sistema assicurandoci che sia conforme al PLr Uno dei fattori pi significativi da valutare nel decidere quale standard adottare EN ISO 13849 1 o EN IEC 62061 la complessit della funzione di sicurezza Nella maggior parte dei casi per le macchine la funzione di sicurezza relativa mente semplice e lo standard EN ISO 13849 1 rappresenta la strada pi indicata Per valutare il PL si utilizzano i seguenti fattori dati di affidabilit copertura diagno stica DC architettura del sistema categoria guasti per causa comune e ove opportuno i requisiti per il software Questa una descrizion
66. aggirare un sistema difficile da usare Dispositivi di rilevamento accesso Quando occorre decidere come proteggere un area importante comprendere a fondo quali funzioni di sicurezza sono necessarie Di norma vi saranno almeno due funzioni Disattivare o disabilitare l alimentazione quando un persona entra nell area pericolosa Evitare l attivazione o l abilitazione dell alimentazione quando una persona si trova nell area pericolosa A prima vista potrebbero sembrare una sola funzione ma sebbene siano strettamente legate e spesso attuate dalla stessa attrezzatura si tratta di due 37 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine funzioni separate Per realizzare la prima funzione occorre disporre di un dispositivo di protezione ossia un dispositivo che rilevi che una parte del corpo della persona si trova oltre un determinato punto e invii un segnale per disinserire l alimentazione Se la persona riesce a oltrepassare il punto di intervento e la sua presenza non pi rilevata la seconda funzione evitare il reinserimento dell alimentazione non stata realizzata Punto di attivazione Fine Punto di attivazione Inizio rilevamento Inizio rilevamento rilevamento Rilevato Rilevato PENOSO Accesso di tutto il corpo Accesso parziale del corpo Lo schema che segue mostra un esempio di accesso di un corpo con una barriera fotoelettrica montata
67. agnostica DC per ogni elemento del sottosistema tassi di guasto di ognuno dei sottosistemi sono ridotti dalla copertura diagnostica di ogni sottosistema Di seguito riportato il quarto esempio di architettura di un sottosistema Questo sottosistema a tolleranza di un singolo guasto e include una funzione diagnostica Con i sistemi a tolleranza di un singolo guasto deve essere considerato anche il potenziale di guasti per causa comune 100 SAFEBOOK 4 Progettazione del sistema secondo IEC EN 62061 l Sottosistema D Elemento sottosistema 1 1 Det Funzione i di diagnostica Elemento sottosistema 2 1De2 Guasto con causa comune Architettura logica sottosistema D Se gli elementi del sottosistema sono diversi si usano le seguenti formule pssp 1 B Apet X Apez x DC1 DC2 x T2 2 Apet X Apez x 2 DC DC2 x T1 2 B x Apet Apez 2 PFHossp pssp x 1h Se gli elementi del sottosistema sono gli stessi si usano le seguenti formule ossp 1 B Ape x 2 x DC x T2 2 Ape x 1 DC x Ti B x Ape PFHossp pssp x 1h Si noti che in entrambe le formule presente un parametro in pi T2 ovvero l intervallo di diagnostica Questo solo un controllo periodico della funzione Si tratta di un testmeno completo del test diagnostico A titolo di esempio consideriamo i seguenti valori nel caso in cui gli elementi del sottosistema siano differenti B 0
68. al mente chiusi e quelli normalmente aperti non possono essere contemporanea mente in stato di chiusura IEC 60947 5 1 definisce i requisiti per i contatti ad ac coppiamento meccanico Se i contatti normalmente aperti si saldano i contatti normalmente chiusi rimangono aperti di almeno 0 5 mm Viceversa se i contatti normalmente chiusi si saldano i contatti normalmente aperti rimangono aperti sistemi di sicurezza devono essere avviati solo in posizioni specifiche contattori e i rel di controllo standard permettono di attirare l indotto per chiudere i contatti normalmente aperti Sui dispositivi di sicurezza l indotto protetto dall override manuale per ridurre il rischio di avviamento non intenzionale Sui rel di controllo di sicurezza il contatto normalmente chiuso azionato dal co mando principale contattori di sicurezza usano un blocco per contatti supplemen tare per posizionare i contatti ad accoppiamento meccanico Se il blocco di contatti fuoriesce dalla base i contatti ad accoppiamento meccanico rimangono chiusi contatti ad accoppiamento meccanico sono fissati permanentemente al rel di con trollo o al contattore di sicurezza Sui contattori pi grandi un blocco per contatti supplementare insufficiente a riflettere accuratamente lo stato dell azionamento pi grande Su entrambi i lati del contattore sono situati dei contatti speculari Figura 4 81 Il tempo di diseccitazione dei rel di control
69. alle procedure di valutazione della conformit per le macchine indicate nell Allegato IV Le disposizioni principali della direttiva originaria 98 37 CE sono entrate in vigore il 1 gennaio 1995 e i componenti di sicurezza il 1 gennaio 1997 Le disposizioni della direttiva attuale 2006 42 CE sono entrate in vigore il 29 dicembre 2009 compito del produttore o di un suo rappresentante autorizzato assicurare la conformit alla direttiva dei macchinari forniti Ci comporta le seguenti attivit verifica del rispetto degli EHSR indicati nell Allegato della direttiva e redazione di un dossier tecnico e esecuzione delle opportune valutazioni di conformit e fornitura di una Dichiarazione di conformit CE apposizione del marchio CE laddove applicabile fornitura di istruzioni per un uso corretto 3 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Requisiti fondamentali di salute e sicurezza Nell Allegato 1 della direttiva riportato un elenco dei requisiti fondamentali di salute e sicurezza EHSR a cui le macchine ove pertinente devono conformarsi Scopo di questo elenco quello di garan tire che i macchinari siano sicuri progettati e realizzati in modo che le operazioni di uso regolazione e manutenzione non costituiscano un rischio per le persone in tutte le fasi della loro vita operativa Nel testo seguente sono riportati dei cenni ge
70. ano testati individualmente con cadenza adeguata per individuare i guasti Se prevedibile che uno o pi interruttori non vengano mai testati singolarmente si pu affermare che si dovrebbe indicare una DC pari a zero AI momento della pubblica zione di questo testo lo standard EN ISO 13849 2 in fase di revisione La nuova versione potrebbe contenere indicazioni maggiori su questo argomento Il collegamento in serie dei contatti meccanici limitato alla Categoria 3 dato che pu portare alla perdita della funzione di sicurezza a causa dell accumulo di guasti In termini pratici la diminuzione della DC e conseguentemente di SFF limita i PL e SIL massimi raggiungibili a PLd e SIL2 interessante notare che sempre stato necessario considerare queste caratteristiche di una struttura di Categoria 3 ma questi aspetti sono diventati particolarmente rilevanti con i nuovi standard sulla sicurezza funzionale 117 Allen Bradley SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Li L2 L3 Arresto di emergenza Controllo Da Alimenta ld i Rel di monitoraggio di sicurezza Circuito di controllo Inverter di sicurezza Motore pericolo Azionamenti di sicurezza con arresto di emergenza di Categoria 3 Questo un circuito di Categoria 3 che usa un inverter di sicurezza Con i recenti sviluppi delle tecnologie di azionamento unitamente all aggiornamento degli standard EN IEC 60
71. ata che con uscite ad azione ritardata Le uscite ad azione immediata sono collegate a ingressi del dispositivo programmabile ad esempio un PLC e le uscite ad azione ritardata sono collegate al contattore Quando l interruttore di interblocco della protezione attivato le uscite immediate del rel di sicurezza commutano Questo segnala al sistema programmabile di eseguire un arresto secondo la sequenza corretta Dopo un periodo di tempo breve ma sufficiente per l esecuzione del processo l uscita ad azione ritardata del rel di sicurezza scatta e isola il contattore principale Nota tutti i calcoli che servono a determinare il periodo di arresto totale devono pren dere in considerazione il ritardo di uscita del rel di sicurezza Ci particolarmente importante quando questo fattore viene usato per determinare il posizionamento dei dispositivi in conformit con il calcolo della distanza di sicurezza 2 PLC di sicurezza Le funzioni logiche e di temporizzazione richieste possono essere implementate in modo pratico utilizzando un PLC di sicurezza con livello di integrit della sicurezza appropriato Nella pratica ci si pu ottenere con un PLC di sicurezza come SmartGuard o GuardLogix Requisiti dei sistemi di controllo di sicurezza USA Negli USA esiste tutta una serie di standard sui requisiti dei sistemi di controllo legati alla sicurezza ma due sono i documenti pi importanti ANSI B11 TR3 e ANSI R15 06 Il rapporto tecni
72. autorizza il Secretary of Labor a definire standard obbligatori relativi a sicurezza e salute sul lavoro applicabili alle aziende che commerciano all interno degli Stati Uniti Questa legge si applica a tutti i posti di lavoro in uno Stato nel Distretto di Columbia nel Commonwealth di Porto Rico nelle Isole Vergini nelle Samoa Americane a Guam nel Territorio fiduciario delle Isole del Pacifico nell Isola di Wake nelle Outer Continental Shelf Lands definite nell Outer Continental Shelf Lands Act nell Isola Johnston e nella Zona del Canale di Panama L articolo 5 della legge stabilisce i requisiti di base Ogni datore di lavoro deve fornire a ognuno dei suoi dipendenti un lavoro e un posto di lavoro non soggetti a rischi conosciuti che provochino o possano provocare morte o gravi lesioni fisiche Deve inoltre conformarsi agli standard relativi a salute e sicurezza sul lavoro promulgati da questa legge 13 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine L articolo 5 inoltre stabilisce che ogni dipendente deve conformarsi agli standard relativi a salute e sicurezza sul lavoro e a tutte le regole e i regolamenti emessi in base a questa legge e applicabili alle proprie azioni e alla propria condotta La legge OSHA prevede responsabilit sia per il datore di lavoro sia per il dipen dente Decisamente diversa la Direttiva Macchine che impone ai fornitori di immet tere sul m
73. azioni preesistenti sulla loro affidabilit La stima del PFHp o MTTFd per il meccanismo si basa di norma su prove Gli standard EN IEC 62061 ed EN ISO 13849 1 prevedono entrambi l esecuzione di una prova chiamata test B10d Durante il test B10d un numero di componenti campione in genere almeno dieci viene sottoposto a prove in condizioni rappresentative Il numero medio di cicli operativi eseguiti prima che il 10 dei campioni subisca guasti determi nando condizioni pericolose detto valore B10d Nella prassi spesso accade che tutti i campioni si guastino in uno stato sicuro ma in tal caso lo standard chiarisce che il valore B10d pericoloso pu essere considerato pari a due volte il valore B10 sicuro 84 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 Tecnologia elettronica In questo caso non si verifica alcuna usura fisica relativa alle parti mobili Dato un ambiente operativo commisurato alle specifiche caratteristiche elettriche di temperatura ecc il guasto predominante di un circuito elettronico proporzio nale all affidabilit intrinseca dei suoi componenti costitutivi o alla mancanza di essa Un singolo componente pu guastarsi per vari motivi difetti di fabbrica zione picchi di potenza eccessivi problemi di connessione meccanica ecc In genere i guasti ai componenti elettronici sono difficili da prevedere con un ana lisi e sembrano essere di natura casuale Pertanto eseguendo dei
74. be includere tutte le informazioni pertinenti come risultati di test schemi specifiche ecc Una norma armonizzata europea EN pubblicata sulla Gazzetta Ufficiale dell Unione Europea OJ sotto la Direttiva Macchine la cui data di cessazione di presunzione di conformit non sia scaduta conferisce presunzione di conformit a determinati requisiti EHSR molte norme recenti pubblicate sulla Gazzetta includono un riferimento incrociato che identifica i requisiti EHSR coperti dalla norma La macchina deve rispondere ai requisiti EHSR Di conseguenza quando le apparecchiature sono conformi alle attuali norme armo nizzate europee il compito di dimostrare la conformit con gli EHSR molto sempli ficato e il produttore beneficia anche della maggiore sicurezza legale Tali standard non sono richiesti per legge ma il loro utilizzo fortemente consigliato poich dimo strare la conformit tramite metodi alternativi pu essere molto complesso Tali norme supportano la Direttiva Macchine e sono prodotte dal CEN European Com mittee for Standardization in collaborazione con ISO e da CENELEC European Committee for Electrotechnical Standardization in collaborazione con l IEC necessario condurre una valutazione dei rischi approfondita e documentata per garantire che siano stati analizzati tutti i potenziali rischi della macchina Inoltre responsabilit del produttore assicurare il rispetto di tutti i requisiti EHSR an
75. care il verificarsi di un evento Interblocchi a contatto e pulsanti di emergenza contatti meccanici a singolo canale con un contatto normalmente chiuso o a doppio canale con entrambi i contatti normalmente chiusi L MSR deve essere in grado di accettare il singolo o il doppio canale e garantire il rilevamento dei guasti incrociati per la configurazione a due canali Interblocchi senza contatto e pulsanti di emergenza contatti meccanici a doppio canale uno normalmente aperto e uno normalmente chiuso L MSR deve essere in grado di elaborare diversi ingressi Dispositivi di commutazione di uscita allo stato solido barriere fotoelettriche laser scanner dispositivi senza contatto allo stato solido hanno due uscite sourcing ed effettuano il rilevamento dei propri guasti incrociati LMSR deve essere in grado di ignorare il metodo di rilevamento dei guasti incrociati dei dispositivi Pedane sensibili alla pressione le pedane creano un cortocircuito tra due canali L MSR deve essere in grado di sopportare cortocircuiti ripetuti Bordi sensibili alla pressione alcuni bordi sono concepiti come pedane a 4 fili Alcuni sono dotati di dispositivi a due fili che creano una variazione della resistenza L MSR deve essere in grado di rilevare un cortocircuito o la variazione della resistenza Tensione misura la forza contro elettromotrice di un motore durante la decelera zione L MSR deve essere in grado di tollerare alte tensioni e di rilevare
76. cchine associate a tale zona Il reset manuale Le due zone inoltre sono protette da un interruttore di arresto di emergenza globale All azionamento dell arresto di emer genza i due set di contattori vengono diseccitati Funzione di sicurezza Ciascun interruttore di sicurezza SensaGuard collegato a una coppia di ingressi di sicurezza di un modulo 1734 1B8S I O POINTGuard Il modulo I O connesso tramite CIP Safety su una rete EtherNet IP al controllore di sicurezza Compact GuardLogix 1768 L43S Il codice di sicurezza del processore di sicurezza moni tora lo stato degli ingressi di sicurezza tramite un istruzione di sicurezza precertifi cata detta DCS Dual Channel Input Stop Il codice di sicurezza eseguito in paral lelo in una configurazione 1002 Quando tutte le condizioni sono soddisfatte il gate 130 SAFEBOOK 4 Esempio applicativo con SISTEMA di sicurezza chiuso non sono rilevati guasti sui moduli di ingresso l arresto di emergenza globale non azionato e il pulsante di reset premuto un secondo blocco funzione certificato detto CROUT Configurable Redundant Output verifica lo stato dei dispositivi di controllo finali una coppia di contattori ridondanti 100S Il controllore quindi emette un segnale d uscita verso il modulo 1734 OBS determi nando l attivazione di una coppia di uscite in modo da eccitare i contattori di sicu rezza La funzione di arresto di emergenza globale anche monitorata
77. che di quelli non trattati dalle norme armonizzate EN 5 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Dossier tecnico Il produttore o un suo rappresentante autorizzato deve redigere un dossier tecnico per dimostrare la conformit ai requisiti EHSR Questo dossier dovrebbe includere tutte le informazioni pertinenti come risultati di test schemi specifiche ecc Non fondamentale che tutte le informazioni siano costantemente disponibili in formato cartaceo tuttavia deve essere possibile mettere a disposizione l intero dossier tecnico su richiesta in caso di ispezione da parte di un autorit competente organismo incaricato da un paese UE di monitorare la conformit delle macchine Come minimo il dossier tecnico deve comprendere la seguente documentazione 1 I disegni generali dell attrezzatura compresi i disegni del circuito di controllo 2 disegni dettagliati le note di calcolo ecc richiesti per la verifica della conformit della macchina con i requisiti essenziali di sicurezza e salute 3 Documentazione relativa alla valutazione dei rischi ivi compreso un elenco dei requisiti fondamentali di salute e sicurezza applicabili alla macchina e una descrizione delle misure di protezione adottate 4 Un elenco degli standard o norme e di altre specifiche tecniche utilizzate in cui siano indicati i requisiti fondamentali di salute e sicurezza considerati 5 Una desc
78. co ANSI B11 TR83 stabilisce quattro livelli caratterizzati dal livello previsto di riduzione dei rischi che ognuno pu fornire Ecco i requisiti per ogni livello Livello minimo di riduzione dei rischi In ANSI B11 TR83 tra le protezioni che forniscono il minimo grado di riduzione dei rischi ci sono dispositivi elettrici elettronici idraulici o pneumatici e relativi sistemi di controllo con configurazione a canale singolo Implicita nei requisiti l esigenza di usare dispositivi di sicurezza Questo livello strettamente allineato con la Categoria 1 di ISO 13849 1 125 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Livello medio basso di riduzione dei rischi In ANSI B11 TR3 le protezioni di sicurezza che offrono una riduzione dei rischi medio bassa includono i sistemi di controllo ridondanti che possono essere controllati manualmente per verificare la funzionalit del sistema di sicurezza Facendo esclusivamente riferimento ai requisiti il sistema prevede una ridondanza semplice L uso di una funzione di controllo non richiesta Senza controllo l eventuale guasto di uno dei componenti di sicurezza ridondanti potrebbe non essere rilevato dal sistema di sicurezza Ci risulterebbe in un sistema a singolo canale Questo livello di riduzione dei rischi si allinea meglio con la Categoria 2 in associazione al controllo Livello medio alto di riduzione dei rischi Le protezioni di s
79. curezza delle macchine Sezionatori di carico Per l isolamento locale dei dispositivi elettrici subito prima del dispositivo da isolare e bloccare possono essere installati degli interruttori Gli interruttori di carico serie 194E sono un esempio di prodotto in grado sia di isolare sia di bloccare Sistemi a chiave bloccata I sistemi a chiave bloccata sono un altro metodo per implementare un sistema di lockout Molti sistemi a chiave bloccata sono inizializzati da un dispositivo di isolamento dell alimentazione Quando l interruttore spento dalla chiave primaria l alimentazione alla macchina viene rimossa simultaneamente da tutti i conduttori di alimentazione non messi a terra La chiave primaria pu quindi essere rimossa e portata nel posto in cui necessario accedere alla macchina Per configurazioni di lockout pi complesse possono essere aggiunti vari componenti Misure alternative al lockout Lockout e tagout devono essere usati durante le operazioni di manutenzione o assi stenza sulle macchine Gli interventi sulla macchina durante le normali operazioni di produzione sono protetti La differenza tra le operazioni di assistenza manutenzione e quelle di normale funzionamento non sempre chiara Alcune regolazioni e interventi di assistenza di minore importanza che avvengono durante le normali operazioni di produzione non richiedono necessariamente il lock out della macchina Si tratta ad esempio di carico e scar
80. da un istru zione DCS Se viene azionato l arresto di emergenza globale determina lo spegnimento di entrambe le zone Distinta dei materiali In questo esempio applicativo sono utilizzati i componenti elencati di seguito Numero di Descrizione catalogo Quantit Interruttore SensaGuard SSRNFZZISSZA RFP in plastica senza contatto gt Pulsante di reset 800F Metallo con protezione blu R portacontatti in metallo 4 1 contatto i N A Standard 800FM G611MX10 100S C09Z423C Serie 100S C Contattori di sicurezza 2 1768 ENBT Modulo ponte EtherNet IP CompactLogix 1 Processore CompactLogix L43 memoria 1768 L43S standard 2 0 MB memoria di sicurezza 1 0 5 MB Alimentatore ingresso 120 240 V CA ii 3 5Aa 24 V CC i 1769 ECR Terminazione destra 1 1734 AENT Scheda Ethernet 24 V CC 1 1734 TB Base modulo con morsetti a vite IEC 4 rimovibili 1734 1B8S Modulo di ingresso di sicurezza 2 1734 OB8S Modulo d uscita di sicurezza 1 1783 USOS5T Switch Ethernet non gestito Stratix 2000 1 131 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Configurazione e cablaggio Per informazioni dettagliate sull installazione e il cablaggio consultare i manuali forniti insieme ai prodotti oppure scaricarli dal sito http literature rockwellautomation com Cenni generali sul sistema Il modulo d ingresso 1734 1B8S monitora gli i
81. dalla National Fire Protection Association NFPA Lo standard NFPA 70 conosciuto anche come National Electric Code NEC Per incorporazione tutti i requisiti obbligatori del NEC sono obbligatori anche per OSHA Standard ANSI L American National Standards Institute ANSI funge da amministratore e coordina tore del sistema di standardizzazione volontario del settore privato degli Stati Uniti Si tratta di un organizzazione di membri privata e senza scopo di lucro sostenuta da numerose organizzazioni del settore pubblico e privato ANSI non si occupa propriamente della creazione degli standard ma ne facilita lo sviluppo promuovendone il consenso tra gruppi qualificati ANSI inoltre garantisce che tutti i gruppi qualificati rispettino i principi di consenso correttezza dei processi 20 SAFEBOOK 4 Standard e trasparenza Di seguito riportato un elenco parziale degli standard di sicurezza industriale che si possono ricevere contattando PANSI Questi standard si distinguono tra standard applicativi e standard costruttivi Gli standard applicativi determinano il modo in cui applicare una protezione di sicurezza alla macchina Alcuni esempi sono l ANSI B11 1 che fornisce informazioni su come usare le protezioni sulle presse e l ANSI RIA R15 06 che descrive l uso dei dispositivi di sicurezza per la protezione dei robot NFPA National Fire Protection Association La National Fire Protection Association NFPA stata
82. dard per quanto riguarda le descrizioni delle categorie di arresto delle macchine o degli impianti di produzione Nota tali categorie sono diverse da quelle previste da EN 954 1 ISO 13849 1 Per ulteriori informazioni consultare gli standard NFPA 79 e IEC EN 60204 1 Gli arresti sono suddivisi in tre categorie Categoria 0 arresto dovuto all immediato scollegamento dell alimentazione degli at tuatori della macchina Sono considerati arresti non controllati Con l alimentazione disinserita l azione frenante che richiede energia non sar attiva Questo consente ai motori di girare liberamente e rallentare fino a fermarsi dopo un certo periodo di tempo In altri casi possibile che i sistemi di fissaggio della macchina depositino del materiale e che l alimentazione sia necessaria per tenere fermo tale materiale sistemi di arresto meccanici poich non richiedono alimentazione possono essere usati anche con un arresto di categoria 0 L arresto di categoria 0 ha la priorit sugli arresti di categoria 1 o 2 Categoria 1 arresto comandato in cui l alimentazione disponibile affinch gli attuatori della macchina eseguano l arresto Quindi l alimentazione viene rimossa dagli attuatori dopo l arresto Questa categoria di arresti consente una frenata con alimentazione che provoca l arresto rapido del movimento pericoloso successiva mente l alimentazione pu essere rimossa dagli attuatori Categoria 2 arresto comandato con alimen
83. della macchina venga scollegata e bloccata Lo scopo prevenire la messa in tensione o l avviamento non previsti della macchina e i conse guenti infortuni ai danni dei lavoratori datori di lavoro devono stabilire un programma e utilizzare precise procedure per la sistemazione di adeguati dispositivi di lockout o tagout sui dispositivi di isolamento dell alimentazione e per disabilitare altrimenti le macchine o le apparecchiature in modo da impedirne la messa in tensione l avviamento o il rilascio di energia accumulata involontari o imprevisti ed evitare infortuni ai danni dei lavoratori Questo standard non copre modifiche e regolazioni di minore importanza e altre operazioni ordinarie che devono avvenire durante il normale funzionamento delle macchine se si tratta di interventi ripetitivi e integranti nell utilizzo delle apparecchia ture di produzione ammesso che il lavoro sia svolto usando misure alternative che forniscano un adeguata protezione Come misure alternative si intendono dispositivi di protezione quali barriere fotoelettriche pedane di sicurezza interblocchi porte e altri simili dispositivi collegati a un sistema di sicurezza La difficolt per il progetti sta di macchine e per l utilizzatore sta nel determinare gli aspetti di minore impor tanza e quelli di routine ripetitivi e integranti nell utilizzo La Sottoparte O relativa alla protezione di macchine e macchinari Machinery and Machine Guar
84. di categoria stato mantenuto tuttavia affinch sia possibile affermare che un sistema conforme al PL richiesto occorre soddisfare dei requisiti aggiuntivi 71 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Tali requisiti possono essere essenzialmente riassunti come segue e Architettura del sistema Essenzialmente riprende i concetti che in passato ci eravamo abituati a chiamare con il termine categorie Sono necessari dei dati sull affidabilit delle parti costituenti del sistema necessario specificare la copertura diagnostica Diagnostic Coverage DC del sistema che rappresenta effettivamente la quantit di errori monitorati nel sistema Protezione contro guasti per causa comune Protezione contro guasti sistematici Ove pertinente requisiti specifici per il software Questi fattori verranno analizzati successivamente in maniera pi approfondita ma prima di tutto utile esaminare la finalit e il principio di base dell intero standard chiaro che in questa fase ci sono cose nuove da apprendere ma i dettagli avranno pi senso una volta capito cosa si sta cercando di ottenere e perch La prima domanda perch abbiamo bisogno di un nuovo standard ovvio che la tecnologia utilizzata nei sistemi di sicurezza delle macchine progredita e cambiata notevolmente nel corso degli ultimi dieci anni Fino a poco tempo fa i sistemi di sic
85. di comprovata efficienza se sono stati usati con successo in molte altre simili applicazioni componenti di sicurezza progettati recentemente sono considerati di comprovata efficienza se concepiti e verificati in conformit ai corrispondenti standard Componente di comprovata HE Standard efficienza Interruttore a modalit di apertura positiva apertura diretta Dispositivo di arresto di emergenza ISO 13850 IEC 60947 5 5 IEC 60947 5 1 Fusibile IEC 60269 1 Interruttore automatico IEC 60947 2 Contattori IEC 60947 4 1 IEC 60947 5 1 Contatti ad accoppiamento meccanico IEC 60947 5 1 Contattore ausiliario ad es contattore EN 50205 rel ausiliario rel a guida forzata IEC 60204 1 IEC 60947 5 1 Trasformatore IEC 60742 Cavo IEC 60204 1 Dispositivi di interblocco ISO 14119 Termostato IEC 60947 5 1 Pressostato IEC 60947 5 1 requisiti pneumatici o idraulici Apparecchiatura o dispositivo di commutazione di protezione e IEC 60947 6 2 controllo CPS Controllore a logica programmabile IEC 61508 IEC 62061 109 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Applicando componenti di comprovata efficienza al nostro sistema di Categoria B l interruttore di finecorsa sarebbe sostituito da un interruttore con attuatore ad azione di apertura diretta e il contattore sarebbe sovradimensionato per una maggiore p
86. dia specificata Tensione operativa Ue e corrente le nominali i valori nominali di corrente e tensione di funzionamento indicano la capacit di chiusura e apertura degli elementi di commutazione in condizioni operative normali prodotti Allen Bradley Guardmaster hanno valori nominali specifici di 125 V CA 250 V CA e 24 V CC Consultare il produttore per informazioni sull uso a tensioni diverse da quelle specificate VA i valori VA Tensione x Amperaggio indicano i valori nominali degli elementi di commutazione quando si chiude o si apre il circuito Esempio 1 un valore di A150 AC 15 indica che i contatti possono chiudere un circuito di 7 200 VA A 120 V CA i contatti possono chiudere un circuito con una corrente di spunto di 60 A Poich l AC 15 un carico elettromagnetico i 60 amp avranno solo una durata limitata la corrente di spunto del carico elettromagnetico L apertura del circuito a soli 720 VA poich la corrente a regime del carico elettromagnetico pari a 6 A ossia la corrente nominale di funzionamento 49 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Esempio 2 un valore nominale di N150 DC 13 indica che i contatti possono chiudere un circuito di 275 VA A 125 V CA i contatti possono chiudere un circuito con una corrente di 2 2 A carichi elettromagnetici in CC non hanno correnti di spunto come quelli in CA L apertura del circuito dunque a 275 VA perch
87. ding Questa sottoparte elenca i requisiti generali per tutte le mac chine e quelli di alcune particolari macchine Dal 1970 anno in cui stato costituito l OSHA ha adottato molti standard ANSI esistenti Ad esempio B11 1 per le presse meccaniche stato adottato come 1910 217 Il 1910 212 lo standard generale OSHA per le macchine Stabilisce che per proteggere l operatore e il personale vicino alla macchina da pericoli come quelli creati dal punto di lavoro punti di intrappolamento parti rotanti schegge e scintille occorre prevedere uno o pi metodi di protezione della macchina Le protezioni devono essere quando possibile installate sulla macchina o fissate in qualunque 15 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine altro posto se per qualche ragione fosse impossibile farlo sulla macchina La protezione deve essere tale da non costituire essa stessa un pericolo Il punto di lavoro la zona della macchina in cui viene effettivamente lavorato il materiale Il punto di lavoro di una macchina il cui funzionamento espone il personale a rischio di lesioni deve essere protetto Il dispositivo di protezione deve essere con forme ai corrispondenti standard o in assenza di specifici standard applicabili deve essere concepito e costruito in modo tale da impedire che l operatore introduca una qualunque parte del suo corpo nella zona di pericolo durante il ciclo operati
88. duli che vi verranno inseriti Si suppone che la scheda 1734 AENT si trovi nello slot 0 pertanto nel caso di due moduli di ingresso e un modulo di uscita lo chassis ha una dimensione pari a 4 10 Nell Organizer del controllore fare clic con il pulsante destro del mouse sulla scheda 1734 AENT e scegliere New Module Module Definition Eryo ES 1 0 Configuration EH 1763 Bus m B in 7s2587 A DIET i fa Ethernet ins eetA DET m J arsanta RENT Ei fl 1209805 10 27651435 01 136 SAFEBOOK 4 Esempio applicativo con SISTEMA 11 Espandere Safety selezionare il modulo 1734 IB8S quindi fare clic su OK E Select Module Description favor asiem a E Digital Other Safety 1734 1885 8 Point 24V DC Sink Input Allen Bradley i 1734 0B8S 8 Point 24V DC Source Output Allen Bradiey Find Add ee 12 Nella finestra di dialogo New Module nominare il dispositivo CellGuard_1 quindi fare clic su Change E New Module General Connection Safety Moduls Info input Configisation Test Quipu Tyre 17244B85 8 Point 24V PC Sirk Input Module Number Mo Balety Neiwod 3689 0253 9008 z 5 10 2010 11 56 34 123 AM 11 Compatible Modua This Controller Irput Data Safety Cutput Data Test Irput Status Combined Status Power Muting gt J 137 Allen Bradley ki m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine 13 Quando si
89. e gestione della sicurezza funzionale PFHp Probabilit di guasti pericolosi per ora intervallo dei test diagnostici SFF percentuale di guasti sicuri guasti sistematici Sistemi di controllo legati alla sicurezza considerazioni strutturali y Su a Sa I snai 106 Cenni generali categorie dei sistemi di controllo guasti non rilevati classificazione di sistemi e componenti considerazioni sui guasti esclusione dei guasti categorie di arresti secondo IEC EN 60204 1 e NFPA 79 requisiti dei sistemi di controllo di sicurezza USA standard per i robot Stati Uniti Canada Esempio applicativo con SISTEMA 130 Esempio applicativo relativo all uso del tool di calcolo dei livelli prestazionali SISTEMA con la libreria dei prodotti per SISTEMA di Rockwell Automation l Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Legislazione e direttive UE Obiettivo di questa sezione fornire una guida per tutti coloro che si occupano di sicurezza delle macchine e in particolare dei sistemi di protezione all interno dell Unione Europea Ed rivolta sia ai progettisti che agli utilizzatori di apparecchiature industriali Per promuovere il concetto di mercato aperto nell Area Economica Europea EEA comprendente gli stati membri UE e altri tre paesi tutti gli stati membri sono tenuti ad adottare una legislazione che definisca i requisiti di s
90. e ma nella pratica il valore massimo impostato al 99 che si pu esprimere come 0 99 La copertura diagnostica il rapporto tra la probabilit dei guasti pericolosi rilevati e la probabilit di tutti i guasti pericolosi Probabilit di guasti pericolosi rilevati Ano Probabilit di guasti pericolosi totali Aptotaie Il valore di copertura diagnostica sar tra zero e uno Tolleranza ai guasti hardware La tolleranza ai guasti hardware rappresenta il numero di guasti che possono essere sostenuti da un sottosistema prima di generare un guasto pericoloso Per esempio una tolleranza ai guasti hardware di 1 significa che 2 guasti potrebbero provocare una perdita della funzione di controllo legata alla sicurezza ma un solo guasto no 103 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Gestione della sicurezza funzionale Lo standard fornisce i requisiti per il controllo delle attivit tecniche e di gestione necessarie all ottenimento di un sistema di controllo elettrico legato alla sicurezza Intervallo dei test diagnostici L intervallo dei test diagnostici rappresenta il tempo dopo cui un sottosistema deve essere totalmente controllato o sostituito per garantire che sia come nuovo In pratica nel settore delle macchine ci si ottiene mediante sostituzione Quindi l intervallo dei test diagnostici corrisponde di solito al ciclo di vita EN ISO 13849 1 2008 fa rifer
91. e a dire che la funzione di reset assicura che entrambi i contattori siano su OFF che entrambi i circuiti di interblocco e quindi le protezioni siano chiusi e anche dal momento che richiesto un cambiamento di stato che l attuatore di reset non sia stato escluso o bloccato in alcun modo Se questi controlli sono soddisfacenti la macchina pu essere riavviata con i normali comandi Lo standard EN ISO 13849 1 prevede un cambiamento dallo stato di ecci tazione allo stato di diseccitazione ma lo stesso effetto di protezione pu anche essere ottenuto dal principio opposto L interruttore di reset deve essere posizionato in un luogo che consenta di vedere bene il pericolo in modo che l operatore possa controllare che non presenti pi rischi prima di utilizzare la macchina Reset automatico manuale Alcuni rel di sicurezza sono dotati di reset automatico manuale La modalit di reset manuale non monitorata e il reset avviene quando il pulsante premuto Un corto circuito o un blocco nel pulsante di reset non sar rilevato Con questo approccio potrebbe non essere possibile soddisfare il requisito di un reset manuale supplemen tare previsto da EN ISO 13849 1 a meno che non siano utilizzati mezzi supplementari In alternativa la linea di reset pu essere collegata con un ponticello consentendo un reset automatico L utente deve quindi fornire un altro meccanismo per evitare l avviamento della macchina quando la porta si chiude
92. e a rispondere ai requisiti della Categoria B e a utilizzare principi di sicurezza di comprovata efficienza il sistema di sicurezza deve essere sottoposto a test per rispondere ai requisiti della Categoria 2 test devono essere concepiti per rilevare guasti nei componenti di sicurezza del sistema di controllo Se non viene rilevato alcun guasto la macchina pu entrare in funzione In presenza di guasti il test deve generare un comando Quando possibile il comando deve portare la macchina in stato di sicurezza Cablaggio Cablaggio A Rilevamento guasti ragionevolmente praticabile Test Il test deve permette di rilevare i guasti in modo ragionevolmente praticabile L apparecchiatura che effettua il test pu essere parte integrante del sistema di sicurezza o uno strumento separato Il test deve essere realizzato nelle seguenti condizioni e alla prima accensione della macchina prima della generazione di un pericolo e periodicamente se ritenuto necessario dalla valutazione dei rischi Nota lo standard EN ISO 138491 1 presuppone che il tasso di richiesta della funzione di sicurezza sia 100 volte inferiore al tasso di richiesta della funzione di test L esempio riportato qui non soddisferebbe tale requisito Le espressioni quando possibile e ragionevolmente praticabile indicano che non tutti i guasti sono rilevabili Trattandosi di un sistema a canale singolo ovvero un unico cavo collega in sequenza ingres
93. e canali sono identici perci il risultato della formula rappresenta indifferentemente l uno o l altro canale Se i canali del sistema sottosistema sono differenti lo standard prevede una formula apposita 1 led MTTFici MTTF4c2 MTTF 3 MTTF4catMTTFd027 Questa in effetti fa una media dei due valori medi Per semplificare le cose anche consentito usare il valore pi sfavorevole tra quelli dei due canali Lo standard raggruppa l MTTFd in tre campi Li MIP Campo MTTFd di ogni canale Basso 3 anni lt MTTFd lt 10 anni Medio 10 anni lt MTTFd lt 30 anni Alto 30 anni lt MTTFd lt 100 anni Livelli di MTTFa Si noti che lo standard EN ISO 13849 1 limita MTTFd utilizzabile di un canale singolo di un sottosistema a un massimo di 100 anni anche se i valori effettivi derivati possono essere molto superiori Come vedremo pi avanti il campo ottenuto dalla media degli MTTFd viene combinato con la categoria di architettura designata e la copertura diagnostica DC per dare una stima preliminare del PL Qui si usa il termine preliminare poich si devono ancora soddisfare altri requisiti ove rilevanti come l integrit sistematica e le misure contro un guasto per causa comune 83 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Metodi di determinazione dei dati Ora dobbiamo approfondire l argomento illustrando i modi in cui il produtt
94. e dei transitori elettrici Riduzione del tempo di risposta Protezione contro gli avviamenti non intenzionali Fissaggio sicuro dei dispositivi di ingresso ad es montaggio di interblocchi Protezione del circuito di controllo secondo NFPA 79 e IEC 60204 1 Corretto collegamento di protezione a massa Il progettista deve selezionare installare e assemblare i componenti secondo le istruzioni del fabbricante Questi dispositivi devono funzionare entro i valori nominali di tensione e corrente previsti Anche le condizioni ambientali previste devono es sere considerate compatibilit elettromagnetica vibrazioni urti contaminazione lavaggi stato usato il principio di diseccitazione nelle bobine del contattore in stallata la protezione dai transitori elettrici l motore protetto contro i sovraccarichi Il cablaggio e la messa a terra rispondono ai corrispondenti standard elettrici Categoria 1 La Categoria 1 richiede che il sistema sia conforme ai termini della Categoria B e che usi componenti di sicurezza di comprovata efficienza Che cosa sono esatta mente i componenti di sicurezza e come sappiamo se sono di comprovata efficienza ISO 13849 2 ci aiuta a rispondere a queste domande per i sistemi elettrici pneumatici idraulici e meccanici L Allegato D tratta i componenti elettrici 108 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali I componenti sono considerati
95. e di sistema Lo standard IEC EN 62061 richiede che i sottosistemi complessi come i PLC di sicurezza siano conformi a IEC 61508 o ad altri standard appropriati Ci significa che per dispositivi che usano componenti programmabili o elettronici complessi IEC 61508 si applica in tutto il suo rigore Questo pu essere un processo molto rigoroso Per esempio la valutazione del PFHp ottenuto da un sottosistema complesso pu essere un processo molto complicato se si usano tecniche come la modellazione di Markov gli schemi a blocchi per l affidabilit o l analisi dell albero dei guasti IEC EN 62061 non fornisce requisiti per la progettazione di sottosistemi di comples sit inferiore Generalmente ci includerebbe componenti elettrici relativamente semplici come interruttori interbloccati e rel di monitoraggio di sicurezza elettro meccanici requisiti non sono complessi come quelli in IEC 61508 ma possono ancora essere piuttosto complicati Lo standard IEC EN 62061 indica quattro architetture logiche dei sottosistemi con relative formule che possono essere usate per valutare il PFHp ottenuto da un sottosistema a bassa complessit Queste architetture sono rappresentazioni puramente logiche e non dovrebbero essere pensate come architetture fisiche Le quattro architetture logiche dei sottosistemi e relative formule sono riportate nei seguenti quattro schemi Per l architettura dei sottosistemi di base mostrata di seguito le pr
96. e fornisce chiarimenti in merito a varie questioni che sono state interpretate in modi diversi Forse una delle problematiche pi significa tive l aspetto dell esclusione dei guasti In generale quando si richiede il livello PLe per l implementazione di una funzione di sicurezza da parte di un sistema di controllo legato alla sicurezza di norma le esclusioni dei guasti non sono considerate sufficienti per raggiungere tale livello prestazionale Ci dipende dalla tecnologia impiegata e dall ambiente operativo previsto Pertanto il progettista deve prestare molta attenzione all uso delle esclusioni dei guasti all aumentare dei livelli PL richiesti In generale l uso delle esclusioni dei guasti non applicabile agli aspetti meccanici de gli interruttori di posizione elettromeccanici e degli interruttori ad azionamento manuale ad es un dispositivo di arresto di emergenza per conseguire il livello PLe nella pro gettazione di un sistema di controllo legato alla sicurezza Le esclusioni dei guasti ap plicabili a specifiche condizioni di guasto meccaniche es usura corrosione rottura sono descritte nella Tabella A 4 di ISO 13849 2 Ad esempio nel caso di un sistema di interblocco di uno sportello che deve raggiungere il livello PLe si dovr prevedere una tolleranza ai guasti minima pari a 1 ad es con due interruttori di posizione meccanici di tipo tradizionale per ottenere tale livello prestazionale dal momento che normalmente non
97. e i diritti di propriet intellettuale del produttore della macchina parzialmente completata Una frase in cui si dichiari che la macchina parzialmente completata non dovr essere messa in servizio fino a quando la macchina finale in cui dovr essere incorporata non sar stata dichiarata conforme alle disposizioni di questa direttiva se appropriato Luogo e data della dichiarazione Identit e firma della persona autorizzata a redigere la dichiarazione per conto del produttore o del rappresentante autorizzato Macchine fornite da Paesi non appartenenti all UE Rappresentanti autorizzati Se un produttore con sede in un Paese non appartenente all UE o SEE esporta delle macchine nell UE dovr incaricare un rappresentante autorizzato Per rappresentante autorizzato si intende una persona fisica o giuridica residente nella Comunit europea che ha ricevuto dal produttore un mandato scritto che la autorizza ad agire per suo conto in relazione agli obblighi e alle formalit connesse alla Direttiva Macchine 10 SAFEBOOK 4 Regolamenti La Direttiva europea Uso delle attrezzature di lavoro Direttiva U W E Tutti i macchinari devono soddisfare i requisiti fondamentali di sicurezza e salute La maggior parte delle macchine e dei componenti di sicurezza diversi da quelli elencati all Allegato IV Le macchine e i componenti di sicurezza elencati all allegato IV Se
98. e primari La forma pi comune di questo tipo di dispositivi rappresentata dai pulsanti rossi a fungo su sfondo giallo che l operatore preme in caso di emergenza Devono essere distribuiti strategicamente e in quantit sufficiente intorno alla macchina per garan tire che ve ne sia sempre uno a portata di mano nell area pericolosa 42 SAFEBOOK 4 Dispositivi e misure di protezione I pulsanti di arresto di emergenza devono essere immediatamente accessibili e disponibili in tutte le modalit di funzionamento della macchina pulsanti utilizzati come dispositivi di arresto di emergenza devono essere a fungo o azionabili con il palmo della mano e di colore rosso su sfondo giallo Quando il pulsante viene premuto i contatti devono cambiare stato non appena il pulsante si blocca in posizione premuta Una delle tecnologie pi recenti per gli arresti di emergenza una tecnica di auto monitoraggio Sulla parte posteriore dell arresto di emergenza viene aggiunto un contatto addizionale che monitora se i componenti del pannello sono presenti Questo sistema il cosiddetto blocco di contatti ad autosorveglianza Consiste in un contatto azionato a molla che si chiude quando il blocco di contatti viene inserito in posizione sul pannello La Figura 80 mostra il contatto di autosorveglianza collegato in serie a uno dei contatti di sicurezza ad apertura diretta Interruttori a fune Per le macchine quali i nastri trasportatori spesso
99. e rfo pia Configuration Test Opu CETO GSO eA Bree cli sis cd 7 Fare clic su Test Output e configurare il modulo come indicato in figura 139 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 General Connection Safety Module info Input Configuration Test Dutput Pont Point Mode Do use j EZE Not Used Rai ESI Nor Used Status Dffine 8 Fare clic su OK 9 Nell Organizer del controllore fare clic con il pulsante destro del mouse sul modulo 1734 OB8S e scegliere Properties 10 Fare clic su Output Configuration e configurare il modulo come indicato in figura EE Module Properties AENT 2 1734 0865 1 1 aith a ti 4 General Connection Safety Module Into Output Configuration Not Used Not Used Safety Pulse Test gt Satety Puise Test x Output Enos Latch Time 1000 me 11 Fare clic su OK 140 SAFEBOOK 4 Esempio applicativo con SISTEMA Programmazione L istruzione DCS Dual Channel Input Stop monitora i dispositivi di sicurezza a dop pio ingresso la cui funzione principale quella di arrestare una macchina in sicu rezza Ad esempio rientrano in questa categoria gli arresti di emergenza le barriere fotoelettriche o i gate di sicurezza Questa istruzione pu solo eccitare l Uscita 1 quando i due ingressi di sicurezza Canale A e Canale B sono in stato attivo dete
100. e sar esposto a un rischio superiore rispetto a quello inizial mente calcolato Questo il rischio effettivo che deve essere stimato Pertanto la stima del rischio deve essere ripetuta considerando ogni prevedibile modifica delle modalit di interazione tra l uomo e la macchina Il risultato di questa attivit serve a controllare che le misure di protezione proposte siano di fatto adeguate Per ulteriori informazioni si rimanda all Allegato A dello standard IEC EN 62061 Formazione dispositivi di protezione personale ecc importante che gli operatori ricevano l addestramento necessario relativo ai metodi di lavoro sicuri per una specifica macchina Questo non significa che le altre misure possano esser omesse Non accettabile limitarsi a dire all operatore che non deve avvicinarsi alle aree pericolose invece di installare le adeguate protezioni Pu anche essere necessario che l operatore usi dispositivi quali guanti speciali occhiali respiratori ecc Il progettista della macchina dovrebbe specificare i tipi di dispositivi necessari L uso di dispositivi di protezione personale non rappresenta il metodo di sicurezza primario ma completa le misure di cui sopra 34 SAFEBOOK 4 Strategia della sicurezza Standard e norme Sono diversi gli standard e i rapporti tecnici che forniscono consigli sulla valutazione dei rischi Alcuni sono di ampia applicabilit mentre altri riguardano applicazioni specifiche Quella che segue
101. e semplificata e sommaria importante per capire che devono essere applicate tutte le disposizioni indicate nello standard Tuttavia abbiamo un aiuto a portata di mano Esiste un tool software chiamato SISTEMA che supporta l utente per quanto riguarda gli aspetti della documentazione e del calcolo consentendo anche di produrre un dossier tecnico Al momento della stampa della presente pubblicazione SISTEMA disponibile in tedesco e in inglese ma saranno presto rilasciate versioni in altre lingue BGIA l azienda sviluppatrice di SISTEMA un istituto tedesco di ricerca e prove molto co nosciuto In particolare si occupa di trovare soluzioni a problemi tecnici e scientifici riguardanti la sicurezza nel settore delle assicurazioni contro gli infortuni e la pre venzione in Germania Collabora con agenzie che operano nel campo della sicu rezza e salute occupazionale in oltre venti paesi tecnici BGIA e i loro colleghi della 74 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 BG hanno dato un grande contribuito alla stesura di entrambe le norme EN ISO 13849 1 e IEC EN 62061 Rockwell Automation mette a disposizione una libreria dei propri dispositivi di sicurezza da utilizzare con SISTEMA disponibile sul seguente sito www discoverrockwellautomation com safety A prescindere da come viene effettuato il calcolo del PL importante partire dalla giusta base Dobbiamo vedere il nostro sistema con gli
102. el personale Ma i DPP non sono considerati sistemi di sicurezza funzionale Il termine sicurezza funzionale stato introdotto nello standard IEC 61508 1998 Da allora stato talvolta associato solo ai sistemi di sicurezza programmabili Ma si tratta di una idea sbagliata La sicurezza funzionale copre un ampia gamma di dispositivi che vengono usati per creare sistemi di sicurezza Dispositivi come interblocchi barriere fotoelettriche rel di sicurezza PLC di sicurezza contattori di sicurezza e azionamenti di sicurezza sono interconnessi per formare un sistema di sicurezza che realizza una specifica funzione di sicurezza Questa sicurezza funzionale Quindi la sicurezza funzionale di un sistema di controllo elettrico altamente inerente al controllo dei pericoli proveniente dalle parti mobili di una macchina Per la sicurezza funzionale sono necessari due tipi di requisiti la funzione di sicurezza e l integrit della sicurezza La valutazione dei rischi svolge un ruolo chiave nello sviluppo dei requisiti di sicu rezza funzionale L analisi delle attivit e dei pericoli consente di definire i requisiti funzionali per la sicurezza ossia la funzione di sicurezza Dalla quantificazione dei rischi si ottengono invece i requisiti di integrit della sicurezza ossia il livello di integrit della sicurezza o livello prestazionale Di seguito sono riportati quattro dei pi significativi standard di sicurezza funzi
103. erazione e che il principio fondamentale non venga perso di vista nei dettagli Innanzitutto l intero processo dovrebbe essere documentato Questo non solo assicura l esecuzione di un lavoro pi accurato ma consente anche di rendere disponibili i risultati affinch siano controllati da terzi Questa sezione rivolta sia ai produttori sia agli utilizzatori di macchine Il produttore deve garantire che la macchina possa essere utilizzata in sicurezza La valutazione dei rischi dovrebbe essere iniziata in fase di progettazione e dovrebbe considerare tutte le attivit previste per la macchina Questo approccio basato sulle attivit nella fase preliminare di valutazione dei rischi molto importante Ad esempio pu esserci l esigenza di regolare le parti mobili della macchina In fase progettuale dovrebbe essere possibile prevedere misure che consentano di realizzare in sicurezza queste operazioni Se ci non avviene in una fase preliminare pu essere difficile o impossi bile farlo in una fase successiva Il risultato potrebbe essere che la regolazione delle parti mobili deve comunque essere realizzata ma in mancanza di sicurezza o in modo inefficiente o entrambi Una macchina per la quale siano state considerate tutte le attivit durante la valutazione dei rischi sar pi sicura ed efficiente L utilizzatore o il datore di lavoro deve garantire che le macchine nell ambiente di lavoro siano sicure Anche se una macchina stata dic
104. ercato macchine che non presentino pericoli Negli Stati Uniti un fornitore pu vendere una macchina senza alcuna protezione Spetta all utente il compito di dotare la macchina delle protezioni necessarie a renderla sicura Sebbene questa fosse una pratica comune quando la legge stata approvata la tendenza attuale quella di fornire macchine dotate di protezioni poich concepire una macchina completa di tutti i dispositivi di sicurezza necessari molto pi economico che ag giungere le protezioni dopo la progettazione e la costruzione Al fine di conformarsi agli standard fornitori e utilizzatori dovranno comunicare in modo efficace in rela zione ai requisiti di protezione in modo da consentire la costruzione di macchine non solo sicure ma anche pi produttive Il Secretary of Labor ha l autorit di promulgare come standard di salute e sicu rezza sul lavoro qualunque standard che goda di consenso nazionale e qualunque standard federale stabilito a meno che la promulgazione di tale standard non risulti in un miglioramento delle condizioni di sicurezza e salute solo di certe categorie L OSHA svolge questo ruolo pubblicando regolamenti al Titolo 29 del Code of Federal Regulation 29 CFR Gli standard che riguardano le macchine industriali sono pubblicati dal OSHA nella Parte 1910 del 29 CFR Questi standard sono disponibili sul sito web OSHA www osha gov Diversamente da molti standard la cui applicazione volontaria gli
105. errori e quindi i guasti Tra queste misure figurano ad esempio l utilizzo di materiali e tecniche di produzione idonei revisioni analisi e simulazioni al computer Vi sono poi eventi prevedibili e caratteristiche che possono verificarsi nell ambiente operativo che potrebbero causare un guasto a meno che il loro effetto non venga controllato L allegato G comprende anche misure a questo riguardo Ad esempio facilmente prevedibile che si possano verificare occasionali interruzioni dell alimentazione Perci in caso di diseccitazione dei componenti il sistema deve rimanere in uno stato sicuro Anche se possono sembrare solo dettate dal buon senso cosa che peraltro vera queste misure sono essenziali Gli altri requisiti dello standard hanno senso solo se viene prestata la dovuta considerazione al controllo e alla prevenzione dei guasti sistematici Ci a volte richiede gli stessi tipi di misure utilizzate per il controllo di guasti hardware casuali per ottenere il PFHp richiesto come test di autodiagnosi e hardware ridondante Esclusione dei guasti Uno dei principali strumenti di analisi per i sistemi di sicurezza l analisi dei guasti Il progettista e l utilizzatore devono capire come funziona il sistema di sicurezza in presenza di guasti Sono molte le tecniche disponibili per realizzare questa analisi Per esempio analisi dell albero dei guasti analisi dei modi degli effetti e della criticit dei guasti analisi dell alber
106. etti 6 875 mm ma non meno di zero Per un avvicinamento normale a una barriera fotoelettrica o a uno scanner la cui sensibilit agli oggetti inferiore a 40 mm gli standard ISO e EN usano C 8 x Sensibilit oggetti 14 mm ma non meno di 0 Queste due formule hanno un punto di convergenza a 19 3 mm Per sensibilit agli oggetti inferiori a 19 mm lo standard US CAN pi restrittivo dato che la barriera fotoelettrica o lo scanner dell area devono essere maggiormente allontanate dal pericolo Per sensibilit agli oggetti superiori a 19 3 mm pi restrittivo lo standard ISO EN I costruttori che intendono commercializzare le loro macchine in tutto il mondo devono prevedere le condizioni peggiori di entrambe le equazioni 60 SAFEBOOK 4 Calcolo delle distanze di sicurezza Applicazioni reach through attraversamento Quando si utilizzano sensibilit agli oggetti pi grandi gli standard US CAN e ISO EN differiscono leggermente sul fattore di penetrazione in profondit e sulla sensibilit agli oggetti Il valore ISO EN di 850 mm mentre il valore US CAN 900 mm Gli stan dard differiscono anche nella sensibilit agli oggetti Lo standard ISO EN ammette va lori compresi tra 40 e 70 mm mentre lo standard US CAN ammette fino a 600 mm Applicazioni reach over superamento Entrambi gli standard stabiliscono che l altezza minima del raggio pi basso dovrebbe essere di 300 mm ma differiscono
107. etto alle protezioni meccaniche Sono perfette per le applicazioni in cui il personale necessita di accedere frequentemente e facilmente a un punto di lavoro pericoloso 38 SAFEBOOK 4 Dispositivi e misure di protezione Le barriere fotoelettriche sono concepite e testate per rispondere a IEC 61496 1 e 2 Non esiste una versione EN armonizzata della parte 2 pertanto l Allegato IV della Direttiva Macchine europea richiede la certificazione delle barriere fotoelettri che da parte di organismi terzi prima della commercializzazione nella Comunit Europea Gli organismi terzi testano le barriere fotoelettriche per verificarne la con formit a questo standard internazionale Underwriter s Laboratory ha adottato IEC 61496 1 come standard nazionale USA Laser scanner di sicurezza laser scanner di sicurezza sono dotati di uno specchio rotante che deflette gli impulsi luminosi su un arco creando un piano di rilevamento La posizione dell oggetto determinata dall angolo di rotazione dello specchio Usando la tecnica time of flight tempo di volo di un raggio riflesso di luce invisibile lo scanner pu rilevare anche la distanza dell oggetto dallo scanner stesso Considerando la distanza misurata e la posizione dell oggetto il laser scanner ne determina la posizione esatta Pedane di sicurezza sensibili alla pressione Questi dispositivi servono a proteggere un area a pavimento intorno alla macchina Una matrice di pedane
108. ezione anche se un pulsante di emergenza premuto una sola volta al mese il circuito sar in grado di comunicare correttamente con il PLC di sicurezza processore ndirizzo p l ID I see Jo lT COMPARE Test de De bh Micro processore Schema a blocchi del modulo di ingressi di sicurezza Le uscite del PLC di sicurezza sono elettromeccaniche o di sicurezza allo stato solido Come i circuiti di ingresso anche i circuiti di uscita sono testati diverse volte al secondo per verificare che possano disattivare le uscite L uscita che non dovesse rispondere correttamente viene disattivata dalle altre due e il guasto riportato dal circuito di monitoraggio interno Quando si usano dispositivi di sicurezza con contatti meccanici pulsanti di emer genza interblocchi ecc l utilizzatore pu applicare segnali di prova a impulsi per rilevare i guasti incrociati Per limitare i costi legati alle uscite di sicurezza molti PLC di sicurezza sono dotati di specifiche uscite a impulsi che possono essere collegate a dispositivi a contatto meccanico Software La programmazione dei PLC di sicurezza molto simile a quella dei PLC standard Il sistema operativo gestisce la diagnostica aggiuntiva e il controllo degli errori in modo che tale compito non spetti al programmatore Per molti PLC di sicurezza sono utiliz zate speciali istruzioni di scrittura del programma per il sistema di sicurezza e queste istruzioni
109. ficial mente da ANSI nel 1962 molto simile nel contenuto allo standard IEC 60204 1 Le macchine che non sono coperte da standard specifici OSHA devono essere prive dei rischi riconosciuti e che possono provocare il decesso o danni personali gravi Tali macchine devono essere progettate e sottoposte a manutenzione almeno conformemente agli standard industriali applicabili NFPA 79 uno standard che si applica alle macchine non specificamente coperte dagli standard OSHA 21 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Standard canadesi Gli standard CSA riflettono il consenso nazionale di produttori e utilizzatori tra cui produttori consumatori rivenditori associazioni organizzazioni professionali e agenzie governative Gli standard sono ampiamente usati dall industria e dal com mercio e spesso adottati nei regolamenti di governi municipali provinciali e fede rali soprattutto nei campi della salute della sicurezza dell edilizia e dell ambiente Privati societ e associazioni di tutto il Canada sostengono attivamente lo sviluppo degli standard CSA dedicando in qualit di volontari tempo e capacit al lavoro del Comitato CSA e supportando gli obiettivi dell associazione attraverso la loro attiva partecipazione Il CSA pu contare in totale su pi di 7 000 volontari dei comitati e 2 000 soci sostenitori Lo Standards Council of Canada l organo di coordi
110. generano una firma che consente di tracciare le eventuali modi fiche apportate Questa firma di solito una combinazione di programma configura zione ingressi uscite e registrazione cronologica Quando il programma terminato e convalidato l utente dovrebbe registrare questa firma tra i risultati di convalida per futuro riferimento Se il programma ha bisogno di modifiche richiesta una nuova convalida e la registrazione di una nuova firma Per impedire modifiche non autorizzate il programma pu anche essere bloccato con una password Il cablaggio dei sistemi a logica programmabile semplificato rispetto a quello dei rel di monitoraggio di sicurezza Anzich essere cablati a terminali specifici dei rel di monitoraggio di sicurezza i dispositivi di ingresso sono collegati a qualunque terminale di ingresso e i dispositivi di uscita a qualunque terminale di uscita terminali sono poi assegnati mediante software Controllori di sicurezza integrati Attualmente le soluzioni di controllo di sicurezza offrono la completa integrazione in una singola architettura di controllo in cui le funzioni di controllo di sicurezza e quelle standard risiedono e lavorano insieme La capacit di realizzare task di movi mento azionamento processo batch sequenziali ad alta velocit e sicurezza SIL3 in un controllore offre notevoli vantaggi L integrazione di controllo standard e di sicurezza consente di utilizzare strumenti e tecnologie co
111. gio Monitoraggio incrociato Dispositivo Cablaggio Dispositivo di ingresso di uscita P TELEETE Monitoraggio Categoria di architettura designata 4 La categoria di architettura designata 4 deve usare i principi di sicurezza base vedere allegato dello standard EN ISO 13849 2 Lo schema dei requisiti simile alla categoria 3 ma richiede un monitoraggio pi ampio cio una maggiore copertura diagnostica Ci indicato dalle linee tratteggiate pi marcate che rappresentano le funzioni di monitoraggio In sostanza la differenza tra le categorie 3 e 4 che per la categoria 3 deve essere rilevata la maggior parte dei guasti mentre per la categoria 4 devono essere rilevati tutti i guasti singoli La DC deve essere almeno del 99 Anche le combinazioni di guasti non devono causare un guasto pericoloso Dati di affidabilit Lo standard EN ISO 13849 1 utilizza dati quantitativi di affidabilit dei componenti nel calcolo del PL ottenuto dalle parti di un sistema di controllo legate alla sicurezza Questa una importante divergenza rispetto al EN 954 1 La prima domanda che si pone qual la fonte di questi dati anche possibile ricorrere a dati di affidabi lit attendibili ma lo standard afferma chiaramente che la fonte preferita il produt tore A tal fine Rockwell Automation sta mettendo a disposizione le informazioni pi rilevanti sotto forma di libreria per il software SISTEMA In seguito i dati verranno a
112. golazione delle macchine che come i pulsanti di arresto di emergenza vengono utilizzate raramente Anche in questo caso dovrebbe essere stabilito un programma per verificarne la funzionalit a intervalli programmati La valutazione del rischio aiuta a determinare se i dispositivi di ingresso devono essere controllati e con quale frequenza Pi alto il livello del rischio maggiore l integrit richiesta al processo di verifica Minore la frequenza del controllo automatico maggiore deve essere la frequenza della verifica manuale imposta Rilevamento dei guasti incrociati dei dispositivi di ingresso Nei sistemi a due canali il sistema di sicurezza deve rilevare i guasti di cortocircuito tra canali dei dispositivi di ingresso chiamati anche guasti incrociati Questo avviene tramite il dispositivo di rilevamento o il rel di monitoraggio di sicurezza 47 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine I rel di monitoraggio di sicurezza a microprocessore come barriere fotoelettriche laser scanner e sensori avanzati senza contatto rilevano questi cortocircuiti in molti modi Un modo comune di rilevare i guasti incrociati il test con impulsi diversi Gli impulsi dei segnali di uscita sono molto rapidi L impulso del canale 1 sfasato rispetto a quello del canale 2 Se si verifica un corto gli impulsi sono simultanei e vengono rilevati dal dispositivo
113. gono i seguenti due elementi ricavati dalla precedente tabella Elementi per la considerazione dei SIL 99 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 B la suscettibilit a guasti per causa comune Beta T1 l intervallo dei test diagnostici o ciclo di vita a seconda di qual il pi breve Il test diagnostico concepito per rilevare i guasti e il degrado del sottosistema di sicurezza in modo che il sottosistema possa essere riportato a una condizione operativa In termini pratici in tal caso si rende necessaria una sostituzione come nel caso del termine equivalente ciclo di vita mission time dello standard EN ISO 13849 1 Il prossimo schema mostra la rappresentazione funzionale di un sistema con tolleranza zero guasti con una funzione diagnostica La copertura diagnostica serve a ridurre la probabilit di guasti hardware pericolosi test di autodiagnosi vengono realizzati automaticamente La definizione di copertura diagnostica identica a quella riportata nello standard EN ISO 13849 1 ossia il rapporto del tasso dei guasti pericolosi rilevati rispetto al tasso di tutti i guasti pericolosi Elemento sottosistema n Den Elemento sottosistema 1 1 Det Funzione i di diagnostica Architettura logica sottosistema C Apssc Ape 1 DC1 Apen 1 DCn PFHpssc Apssc x 1h Queste formule includono la copertura di
114. he applicarsi ai componenti del sistema Tool software per il calcolo dei livelli prestazionali SISTEMA SISTEMA un tool software per l implementazione di EN ISO 13849 1 che semplifica notevolmente l applicazione dello standard SISTEMA sta per Safety Integrity Software Tool for the Evaluation of Machine Appli cations stato sviluppato in Germania dalla BGIA ed utilizzabile gratuitamente Come si vedr pi avanti in questa sezione richiede l inserimento di vari tipi di dati relativi alla sicurezza funzionale I dati possono essere inseriti manualmente o automaticamente utilizzando una libreria SISTEMA del produttore La libreria SISTEMA di Rockwell Automation a disposizione degli utenti e pu essere scaricata utilizzando un link al sito di download di SISTEMA accessibile da www discoverrockwellautomation com safety Cenni generali su EN ISO 13849 1 Questo standard ha un campo di applicazione molto ampio dato che vale per tutte le tecnologie elettrica idraulica pneumatica meccanica ecc Sebbene ISO 13849 1 sia applicabile ai sistemi complessi per i sistemi complessi con software integrato rimanda anche il lettore a IEC 62061 e IEC 61508 Di seguito verranno esaminate le differenze principali tra il vecchio standard EN 954 1 e il nuovo EN ISO 13849 1 Nel vecchio standard si parlava di categorie B 1 2 3 e 4 Nel nuovo standard invece si parla di Livelli prestazionali PL a b c d ed e Il concetto
115. hiarata sicura dal produttore l utilizzatore dovrebbe comunque procedere a una valutazione dei rischi per determi nare se l apparecchiatura sicura nel proprio ambiente di installazione Le macchine vengono spesso usate in circostanze che il produttore non pu prevedere Ad esem pio una fresatrice usata in un laboratorio scolastico richieder che vengano fatte ulteriori considerazioni rispetto al caso di una fresa usata in un officina industriale Occorre inoltre ricordare che se una societ utilizzatrice acquista due o pi macchine indipendenti e le integra all interno di un processo diventa a sua volta produttrice della macchina combinata risultante Vediamo ora i passaggi principali verso la definizione di una adeguata strategia di sicurezza Quanto segue pu essere applicato alle installazioni gi esistenti in fabbrica o a una macchina nuova singola 24 SAFEBOOK 4 Strategia della sicurezza Valutazione dei rischi errato considerarla come un onere invece una procedura utile che fornisce informazioni essenziali e consente all utente o al progettista di prendere decisioni ragionate sui metodi per garantire la sicurezza Esistono vari standard che trattano questo argomento ISO 14121 Principi per la valutazione dei rischi e ISO 12100 Sicurezza delle macchine Principi di base contiene le istruzioni pi utilizzate a livello globale Qualunque sia la tecnica usata per la valutazione dei rischi un
116. i mento a questo come ciclo di vita Un test diagnostico un controllo che permette di rilevare i guasti e l usura di un SRCS in modo da poterlo riportare per quanto possibile come nuovo Il test diagnostico deve rilevare il 100 di tutti i guasti pericolosi Canali separati devono essere testati separatamente Diversamente dai test delle funzioni di autodiagnosi che sono automatici i test dia gnostici vengono generalmente realizzati manualmente e offline Essendo automa tici i test di autodiagnosi sono realizzati pi spesso rispetto ai test funzionali che in vece vengono realizzati raramente Per esempio i circuiti collegati all interruttore di interblocco di una protezione possono essere testati automaticamente per cortocir cuiti o interruzioni con i test diagnostici ad es a impulsi L intervallo dei test diagnostici deve essere dichiarato dal produttore Talvolta il produttore fornisce una serie di intervalli dei test diagnostici differenti SFF percentuale di guasti sicuri La percentuale di guasti sicuri simile alla copertura diagnostica ma considera anche qualunque tendenza intrinseca a generare un guasto in stato di sicurezza Per esempio un fusibile bruciato un guasto ma altamente probabile che si risolva in una interruzione di circuito che in molti casi un guasto sicuro SFF la somma del tasso di guasti sicuri pi il tasso di guasti pericolosi rilevati viene diviso per la so
117. i a monte o a valle possano influire sulla sicurezza della macchina Un eventuale guasto all alimentazione o ad un circuito di controllo non deve provocare situazioni pericolose Le macchine devono essere stabili e in grado di resistere alle sollecitazioni prevedibili Non devono presentare spigoli o superfici che possano causare ferite SAFEBOOK 4 Regolamenti necessario utilizzare protezioni o dispositivi di protezione che evitino l insorgenza di rischi dovuti ad esempio a parti in movimento Tali dispositivi devono essere robusti e difficili da escludere Le protezioni fisse devono essere montate in modo che possano essere rimosse solo con l ausilio di utensili Le protezioni mobili devono essere inter bloccate Le protezioni regolabili non devono richiedere l uso di utensili Occorre evitare l insorgenza di rischi di natura elettrica o legati all alimentazione Il rischio di lesioni dovute a temperatura esplosione rumore vibrazione polvere gas o radiazioni deve essere minimo Devono essere previste disposizioni appropriate per la manutenzione e la riparazione Devono inoltre essere forniti dispositivi di indicazione e allarme sufficienti Macchinari devono esser forniti completi delle istruzioni per l installazione l uso la regolazione ecc sicuri Valutazione di conformit Il progettista o qualsiasi altro organismo responsabile deve essere in grado di attestare la conformit ai requisiti EHSR Questo dossier dovreb
118. i base illustrati nella sezione dedicata a EN ISO 13849 1 per determinare i tassi di guasto a livello di compo nente Per i componenti meccanici ed elettronici valgono le stesse disposizioni e gli stessi metodi Lo standard IEC EN 62061 non fa riferimento al MTTFd in anni Il tasso di guasto allora A viene calcolato direttamente oppure ricavato o derivato dal valore B10 applicando la seguente formula 0 1 x C B10 dove C numero di cicli operativi all ora Vi una differenza significativa tra i due standard per quanto riguarda la metodolo gia di calcolo del PFHp totale di un sottosistema o sistema Per determinare la pro babilit di guasto dei sottosistemi occorre analizzare i componenti Vengono propo ste delle formule semplificate per il calcolo delle architetture di sottosistemi comuni descritti pi avanti nel testo Nei casi in cui tali formule non sono adatte neces sario utilizzare metodi di calcolo pi complessi come i modelli di Markov Le probabi lit di guasti pericolosi PFHp dei singoli sottosistemi vengono quindi sommate per determinare il PFHp totale del sistema La tabella 15 Tabella 3 dello standard pu quindi essere utilizzata per determinare il livello di integrit della sicurezza Safety Integrity Level SIL appropriato per tale intervallo di PFHp oss 1 8 X Apet X pe2 X Ti B x Apet Ape2 2 Le formule relative a questa architettura prendono in considerazione la configura zione
119. ibile per le attrezzature che funzionano indipendente mente o che modificano la funzione della macchina 9 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine La Dichiarazione di incorporazione deve contenere le seguenti informazioni e Ragione sociale e indirizzo completo del produttore della macchina parzialmente completata e se appropriato del rappresentante autorizzato Nome e indirizzo della persona autorizzata a redigere la documentazione tecnica applicabile che deve essere residente nella Comunit nel caso di un produttore con sede al di fuori dell UE pu essere il Rappresentante autorizzato Descrizione e identificazione della macchina parzialmente completata comprendente denominazione generica funzione modello tipo numero di serie e nome commerciale Una frase in cui si indichino i requisiti essenziali di questa direttiva applicati soddisfatti e in cui si dichiari che la documentazione tecnica applicabile stata compilata in conformit con la parte B dell Allegato VII e se appro priato una frase in cui si dichiari la conformit della macchina parzialmente completata ad altre direttive applicabili Un impegno a trasmettere in risposta a una richiesta circostanziata da parte delle autorit nazionali informazioni rilevanti in merito alla macchina parzialmente completata Si dovr indicare il metodo di trasmissione che non dovr comprometter
120. icazione devono essere considerati velocit e allineamento dell attuatore arresti meccanici e protezione della testa 121 Allen Bradley m SAFEBOOK 4 T Sistemi di controllo legati alla sicurezza delle macchine Se il progettista del sistema di sicurezza preferisce usare interblocchi con attuatore e non utilizzare l esclusione dei guasti sugli interblocchi per rispondere alla Categoria 4 possono essere usati due interblocchi con attuatore Lo stesso rel di monitoraggio di sicurezza deve essere classificato adatto alla Categoria 4 ed entrambi i contattori di uscita con contatti ad accoppiamento meccanico devono essere monitorati La diversit pu essere applicata per ridurre ulteriormente la probabilit di perdita della funzione di sicurezza dovuta a guasti per causa comune o di modo comune uno degli interruttori interbloccati con attuatore pu essere convertito in modalit negativa Un interruttore che funziona in modalit negativa accettabile se un secondo interruttore usa contatti ad azione di apertura diretta Lo schema che segue mostra un esempio di questo approccio di diversit Con questo approccio PMSR deve essere concepito per accettare ingressi normalmente aperti e normalmente chiusi Modalit negativa Arresto Rel di monitoraggio n di sicurezza Protezione chiusa Interruttori con attuatore Terra Categoria 4 con interblocchi ridondanti diversi con attuatore Classificazione di sis
121. ico dei materiali modifiche e regolazioni ordinarie degli utensili controllo dei livelli di lubrificazione e rimozione del materiale di scarto Queste attivit devono essere di routine ripetitive e inte granti nell utilizzo dell apparecchiatura di produzione e il lavoro realizzato usando misure di protezione alternative che forniscono effettiva protezione Tra queste mi sure ci sono le protezioni interbloccate le barriere fotoelettriche e le pedane di sicu rezza Usate con adeguati dispositivi di uscita e logici di sicurezza gli operatori pos sono accedere in sicurezza alle zone di pericolo della macchina per le normali attivit di produzione o di assistenza 64 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza e sicurezza funzionale Sistemi di controllo legati alla sicurezza Introduzione Che cos un sistema di controllo legato alla sicurezza spesso abbreviato SRCS Si tratta della parte di un sistema di controllo di una macchina atta a impedire che si verifichi una condizione pericolosa Pu essere un sistema dedicato separato o essere integrato all interno del normale sistema di controllo della macchina La sua complessit va da un sistema semplice come l interruttore di interblocco di una porta e l interruttore per un arresto di emergenza collegati in serie fino alla bobina di controllo di un contattore di potenza o a un sistema composto che comprende sia dispositivi semplici sia complessi comunicanti a
122. icurezza che per ANSI B11 TR3 forniscono una riduzione dei rischi medio alta includono sistemi di controllo con ridondanza e autodiagnostica all avviamento per confermare la funzionalit del sistema di sicurezza Per le macchine che vengono avviate ogni giorno l autodiagnostica rappresenta un significativo miglioramento dell integrit della sicurezza rispetto a un sistema puramente ridondante Per le macchine che funzionano 24 ore al giorno 7 giorni su 7 l autodiagnostica nella migliore delle ipotesi un miglioramento marginale Con il monitoraggio periodico del sistema di sicurezza si allinea con la Categoria 3 Livello massimo di riduzione dei rischi ANSI B11 TR83 identifica la pi alta riduzione dei rischi con sistemi di controllo ridondanti e con autodiagnostica continua L autodiagnostica deve verificare la funzionalit del sistema di sicurezza L obiettivo per il progettista del sistema di sicurezza determinare che cosa si intende per autodiagnostica continua Molti sistemi di sicurezza effettuano i loro controlli all avviamento e in presenza di una richiesta di intervento al sistema di sicurezza Alcuni componenti d altra parte effettuano una autodiagnostica continua Le barriere fotoelettriche per esempio accendono e spengono sequenzialmente i loro LED Se si verifica un guasto la barriera fotoelettrica disattiva le sue uscite prima della richiesta di intervento al sistema di sicurezza dato che esso si c
123. icurezza fondamentali per le macchine e il loro uso Le macchine che non soddisfano tali requisiti non possono essere commercializzate all interno dei paesi EEA Esistono diverse direttive europee applicabili alla sicurezza delle apparecchiature e delle macchine industriali ma le due pi importanti sono le seguenti 1 La Direttiva Macchine 2 La Direttiva sull uso delle attrezzature di lavoro da parte dei lavoratori durante il lavoro Queste due direttive sono direttamente correlate e i requisiti essenziali per la salute e la sicurezza EHSR previsti dalla Direttiva Macchine possono essere utilizzati per confermare la sicurezza delle attrezzature descritta nella direttiva sull uso delle attrezzature di lavoro Questa sezione descrive alcuni aspetti di entrambe le direttive Chi si occupa di progettazione fornitura acquisto o utilizzo delle attrezzature industriali all interno dei paesi SEE e di alcuni altri paesi europei dovrebbe prendere conoscenza dei requisiti previsti da tali testi fornitori e gli utilizzatori di macchine che non agiscono conformemente a tali direttive non potranno fornire o operare in questi paesi Vi sono altre Direttive europee che potrebbero essere applicabili alle macchine La maggior parte di queste piuttosto specialistica nell applicazione e per questo motivo tali testi non saranno trattati nella presente sezione tuttavia importante notare che laddove pertinente i loro requisiti devono com
124. iey 1738 Ethernet Ad pte Twisted Pair Media Allen Bradley 1738 Ethernet Adapte 2 Port Twisted Par Media Allen Bradley I 1756 E N2F 1756 10 100 Mbps Ethernet Bridge Fiber Media Allen Bradley i 1756 EN2T 1756 10 100 Mbps Ethernet Bridge Twisted Pair Media Allen Sradiey 1756 ENZIR 1756 10 100 Mbps Ethernet Bridge 2 Port Twisted Pair Allen Bradley I 1756 ENITR 1756 10 100 Mbps Ethernet Bridge 2 Port Twisted Pair Allen Bradley 1756 ENST 1756 10 100 Mbps Ethernet Bridge Twisted Pair Media Allen Sradley 1756 ENET A 1756 Ethernet Communication Interface Allen Bradley i 1756 ENET 1756 Ethernet Communication Interface Allen Bradley ju 1756 EWEB A 1756 10 100 Mbps Ethernet Bridge w Enhanced Web Serv Allen Bradley Find Edd Favorite 135 Allen Bradley m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine 7 Nominare il modulo digitare il relativo indirizzo IP quindi fare clic su OK In questo esempio stato utilizzato l indirizzo 192 168 1 11 L indirizzo dell utente pu essere diverso 8 Fare clic su Change General Connection Module lnia Intemet Protocol Port Configuration Chassis Size Type 1734AENT 1234 Ethemet Adapter TwistedPar eda Vendor Allen Bradley Parent Name Desctiplioni 9 Impostare la dimensione dello chassis 4 per la scheda 1734 AENT e fare clic su OK La dimensione dello chassis data dal numero di mo
125. ificato il guasto dobbiamo essere pronti a reagire e mettere il sistema in uno stato sicuro Il seguente schema mostra l inserimento di misure diagnostiche ottenute con tecniche di monitoraggio Sottosistema Sottosistema Sottosistema di ingresso logico di uscita Monitoraggio Monitoraggio Interruttore di finecorsa SmartGuard 600 Contattore di sicurezza Diagnostica con un sistema di sicurezza a doppio canale Di solito ma non sempre il sistema comprende due canali in tutti i suoi sottosistemi Pertanto in questo caso ogni sottosistema ha due sottocanali Lo standard li descrive come blocchi Un sottosistema a due canali avr minimo due blocchi e un sottosistema a canale singolo avr minimo un blocco possibile che alcuni sistemi comprendano una combinazione di blocchi a canale doppio e singolo Se vogliamo analizzare il sistema in maniera pi approfondita necessario considerare i componenti dei blocchi Il tool SISTEMA usa il termine di elementi per questi componenti 77 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Sottosistema Sottosistema Sottosistema Elemento aa Elemento gt di ingresso di uscita ran CANALE 1 e gl e gl 10 A mento e Sla _ dee SmartGuard 600 Contattore di sicurezza di gui Diagnostica Diagnostica CANALE 2 Sistema suddiviso con diagnostica con un sistema di sicurezza a doppio canale Il
126. ingolo Il livello successivo il sistema di controllo di sicurezza a canale singolo che basato su hardware o un dispositivo software firmware di sicurezza integra componenti di sicurezza e utilizzato secondo le raccomandazioni dei produttori e usa configurazioni di circuito comprovate Un esempio di configurazione di circuito comprovata un dispositivo elettromec canico ad apertura positiva e a singolo canale che segnala un arresto in stato di diseccitazione Trattandosi di un sistema a canale singolo il guasto di un singolo componente pu comportare la perdita della funzione di sicurezza La categoria Semplice strettamente allineata con la Categoria 1 di EN 9541 1996 Dispositivi software firmware di sicurezza Sebbene i sistemi hardware siano stati il metodo preferito per la protezione di sicurezza dei robot i dispositivi software firmware si stanno affermando sempre maggiormente grazie alla loro capacit di gestire sistemi complessi dispositivi software firmware PLC o controllori di sicurezza sono ammessi purch siano di sicurezza Questa classificazione impone che un singolo guasto del firmware o di un componente di sicurezza non comporti la perdita della funzione di sicurezza Quando il guasto viene rilevato il successivo funzionamento automatico del robot viene impedito fino alla cancellazione del guasto 127 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H
127. ingolo che quando viene azionato segnala la disattivazione dell alimentazione da una coppia di contattori ridondanti relativi a tale zona Questa configurazione replicata nella seconda zona Le due zone inoltre sono protette da un arresto di emergenza globale che all attivazione segnala lo spegnimento sicuro di entrambe le zone Nota questo esempio riportato esclusivamente a titolo illustrativo A causa delle molteplici variabili e dei requisiti associati a ogni installazione specifica Rockwell Automation non pu assumersi alcuna responsabilit per un uso basato su questo esempio Caratteristiche e vantaggi e Compact GuardLogix consente di gestire sia applicazioni standard che di sicurezza in un unico controllore possibile combinare I O standard e di sicurezza sulla stessa scheda Ethernet Lo stato di sicurezza e la diagnostica possono essere trasferiti facilmente dall applicazione di sicurezza all applicazione standard per la visualizzazione sull interfaccia operatore e trasferiti in remoto ad altri dispositivi collegati attraverso la rete Ethernet L applicazione qui descritta pu essere ampliata e incorporata nell applicazione specifica del cliente Descrizione Questa applicazione permette di monitorare due zone Ciascuna zona protetta da un interruttore di sicurezza SensaGuard Se uno dei due gate viene aperto i contat tori di uscita vengono diseccitati determinando lo spegnimento delle ma
128. interconnesse viene disposta intorno all area pericolosa e qualsiasi pressione esercitata sulla pedana ad esempio il passo di un operatore far s che l unit di controllo della pedana tolga alimentazione alla fonte di pericolo Le pedane sensibili alla pressione sono spesso usate nell ambito di un area recintata contenente diverse macchine ad esempio nelle celle automatizzate flessibili di produzione o a robot Quando necessario accedere alla cella ad es per operazioni di regolazione o per istruire un robot le pedane impediscono movimenti pericolosi se l operatore si allontana dalla zona sicura o deve recarsi dietro a una parte dell apparecchiatura Le dimensioni e il posizionamento della pedana devono considerare la distanza di sicurezza Bordi sensibili alla pressione Questi dispositivi sono strisce di bordatura flessibili che possono essere montate sui bordi di una parte in movimento ad esempio un piano macchina o una porta auto matica che potrebbero schiacciare o ferire gli operatori Se la parte in movimento urta l operatore o viceversa il bordo sensibile flessibile viene premuto comandando l interruzione dell alimentazione del componente peri coloso bordi sensibili possono inoltre essere usati per proteggere le macchine che potrebbero intrappolare l operatore Se un operatore resta intrappolato nella mac china il contatto con il bordo sensibile provocher lo spegnimento dell alimenta zione
129. ire un integrit adeguata al sottosistema e ci 72 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 richiede di solito test analisi e calcoli risultati sono espressi in forma di dati richiesti dallo standard Il progettista di sistemi tipicamente un progettista di macchine o un integratore user i dati del sottosistema per eseguire alcuni calcoli relativamente semplici al fine di determinare il livello prestazionale PL generale del sistema Per indicare il livello prestazionale richiesto dalla funzione di sicurezza si usa la sigla PLr Per determinare il PLr richiesto la norma prevede un grafico di analisi del rischio in cui sono inseriti i fattori di applicazione di gravit del danno frequenza di esposizione e possibilit di evitabilit Categorie P1 F1 P2 PI F2 P2 Grafico dei rischi ricavato dall Allegato A dello Grafico dei rischi ricavato dall Allegato B dello standard EN ISO 13849 1 standard EN 945 1 Il risultato il PLr Chi usava la vecchia norma EN 954 1 ha familiarit con questo tipo di approccio ma di fatto ora la linea S1 si suddivide al contrario del vecchio grafico del rischio Ne consegue un possibile riesame dell integrit delle misure di sicurezza richieste a livelli di rischio pi bassi Tuttavia vi ancora una parte molto importante da esaminare Lo standard ci serve a quantificare la qualit del sistema e anche come determinarla ma non sappiamo cosa
130. istemi a controllo affidabile la tolleranza al singolo guasto requisiti stabiliscono come il sistema di sicurezza deve rispondere in presenza di un singolo guasto di qualunque singolo guasto o di qualunque guasto di un singolo componente Riguardo ai guasti devono essere considerati tre concetti molto importanti 1 non tutti i guasti sono rilevati 2 l aggiunta della parola componente implica problematiche di cablaggio 3 il cablaggio parte integrante del sistema di sicurezza guasti di cablaggio possono provocare la perdita di una funzione di sicurezza L intento dell affidabilit del controllo chiaramente l operativit della funzione di sicurezza in presenza di un guasto Se il guasto viene rilevato il sistema di sicurezza deve eseguire una azione sicura segnalare il guasto e impedire l ulteriore funzionamento della macchina fino alla correzione del guasto Se il guasto non viene rilevato la funzione di sicurezza deve su richiesta poter essere eseguita 129 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Esempio applicativo con SISTEMA Questo esempio pratico illustra le procedure di cablaggio configurazione e programmazione di un controllore di automazione programmabile PAC Compact GuardLogix e I O PointGuard per il monitoraggio di un sistema di sicurezza a due zone Ogni zona comprende un interruttore di interblocco di sicurezza s
131. istemi di controllo di sicurezza conformi ai requisiti della tipologia a controllo affidabile sistemi di controllo di sicurezza a controllo affidabile sono architetture a due canali con monitoraggio La funzione di arresto del robot non deve essere impedita dal guasto di alcun singolo componente neanche dalla funzione di monitoraggio AI rilevamento di un guasto il monitoraggio deve generare un comando di arresto Eventuali pericoli persistenti dopo la cessazione del movimento devono essere segnalati Il sistema di sicurezza deve rimanere in stato di sicurezza fino alla corre zione del guasto Preferibilmente il guasto deve essere rilevato immediatamente Se ci non possibile deve essere rilevato alla successiva richiesta di intervento al sistema di sicurezza Se c una significativa probabilit che possano verificarsi i guasti per causa comune devono essere considerati requisiti canadesi differiscono dai requisiti USA per l aggiunta di due ulteriori requisiti Primo i sistemi di controllo di sicurezza devono essere indipendenti dai 128 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali normali sistemi di controllo di programma Secondo il sistema di sicurezza non deve essere facilmente escluso o bypassato senza rilevamento sistemi a controllo affidabile sono in linea con le Categorie 3 e 4 di EN 954 1 1996 Note sui sistemi a controllo affidabile L aspetto fondamentale dei s
132. itivi di ingresso Il processo di valutazione del rischio deve essere usato per determinare il numero di dispositivi di ingresso da collegare a un rel di monitoraggio di sicurezza MSR e la frequenza con cui tali dispositivi devono essere controllati Per garantire che gli arresti d emergenza e gli interblocchi della porta siano funzionanti devono essere controllati a intervalli regolari in base a quanto determinato dalla valutazione del rischio Ad esempio un MSR di ingresso a canale doppio collegato a una porta interbloccata che deve essere aperta a ogni ciclo della macchina ad esempio pi volte al giorno potrebbe non dover essere controllato Questo accade perch l apertura della protezione fa s che MSR stesso controlli i propri ingressi e uscite in funzione della configurazione per verificare la presenza di singoli guasti Pi di frequente viene aperta la protezione maggiore l integrit del processo di verifica Un altro esempio sono gli arresti di emergenza Poich tali arresti sono general mente usati solo per le emergenze probabile che siano usati raramente Occorre dunque stabilire un programma che verifichi gli arresti di emergenza e ne confermi l efficienza a intervalli pianificati Questo modo di verificare il sistema di sicurezza conosciuto come test diagnostico e il tempo tra un test e l altro detto intervallo dei test diagnostici Un terzo esempio potrebbero essere le porte di accesso per la re
133. ivo lucchettabile di isolamento dell alimentazione Un dispositivo di isolamento dell alimentazione un dispositivo meccanico che fisicamente impedisce la trasmissione o il rilascio di energia Questi dispositivi possono essere interruttori automatici sezionatori interruttori manuali combinazioni spina presa o valvole manuali dispositivi di isolamento elettrico devono commu tare tutti i conduttori di alimentazione non messi a terra e nessun polo pu operare in modo indipendente Lo scopo del lockout e del tagout impedire l avviamento non intenzionale della macchina L avviamento non intenzionale pu essere il risultato di varie cause un guasto del sistema di controllo un azione inadeguata su un comando di avvia mento un sensore un contattore o una valvola il ripristino dell alimentazione dopo un interruzione o una serie di altre influenze interne o esterne Al termine del pro cesso di lockout tagout deve essere verificata la dissipazione dell energia Sistemi di isolamento di sicurezza sistemi di isolamento di sicurezza eseguono lo spegnimento ordinario di una macchina consentendo nel contempo di scollegare l alimentazione in modo semplice Questo approccio funziona bene con macchine e sistemi di fabbricazione pi grandi soprattutto quando diverse fonti di alimentazione sono situate a livello intermedio o in posizioni distanti 63 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla si
134. l operatore sulla pedana ha un fattore di penetrazione in profondit di 1 200 mm o 48 pollici Se l operatore deve salire per passare su una piattaforma il fattore di penetrazione in profondit pu essere ridotto di un fattore pari al 40 dell altezza del passo Esempio Esempio un operatore si avvicina normalmente a una barriera fotoelettrica di 14 mm collegata a un rel di monitoraggio di sicurezza che a sua volta collegato a un contattore alimentato in CC con un soppressore a diodi Il tempo di risposta del sistema di sicurezza Tr 20 15 95 130 ms Il tempo di arresto della mac china Ts Tc 170 ms Il dispositivo di controllo del freno non utilizzato Il valore Dpf 1 pollice e il valore C zero Il calcolo sarebbe il seguente Dpf 3 4 14 6 875 1 poll 24 2 mm C 8 14 14 0 Ds K x Ts Tc Tr Tbm Dpf S KxT C Ds 63 x 0 17 0 13 0 1 S 1 600 x 0 3 0 Ds 63 x 0 3 1 S 480 mm 18 9 poll Ds 18 9 1 Ds 19 9 poll 505 mm Quindi per una macchina utilizzabile in qualsiasi parte del mondo la distanza di sicurezza minima a cui la barriera fotoelettrica di sicurezza deve essere montata rispetto al pericolo di 20 pollici o 508 mm 62 SAFEBOOK 4 Prevenzione dell accensione non intenzionale Prevenzione dell accensione non intenzionale La prevenzione dell accensione non intenzionale trattata in molti standard tra cui ISO 14118 EN1037 ISO 12100
135. lcolare S usando 2 000 come costante di velocit S 2 000xT 8x d 14 La distanza minima per S di 100 mm 61 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Una seconda fase pu essere usata quando la distanza superiore a 500 mm Il valore di K pu essere ridotto a 1 600 Quando si usa K 1 600 il valore minimo di S 500 mm Lo standard US CAN usa l approccio a una fase Ds 1 600 x T Dpf Ci comporta differenze superiori al 5 tra gli standard quando il tempo di risposta inferiore a 560 ms Avvicinamenti inclinati La maggior parte delle applicazioni con barriera fotoelettrica e scanner sono installate in verticale avvicinamento normale o in orizzontale avvicinamento parallelo Queste installazioni non sono considerate inclinate se l angolazione compresa tra 5 ri spetto alla progettazione Se l angolo superiore a 5 occorre prendere in conside razione i rischi potenziali ad es distanza pi corta degli avvicinamenti prevedibili In generale gli angoli superiori a 30 rispetto al piano di riferimento ad es pavimento dovrebbero essere considerati normali mentre quelli inferiori a 30 considerati paralleli Pedane di sicurezza Con le pedane la distanza di sicurezza deve prendere in considerazione velocit e passo degli operatori Si presume che l operatore cammini e che le pedane di sicurezza siano installate a pavimento Il primo passo del
136. legislation_summaries employment_and_social_policy health_ hygiene_safety_at_work c11116_en htm Regolamenti USA Questa sezione presenta alcuni dei regolamenti di sicurezza relativi alla protezione delle macchine industriali negli Stati Uniti Si tratta solo di un punto di partenza gli interessati dovranno approfondire ulteriormente i requisiti relativi alle proprie applicazioni e adottare le misure necessarie a garantire che progetti procedure e metodi di uso e manutenzione rispondano alle proprie esigenze cos come ai regolamenti e ai codici nazionali e locali Esistono numerose organizzazioni che promuovono la sicurezza industriale negli Stati Uniti Queste includono 1 societ che usano i requisiti stabiliti oltre a stabilire i propri requisiti interni 2 la Occupational Safety and Health Administration OSHA 3 organizzazioni industriali quali National Fire Protection Association NFPA Robotics Industries Association RIA e Association of Manufacturing Technology AMT oltre ai fornitori di soluzioni e prodotti di sicurezza quali Rockwell Automation OSHA Occupational Safety and Health Administration Negli Stati Uniti uno dei promotori principali della sicurezza industriale la Occupa tional Safety and Health Administration OSHA L OSHA stata fondata nel 1970 da una legge del Congresso degli USA Lo scopo di tale legge garantire condizioni di lavoro salutari e sicure e preservare le risorse umane La legge
137. leta dedicata ai prodotti di sicurezza con esempi applicativi e informazioni utili Catalogo dei prodotti di sicurezza Pubblicazione S117 CA001A Rockwell Automation ha sviluppato una serie di esempi simili scaricabili dalla Literature library Per visionarli accedere alla Literature library ed eseguire una ricerca immettendo la dicitura SAFETY AT nel campo di ricerca e selezionando Publication Number nell elenco a discesa Sono inoltre disponibili i calcoli SISTEMA e i codici applicativi RSLogix 5000 per alcune applicazioni Per scaricarli visitare il sito www discoverrockwellautomation com 145 Allen Bradley 146 p 10 X 979 9 0 X 291 9 0L X ZZZ q 0 X IZY q 0L X LEZ 9 Le D OX 9 sorxzgif q sorxioel q sO xgS q gt 0LX19 Sl O p 104 X Z 6 9 9 0 X EZZ q 0 X 9 q 9 0 X E G q 0 X97 9 ek 2 9 0L X YO L 9 0L X 617 q 0 X 0 q 0 X p9g G q 0L X L96 cl LV 9 0L X8L L 9 0L X 1847 q 0L X ES q 0 X py 9 e 0 X YO L W E 9 0 X 9E q 0L X Z q 0L XPS q 0 X82 e 0L XYL 0 e 9 90 XES L q 901 X 29 q 0L X LG q 0 X Y6 Z e 0L XSL V6 N 9 0b X PZL q 04 X Z0 7 q 01 X F 9 q 0 X 288 e 0LX6E L T8 5 9 0 X S6 l q 901 X St q s 0LX012 q 0 XSL 6 e s0LXZS SL x 9 0 X OZZ q 0 X 864 q 0 X 6 Z e 0 X 80 L e 0 X 891 g 9 mo 9 0 X LYZ q 0 X 9 G q 0 X 08 8 e 0L X 61
138. ley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Ad esempio nel Regno Unito stata recepita con il nome di The Provision and Use of Work Equipment Regulations spesso indicata con la sigla P U W E R Il tipo di implementazione pu variare tra i diversi paesi ma l effetto della direttiva rimane invariato Gli articoli della direttiva forniscono informazioni dettagliate sui tipi di attrezzature e luoghi di lavoro oggetto della direttiva Inoltre prevedono doveri generali per i datori di lavoro quali l istituzione di sistemi sicuri di lavoro e la fornitura di attrezzature adeguate e sicure sottoposte a una corretta manutenzione Gli operatori delle macchine devono ricevere informazioni e addestramento adeguati per un uso sicuro della macchina Le macchine nuove e le macchine di seconda mano provenienti da paesi esterni all UE fornite dopo il 1 gennaio 1993 devono soddisfare le direttive relative al prodotto pertinenti ad esempio la Direttiva Macchine questo soggetto ad accordi transitori Le macchine di seconda mano provenienti dall UE fornite per la prima volta nel luogo di lavoro devono soddisfare immediatamente i requisiti minimi indicati nell allegato della Direttiva U W E Nota le macchine esistenti o di seconda mano revisionate o modificate in modo significativo saranno classificate quali attrezzature nuove pertanto gli interventi apportati devono garantire la conformit
139. lla macchina Occorre prestare attenzione alla selezione dei materiali usati per le finestre poich le interazioni chimiche con fluidi di taglio e i raggi ultravioletti o il semplice invecchiamento ne provocano l usura nel tempo La dimensione delle aperture deve impedire che l operatore possa essere esposto al pericolo La tabella 0 10 di OSHA 1910 217 f 4 ISO 13854 la tabella D 1 di ANSI B11 19 la tabella 3 di CSA Z432 e AS4024 1 forniscono istruzioni sulla distanza necessaria tra l apertura e la fonte di pericolo Rilevamento degli accessi Le misure di protezione possono essere utilizzate per rilevare l accesso a un peri colo Quando si sceglie il rilevamento come metodo di riduzione dei rischi il proget tista deve essere consapevole della necessit di un completo sistema di sicurezza il dispositivo di sicurezza da solo non fornisce la necessaria riduzione dei rischi Questo sistema di sicurezza generalmente costituito da tre blocchi 1 un dispositivo di ingresso che rileva l accesso al pericolo 2 un dispositivo logico che 36 SAFEBOOK 4 Dispositivi e misure di protezione elabora i segnali provenienti dal dispositivo di rilevamento controlla lo stato del sistema di sicurezza e attiva o disattiva i dispositivi di uscita 3 un dispositivo di uscita che controlla l attuatore ad es un motore Dispositivi di rilevamento Per rilevare la presenza di una persona che entra o si trova all interno di una
140. lo o dei contattori influisce sul calcolo della distanza di sicurezza Spesso nella bobina installato un soppressore di picchi di tensione che aumenta la vita dei contatti che azionano la bobina Per le bobine CA il tempo di diseccitazione rimane invariato Per le bobine CC il tempo di diseccitazione aumenta L aumento dipende dal tipo di soppressione selezionato Contattori e rel di controllo sono concepiti per commutare grandi carichi da 0 5 a oltre 100 A Il sistema di sicurezza funziona a basse correnti Il segnale di feedback generato dal dispositivo logico del sistema di sicurezza pu andare da pochi milliampere a decine di milliampere di solito a 24 V CC Per commutare in modo affidabile una corrente cos bassa contattori e rel di controllo di sicurezza sono dotati di contatti biforcati placcati in oro 57 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Protezione dai sovraccarichi Gli standard elettrici impongono la protezione dei motori dai sovraccarichi La diagnostica fornita dal dispositivo di protezione dai sovraccarichi aumenta non solo la sicurezza dell apparecchiatura ma anche quella dell operatore Le tecnologie attualmente disponibili possono rilevare condizioni di guasto come sovraccarico mancanza di fase guasto verso terra stallo blocco sottocarico squilibrio di corrente e sovratemperatura Il rilevamento e la comunicazione delle condizioni anomale pri
141. loro assegnata una categoria e o un PL e SIL CL MSR prevede spesso capacit a doppio canale monitoraggio incrociato dei canali e dei dispositivi esterni protezione dai cortocircuiti Non esistono standard specifici che forniscano indicazioni sulla progettazione o l uso dei rel di monitoraggio di sicurezza Gli MSR sono valutati in base alla loro capacit di svolgere la funzione di sicurezza secondo ISO 13849 1 o EN 954 1 in via di dismissione Il livello dell MSR deve corrispondere a o superare il livello richiesto per il sistema in cui viene utilizzato Due contattori aiutano a garantire che i dispositivi di uscita realizzino la funzione di sicurezza Con una protezione contro i sovraccarichi e i cortocircuiti la probabilit che il contattore abbia problemi di contatti saldati scarsa ma non impossibile Un contattore pu generare un guasto anche a causa di contatti di commutazione che rimangono chiusi a causa del blocco dell indotto Se il guasto di un contattore genera uno stato pericoloso il secondo contattore toglie alimentazione alla fonte del pericolo L MSR rileva il contattore in guasto al successivo ciclo della macchina Quando la protezione chiusa e il pulsante di avviamento viene premuto i contatti ad accoppiamento meccanico del contattore guasto rimangono aperti e MSR non essendo in grado di chiudere i contatti di sicurezza rivela il guasto Guasti non rilevati Nel caso di un sistema con struttura di categoria
142. ma dell intervento aiutano a ridurre i tempi di fermo della produzione e a proteggere operatori e personale di manutenzione da condizioni di pericolo impreviste Azionamenti e asservimenti Azionamenti e asservimenti di sicurezza possono essere usati per impedire la trasmissione dell energia rotazionale e permettere un arresto di sicurezza o un arresto di emergenza Gli inverter ottengono il livello di sicurezza con canali ridondanti per togliere alimen tazione dalla circuiteria del controllo di gate Un canale il segnale di abilitazione un segnale hardware che rimuove il segnale di ingresso alla circuiteria del controllo di gate Il secondo canale un rel a guida forzata che scollega l alimentazione elettrica dalla circuiteria del controllo di gate Il rel a guida forzata inoltre ritra smette un segnale di stato al sistema logico Questo approccio ridondante consente di applicare l azionamento di sicurezza ai circuiti di arresto di emergenza senza bisogno di un contattore L asservimento funziona in modo simile agli inverter mediante segnali di sicurezza ridondanti per ottenere la funzione di sicurezza Un segnale interrompe il comando alla circuiteria del controllo di gate Un secondo segnale scollega l alimentazione elettrica dalla circuiteria del controllo di gate Due rel a guida forzata sono utilizzati per rimuovere i segnali e fornire feedback al dispositivo logico di sicurezza Sistemi di collegamento sistemi di
143. me di logica elettronica rispondenti ai requisiti di standard come IEC 61508 Dispositivi di arresto di emergenza Laddove sussiste il pericolo che un operatore sia messo a rischio da una macchina occorre che l accesso al dispositivo di arresto d emergenza sia facile Il dispositivo di arresto di emergenza deve essere costantemente in funzione e facilmente dispo nibile pannelli operatore dovrebbero contenere almeno un dispositivo di arresto d emergenza possibile utilizzare ulteriori dispositivi di arresto d emergenza in al tre posizioni se necessario dispositivi di arresto d emergenza hanno varie forme Gli interruttori con pulsante e gli interruttori a fune sono esempi dei dispositivi pi comunemente diffusi Quando viene azionato il dispositivo di arresto di emergenza dev essere a ritenuta e non deve essere possibile generare il comando di arresto senza tale condizione Il reset del dispositivo di arresto di emergenza non deve creare una situazione pericolosa Deve inoltre essere eseguita un azione separata e deliberata per riavviare la macchina Per ulteriori informazioni sui dispositivi di arresto d emergenza vedere ISO EN 13850 IEC 60947 5 5 NFPA 79 e IEC 60204 1 AS4024 1 Z432 94 Pulsanti di arresto d emergenza dispositivi di arresto di emergenza sono considerati apparecchiature di protezione complementari Poich non impediscono e non rilevano l accesso a un pericolo non sono considerati dispositivi di protezion
144. mma del tasso di guasti sicuri pi il tasso di guasti pericolosi rivelati e non rivelati importante capire che i soli tipi di guasto da considerare sono quelli che potrebbero avere qualche effetto sulla funzione di sicurezza Molti dispositivi meccanici a bassa complessit come pulsanti di emergenza e interruttori di interblocco avranno da soli un certo valore di SFF specifico La maggior parte dei dispositivi elettronici relativi alla sicurezza sono caratterizzati da ridondanza e funzioni di monitoraggio interne pertanto abbastanza comune avere 104 SAFEBOOK 4 Progettazione del sistema secondo IEC EN 62061 un SFF superiore al 90 anche se ci di norma interamente dovuto alla capacit di ottenimento della copertura diagnostica Il valore SFF viene generalmente fornito dal produttore Il valore SFF pu essere calcolato con la seguente equazione SFF gt s ZA pp gt s gt p dove s tasso di guasti sicuri gt s gt p tasso di guasto complessivo pp tasso di guasti pericolosi rilevati p tasso di guasti pericolosi Guasti sistematici Lo standard ha requisiti per il controllo e l eliminazione dei guasti sistematici guasti sistematici sono diversi dai guasti hardware casuali che si verificano di solito per usura dei componenti hardware Possibili guasti sistematici sono errori di progetta zione software errori di progettazione hardware errori di specifica dei re
145. mponenti ne consegue che i guasti nel loro insieme vengono considerati come un guasto unico inoltre possibile che un evento che provoca il guasto di un componente possa anche causare il guasto di altri componenti Questo caso detto guasto per causa comune normalmente abbreviato in CCF Il grado di propensione per un CCF in genere indicato come fattore beta B molto importante che i progettisti di sistemi e sottosistemi siano consapevoli delle possibilit del CCF Esistono diversi tipi di 88 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 CCF e di conseguenza diversi modi per evitarlo Nello standard EN ISO 13849 1 indicato un approccio razionale che costituisce una via di mezzo tra la complessit e l ipersemplificazione Questo standard adotta un approccio che essenzialmente qualitativo come l EN IEC 62061 e fornisce un elenco di misure note per essere efficaci nell evitare un CCF N Misura contro CCF Punteggio Separazione Segregazione 15 2 Diversit 20 3 Pragettazione Applicazione 20 Esperienza 4 Valutazione Analisi 5 5 Competenza Formazione 5 6 Ambiente 35 Punteggio per i guasti per causa comune Nella progettazione di un sistema o sottosistema occorre applicare un numero suffi ciente di tali misure Si potrebbe sostenere non senza ragione che l uso di questo elenco da solo non sia adeguato a prevenire tutte le possibilit di u
146. mportante tener conto di tutti i limiti e di tutte le fasi della vita di una macchina compresa l installazione la messa in servizio la manutenzione la messa fuori servi zio l uso corretto e il funzionamento oltre alle conseguenze di malfunzionamenti e usi errati prevedibili 25 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Identificazione delle attivit e dei pericoli Tutti i pericoli inerenti alla macchina devono essere identificati ed elencati in base alla loro natura e posizione tipi di pericolo includono schiacciamento taglio intrappolamento espulsione di pezzi emissione di fumi radiazioni sostanze tossiche calore rumore ecc I risultati dell analisi delle attivit dovrebbero essere confrontati con quelli dell identi ficazione dei pericoli Ci servir a evidenziare l eventuale compresenza di un peri colo e di una persona ossia una situazione pericolosa Tutte le situazioni pericolose dovrebbero essere riportate in un elenco A seconda dell esperienza della persona o del tipo di attivit possibile che lo stesso pericolo possa produrre diversi tipi di si tuazioni pericolose La presenza di un tecnico di manutenzione altamente esperto e qualificato ad esempio pu avere implicazioni diverse rispetto alla presenza di un addetto alle pulizie senza esperienza che non conosce la macchina In queste si tuazioni se ogni caso viene elencato e affrontato se
147. muni che riducono i costi associati a progettazione installazione messa in servizio e manutenzione La pos sibilit di utilizzare sulle reti di sicurezza hardware di controllo dispositivi o I O di sicurezza distribuiti e dispositivi di interfaccia operatore comuni riduce i costi di acquisto e manutenzione oltre ai tempi di sviluppo Tutte queste funzioni aumen tano la produttivit e la velocit della ricerca guasti e favoriscono la riduzione dei costi di formazione 54 SAFEBOOK 4 Dispositivi e misure di protezione Lo schema che segue mostra un esempio dell integrazione di controllo e sicurezza Le funzioni di controllo non legate alla sicurezza standard risiedono nel Main Task Le funzioni di controllo legate alla sicurezza risiedono nel Safety Task Tutte le funzioni standard e legate alla sicurezza sono isolate una dall altra Ad esempio i tag di sicurezza possono essere letti direttamente dalla logica standard tag di sicurezza possono essere scambiati tra i controllori GuardLogix su EtherNet ControlNet o DeviceNet dati dei tag di sicurezza possono essere letti direttamente da dispositivi esterni interfacce operatore HMI personal computer PC o altri controllori J Controller TrainingDemo Controller Tags CI Controller Fault Handler 1 Power Up Handler B Tasks Ea MainTask Integrated al Mano gt Tasks E SafetyTask 13 SafetyProgram 1 Unscheduled Programs m T
148. n CCF Tuttavia se si considera correttamente lo scopo dell elenco chiaro che lo spirito dei suoi requisiti quello di portare il progettista ad analizzare le possibilit di CCF e attuare misure preventive appropriate basate sul tipo di tecnologia e di caratteristiche del l applicazione Utilizzando l elenco si presta maggiore attenzione ad alcune delle metodologie pi importanti ed efficaci come la diversit delle modalit di guasto e le competenze di progettazione Anche il tool SISTEMA di BGIA richiede l applicazione delle tabelle di consultazione relative ai CCF dello standard e le rende disponibile in una forma pratica 89 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Guasti sistematici Abbiamo gi parlato della quantificazione dell affidabilit sotto forma di MTTFd e della probabilit di guasto pericoloso Ma non tutto qui Abbiamo esaminato questi termini pensando in realt a guasti che sembrano essere di natura casuale Infatti lo standard IEC EN 62061 si riferisce specificatamente all abbreviazione PFHp come la probabilit di un guasto hardware casuale Ma vi sono alcuni tipi di guasti definiti collettivamente come guasti sistematici che possono essere attribuiti a errori commessi durante la progettazione o la fabbricazione Il classico esempio di questo un errore nel codice software Lo standard indica nell Allegato G delle misure atte a prevenire tali
149. n guasto pericoloso Le informazioni sui CCF general mente sono necessarie solo al progettista del sottosistema di solito il produttore Nelle formule fornite serve a stimare il PFHp di un sottosistema Generalmente non sar necessario per la progettazione del sistema L allegato F di IEC EN 62061 propone un approccio semplice per la stima dei CCF La tabella che segue mostra un riepilogo del sistema di punteggio N Misura contro CCF Punteggio Separazione Segregazione 25 2 Diversit 38 3 Progettazione Applicazione 2 Esperienza 4 Valutazione Analisi 18 5 Competenza Formazione 4 6 Ambiente 18 Punteggio delle misure contro i guasti per causa comune 102 SAFEBOOK 4 Progettazione del sistema secondo IEC EN 62061 Per adottare misure specifiche contro i CCF vengono assegnati dei punti Il punteggio viene poi sommato per determinare il fattore dei guasti per causa comune mostrato nella seguente tabella Il fattore beta serve a regolare il tasso di guasto nei modelli di sottosistema Punteggio totale Fattore guasti per causa comune 8 lt 35 10 0 1 35 65 5 0 05 65 85 2 0 02 85 100 1 0 01 Fattore Beta per i guasti per causa comune Copertura diagnostica DC Per ridurre la probabilit di pericolosi guasti hardware si utilizzano test di autodiagnosi Essere in grado di rilevare tutti i guasti hardware pericolosi sarebbe l ideal
150. n ore PFHo 1 MTTFd Tuttavia importante comprendere che nel caso di un sistema a doppio canale con o senza diagnostica non corretto utilizzare 1 PFHp per determinare il MTTFd richiesto dallo standard EN ISO 13849 1 poich tale standard richiede il calcolo del MTTFd di un canale singolo Questo valore molto diverso dal MTTFd della combinazione dei due canali di un sottosistema a due canali Vincoli hardware L aspetto fondamentale dello standard IEC EN 62061 la suddivisione del sistema di sicurezza in sottosistemi Il livello di integrit della sicurezza hardware che pu essere richiesto per un sottosistema limitato non solo dal PFHp ma anche dalla tolleranza ai guasti hardware e dalla percentuale di guasti sicuri dei sottosistemi La tolleranza ai guasti hardware la capacit del sistema di eseguire la sua funzione in presenza di guasti Una tolleranza ai guasti di zero significa che la funzione non viene realizzata quando si verifica un singolo guasto Una tolleranza ai guasti di uno permette al sottosistema di realizzare la sua funzione in presenza di un singolo guasto La percentuale di guasti sicuri la porzione del tasso di guasto globale che non comporta un guasto pericoloso La combinazione di questi due elementi detta vincolo hardware a cui associato il SIL Claim Limit SIL CL La tabella che segue mostra la relazione tra vincoli hardware e SIL CL Un sottosistema e di conse guenza il relativo sis
151. namento tempo di risposta richiesto modalit operative cicli di carico ambiente operativo e funzioni di reazione ai guasti requisiti di integrit della sicurezza sono espressi in livelli di integrit della sicurezza SIL In base alla complessit del sistema occorre considerare alcuni o tutti gli elementi nella tabella che segue per determinare se la progettazione del sistema risponde ai SIL richiesti Elemento per la considerazione SIL Simbolo Probabilit di guasti pericolosi allora PFHp Tolleranza ai guasti hardware Nessun simbolo Percentuale di guasti sicuri SFF Intervallo dei test diagnostici T4 Intervallo di test diagnostici T2 Suscettibilit ai guasti per causa comune B Copertura diagnostica DC Elementi per la considerazione dei SIL Sottosistemi Il termine sottosistema ha un significato speciale nello standard IEC EN 62061 Si tratta della suddivisione di primo livello di un sistema in parti che in caso di guasto provocano un guasto della funzione di sicurezza Quindi se in un sistema vengono 94 SAFEBOOK 4 Progettazione del sistema secondo IEC EN 62061 usati due interruttori ridondanti nessun singolo interruttore un sottosistema Il sottosistema sarebbe rappresentato da entrambi gli interruttori e dall eventuale funzione di diagnostica guasti associata Probabilit di guasti pericolosi all ora PFHp Lo standard IEC EN 62061 utilizza gli stessi metodi d
152. namento del sistema National Standards una federazione di organizzazioni indipendenti e autonome che lavorano per l ulteriore sviluppo e miglioramento della standardizzazione volontaria nell inte resse nazionale Standard australiani Molti di questi standard sono strettamente allineati con gli equivalenti standard ISO IEC EN Standards Australia Limited 286 Sussex Street Sydney NSW 2001 Telefono 61 2 8206 6000 E mail mail standards org au Sito web www standards org au Per acquistare copie degli standard SAI Global Limited 286 Sussex Street Sydney NSW 2001 Telefono 61 2 8206 6000 Fax 61 2 8206 6001 E mail mail sai global com Sito web www saiglobal com shop Per un elenco completo degli standard consultare il catalogo sulla sicurezza disponibile sul sito www ab com safety 22 SAFEBOOK 4 Strategia della sicurezza Strategia della sicurezza Da un punto di vista puramente funzionale maggiore l efficienza di una macchina nello svolgere la propria attivit di lavorazione dei materiali migliore essa Tutta via affinch una macchina sia utilizzabile deve anche essere sicura La sicurezza deve certamente essere considerata di primaria importanza Per individuare la corretta strategia di sicurezza necessaria l interazione di due fasi chiave come mostrato di seguito VALUTAZIONE DEL RISCHIO Identificare tutte le macchine presso il posto di lavoro Quindi per ogni macchina Consul
153. nare fino all arresto dopodich si potr scollegare l alimentazione agli attuatori La Categoria di arresto 2 ammette che non si debba scollegare l alimentazione agli attuatori Si noti che solo le Categorie di arresto 0 e 1 possono essere utilizzate come arresti di emergenza La scelta della categoria da utilizzare tra le due deve essere basata su una valutazione dei rischi In tutti gli esempi di circuito illustrati finora in questo capitolo stata utilizzata la Categoria di arresto 0 Per ottenere una Categoria di arresto 1 necessaria un uscita temporizzata per la disattivazione finale dell alimentazione Un arresto di Categoria 1 spesso associato a una protezione interbloccata con blocco della protezione Que sto fa s che la protezione rimanga bloccata in posizione di chiusura fino a quando la macchina raggiunge uno stato di sicurezza arresto 124 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Arrestare una macchina senza tener conto del controllore programmabile pu influire sul riavviamento e potrebbe essere causa di gravi danni agli utensili e alla macchina Per l arresto di sicurezza non ci si pu affidare a un PLC standard non di sicurezza e quindi devono essere considerati altri approcci Di seguito sono riportate due possibili soluzioni 1 Rel di sicurezza con comando di override temporizzato Si utilizza un rel di sicurezza sia con uscite ad azione immedi
154. nche pubblicati in altre forme Prima di proseguire per dovremmo esaminare quali tipi di dati sono richiesti e capire come si ottengono L ultimo tipo di dati richiesti nella determinazione del PL secondo lo standard e 81 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 SISTEMA il PFH probabilit di guasti pericolosi ora Sono gli stessi dati indicati dall abbreviazione PFHp probabilit di guasti pericolosi per ora usata nello standard IEC EN 62061 PL PFHD SIL livello prestazionale Probabilit di guasti Livello di integrit pericolosi all ora della sicurezza a da 210 a lt 10 Nessuno b da 23 x 10 a lt 10 1 c da 210 a lt 3 x 10 1 d da 2107 a lt 10 2 e da 210 a lt 107 3 La tabella qui sopra mostra il rapporto tra PFH PL e SIL Per alcuni sottosistemi il PFH pu essere indicato direttamente dal produttore Questo facilita il calcolo Il produttore di solito deve eseguire calcoli relativamente complessi e o test sul sottosistema per fornire questo dato Nel caso non fosse disponibile lo standard EN ISO 13849 1 ci fornisce un approccio alternativo semplificato basato sul MTTFd medio tempo medio prima di un guasto pericoloso di un singolo canale Il PL e quindi il PFH di un sistema o sottosistema pu essere quindi calcolato utilizzando la metodologia e le formule dello standard o in maniera ancora pi pratica usand
155. nello standard EN IEC 62061 78 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 Il sistema che abbiamo illustrato come esempio solo uno dei cinque tipi base di architetture del sistema previste dallo standard Chi conosce il sistema delle categorie sapr che questo esempio rappresentativo sia della categoria 3 che 4 Lo standard considera le categorie originali della EN 954 1 come i cinque tipi base di architetture di sistema predefinite dette categorie di architetture designate Desi gnated Architecture Categories requisiti delle categorie sono quasi ma non del tutto identici a quelli indicati nel EN 954 1 Le categorie di architetture designate sono rappresentate nelle seguenti figure importante notare che tali categorie pos sono essere applicate sia a un sistema completo che a un sottosistema Gli schemi non devono essere visti semplicemente come una struttura fisica ma piuttosto come una rappresentazione grafica di requisiti concettuali Dispositivo Dispositivo di ingresso di uscita Categoria di architettura designata B La categoria di architettura designata B deve adottare i principi di sicurezza base vedere allegato dello standard EN ISO 13849 2 Il sistema o il sottosistema pu fallire in caso di un singolo guasto Per i requisiti completi consultare lo standard EN ISO 13849 1 Dispositivo Dispositivo di ingresso di uscita Categoria di architettura designata 1 La categori
156. nerali relativi ad alcuni requisiti tipici tuttavia importante considerare tutti gli EHSR indicati nell Allegato 1 necessario eseguire la valutazione dei rischi per determinare gli EHSR applicabili alla macchina in questione La macchina deve rispondere ai requisiti EHSR Gli EHSR riportati nell Allegato 1 prevedono inoltre una gerarchia di misure atte a eliminare il rischio 1 Progettazione a sicurezza intrinseca Nei casi in cui possibile il progetto stesso deve evitare l insorgere di qualsiasi pericolo Laddove non sia possibile occorre usare 2 Dispositivi di protezione aggiuntivi come ad esempio protezioni con punti di accesso interbloccati protezioni non fisiche quali barriere fotoelettriche pedane sensibili ecc Qualsiasi rischio residuo che non possa essere evitato con i metodi sopra elencati deve essere evitato tramite l uso di 3 Dispositivi di protezione e o formazione del personale Il fornitore della macchina deve specificare quanto appropriato La macchina deve essere realizzata con materiali adatti alla costruzione e all uti lizzo Devono inoltre essere fornite illuminazione e strumenti adeguati comandi e i sistemi di controllo devono essere sicuri e affidabili Le macchine non devono es sere in grado di avviarsi inaspettatamente e devono essere fornite di almeno un di spositivo di arresto di emergenza Occorre prestare particolare attenzione alle instal lazioni complesse in cui i process
157. ngressi dei due interruttori SensaGuard Sensaguard utilizza le uscite OSSD che eseguono test periodici sulle uscite In questo modo sono le uscite OSSD che verificano l integrit del cablaggio tra l interruttore SensaGuard e gli ingressi di sicurezza Le uscite a impulsi di prova sono configurate come sorgenti a 24 V Il dispositivo di controllo finale costituito da una coppia di contattori di sicurezza 100S K1 e K2 contattori sono controllati dal modulo d uscita di sicurezza 1734 OBS Questi ultimi sono cablati in una configurazione ridondante e vengono testati all avviamento per ricercare eventuali guasti Il test all avviamento viene eseguito monitorando il circuito di feedback sull ingresso 2 12 prima che i contattori siano eccitati Ci avviene tramite un istruzione CROUT Configurable Redundant Output Il sistema viene resettato dal pulsante instabile PB1 Cablaggio Ripristino in seguito a guasto PB2 Reset PB1 1734 1B8S Arresto di emergenza Attuatore Interruttore Attuatore Interruttore 1734 0B8S 132 SAFEBOOK 4 Esempio applicativo con SISTEMA Configurazione Per la configurazione del controllore Compact GuardLogix si utilizza RSLogix 5000 versione 18 o successive Occorre creare un nuovo progetto e aggiungere i moduli I O dopodich si configurano i moduli I O in base ai tipi corretti di ingressi e uscite In questo documento non possibile fornire una descrizione dettagliata di tu
158. nzionamento l anno per 16 ore al giorno con un azionamento del gate di sicurezza ogni ora per un totale di 5 760 operazioni l anno La funzione di arresto di emergenza globale viene testata una volta al mese EA Safety Gate 1 Estop 1 PLr d PL e PFH 1 h 5E S Pb PEH 1h 264E 8 142 SAFEBOOK 4 Esempio applicativo con SISTEMA Le singole funzioni di gate di sicurezza possono essere rappresentate come segue 1734 1B8S 1768 L43S I I I I I I I I l I I I I I I I l I Sottosistema 11 Sottosistema 2 I Il I I l Sottosistema 3 Sottosistema 5 I a I i MTTFd a 100 High DCavg Z _ 83 High B5 fulfilled 143 Allen Bradley m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine La funzione di arresto di emergenza pu essere rappresentata come segue 1734 IB8S 1768 L43S 1734 0B8S I I I I I I I I I I I I I I I I I I I I I I I I I jp tossioma 2 aaah 3 I Il assays 4 j tossina 5 MTTFdfa DCavg Z _ 83 High B5 lfulfilled Questo esempio il relativo file di calcolo SISTEMA e il codice applicativo RSLogix 5000 possono essere scaricati dal sito www discoverrockwellautomation com 144 SAFEBOOK 4 Esempio applicativo con SISTEMA Per ulteriori informazioni sui prodotti utilizzati in questo esempio possibile consultare la relativa documentazione eseguendo una ricerca nella pagina dei riferimenti bibliografici Literature librar
159. o L IEC tratta le problematiche elettrotecniche e l ISO si occupa di tutte le altre questioni Molti paesi industrializzati sono membri di IEC e ISO Gli standard di sicurezza per le macchine sono redatti da gruppi di lavoro costituiti da esperti dei vari paesi industrializzati del mondo In molti paesi gli standard possono essere considerati volontari mentre i regola menti sono legalmente obbligatori Tuttavia gli standard vengono solitamente utiliz zati come interpretazione pratica dei regolamenti Quindi l ambito degli standard e quello dei regolamenti sono strettamente interrelati 18 SAFEBOOK 4 Standard Per un elenco completo degli standard consultare il catalogo sulla sicurezza disponibile sul sito www ab com safety for a comprehensive list of standards ISO International Organization for Standardization L ISO una organizzazione non governativa costituita da organismi di normazione nazionali di molti paesi 157 attualmente Una Segreteria Centrale situata a Ginevra in Svizzera coordina il sistema L ISO elabora standard atti a progettare costruire e utilizzare le macchine in modo pi efficiente pi sicuro e pi pulito Gli standard inoltre facilitano e rendono pi trasparente il commercio tra i diversi paesi Gli standard ISO possono essere identificati dalle tre lettere ISO Gli standard ISO per le macchine sono organizzati come gli standard EN in tre livelli Tipo A B e C v l ultima sezione s
160. o SISTEMA Nota importante comprendere che nel caso di un sistema a doppio canale con o senza diagnostica non corretto utilizzare 1 PFHp per determinare il MTTFd ri chiesto dallo standard EN ISO 13849 1 in quanto lo standard richiede il calcolo del MTTFd di un canale singolo Questo valore molto diverso dal MTTFd della combi nazione dei due canali di un sottosistema a due canali Se si conosce il PFHp di un sottosistema a due canali possibile inserirlo direttamente nel software SISTEMA MTTFd di un canale singolo Rappresenta il tempo medio prima del verificarsi di un guasto che pu portare a un errore della funzione di sicurezza e si esprime in anni Si tratta di un valore medio dei MTTFd dei blocchi di ciascun canale e pu essere applicato a un sistema o a un sottosistema Lo standard indica la seguente formula che viene usata per calcolare la media di tutti i MTTFd di ciascun elemento utilizzato in un singolo canale o sottosistema 82 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 In questa fase l utilit di SISTEMA evidente Si risparmia tempo a consultare tabelle e a eseguire calcoli con le formule poich questo lavoro viene svolto dal software risultati finali possono essere stampati sotto forma di una relazione di pi pagine 1 1 Formula D1 dello standard EN ISO 13849 1 MITE MITE MTTFgj Ma j 1 Nella maggior parte dei sistemi a canale doppio i du
161. o degli eventi analisi ioad strength prova di carico Durante l analisi possono rimanere scoperti alcuni guasti impossibili da rilevare con la diagnostica automatica se non con alti costi economici Inoltre la probabilit che tali guasti si verifichino pu essere molto ridotta usando appositi metodi di progetta zione costruzione e verifica In queste condizioni i guasti possono essere esclusi da ulteriore considerazione L esclusione dei guasti la mancata considerazione di un guasto vista la scarsa probabilit che si verifichi quel guasto specifico del sistema di controllo legato alla sicurezza 90 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 Lo standard ISO 13849 1 2006 ammette l esclusione dei guasti in base all improba bilit tecnica che si verifichino all esperienza tecnica comune e ai requisiti tecnici legati all applicazione Lo standard ISO 13849 2 2003 fornisce una serie di esempi e giustificazioni per escludere certi guasti per i sistemi elettrici pneumatici idraulici e meccanici L esclusione dei guasti deve essere dichiarata con giustificazioni detta gliate fornite nella documentazione tecnica Non sempre possibile valutare un sistema di controllo legato alla sicurezza senza presumere che certi guasti possano essere esclusi Per informazioni dettagliate sull esclusione dei guasti vedere ISO 13849 2 All aumentare del livello di rischio le giustificazioni per l esclusi
162. o di un interruttore di interblocco fissato alla porta di protezione Il controllo dell alimentazione della fonte di pericolo collegato alla sezione dell interruttore dell unit L alimentazione generalmente elettrica ma pu anche essere pneumatica o idraulica Quando il movimento della porta di protezione apertura rilevato l interruttore di interblocco comanda l isolamento dell alimentazione direttamente o tramite un contattore o valvola Alcuni interruttori di interblocco comprendono anche un dispositivo di blocco che blocca in posizione chiusa la porta della protezione e non viene rilasciato finch la macchina non si trova in una condizione sicura Per la maggior parte delle applica zioni la combinazione di protezione mobile e interruttore di interblocco con o senza blocco della protezione la soluzione pi affidabile ed efficiente disponibile un ampia serie di interruttori di sicurezza tra cui i seguenti Interruttori di interblocco con attuatore il funzionamento di questi dispositivi richiede l inserimento e la rimozione dell attuatore nell interruttore Interruttori di interblocco a cerniera questi dispositivi sono situati sulle cerniere delle porte di protezione e funzionano utilizzando l azione di apertura della porta Interruttori con blocco della protezione in alcune applicazioni neces sario bloccare la porta in chiusura o temporizzarne l apertura dispositivi adatti a
163. o globale del sistema Il tempo totale in secondi inizia dalla ge nerazione del segnale di arresto alla cessazione del pericolo Per facilitare l analisi questo tempo pu essere suddiviso nelle sue parti incrementali Ts Tc Tre Tbm Ts il tempo di arresto peggiore della macchina apparecchiatura Tc il tempo di arresto peggiore del sistema di controllo Tr il tempo di risposta del dispositivo di protezione compresa la sua interfaccia Tom l ulteriore tempo di arresto consen tito dal dispositivo di controllo del freno prima che rilevi il superamento dei limiti pre determinati dall utente finale per il tempo di arresto Tom si usa con presse mecca niche a tavola rotante Ts Tc Tr sono usualmente misurati da un dispositivo di misurazione del tempo di arresto se i valori sono sconosciuti Fattori di penetrazione in profondit fattori di penetrazione in profondit sono rappresentati dai simboli C e Dpf Si tratta della corsa massima verso il pericolo prima del rilevamento da parte del dispositivo di protezione fattori di penetrazione in profondit cambiano a seconda del tipo di dispositivo e di applicazione Per determinare il miglior fattore di penetrazione in profondit occorre far riferimento allo standard corrispondente Per un avvicina mento normale a una barriera fotoelettrica o a uno scanner la cui sensibilit agli oggetti inferiore a 64 mm gli standard ANSI e canadesi usano Dpf 3 4 x Sensibilit ogg
164. o prestazionale dal momento che normalmente non possibile giustificare l esclusione di guasti come la rottura degli attuatori degli interruttori Tuttavia in un pannello di controllo progettato in conformit con standard pertinenti potrebbe anche essere accettabile escludere i guasti come i cortocircuiti dei cablaggi La nuova versione rivista dello standard EN ISO 13849 2 in via di pubblicazione conterr ulteriori informazioni sull uso delle esclusioni dei guasti Categorie di arresto secondo IEC EN 60204 1 e NFPA 79 Il fatto che il termine Categoria venga utilizzato con due accezioni diverse in relazione ai sistemi di controllo relativi alla sicurezza fonte di confusione Finora abbiamo preso in esame le categorie derivanti dallo standard EN 954 1 che sono una classificazione delle prestazioni di un sistema di sicurezza in condizioni di guasto Ma esiste anche una classificazione basata sulle cosiddette Categorie di arresto che deriva dagli standard IEC EN 60204 1 e NFPA 79 Esistono tre categorie di arresto La Categoria di arresto 0 richiede lo scollegamento immediato dell alimentazione agli attuatori In questo caso talvolta si parla di arresto incontrollato poich in determinate circostanze l arresto del movimento pu richiedere un po di tempo in quanto il motore potrebbe essere lasciato libero di arrestarsi per inerzia La Categoria di arresto 1 impone che l alimentazione rimanga attiva per poter fre
165. o stato dei dispositivi e l adozione delle misure conseguenti Il solito ma non l unico metodo di monitoraggio consiste nel duplicare le funzioni essenziali per la sicurezza e confrontare il funzionamento 106 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Riepilogo dei requisiti Comportamento del sistema CATEGORIA B vedere la nota 1 Le parti correlate alla sicurezza del sistema di controllo della macchina e o dei dispositivi di protezione oltre ai relativi componenti devono essere progettati costruiti selezionati assemblati e combinati in conformit con gli standard pertinenti affinch resistano alle influenze previste principi base di sicurezza devono essere applicati Quando si verifica un guasto questo pu comportare una perdita della funzione di sicurezza CATEGORIA 1 Si applicano i requisiti della categoria B inoltre occorre usare componenti di sicurezza e principi di sicurezza di comprovata efficienza Come per la categoria B ma con una pi alta affidabilit della funzione di sicurezza Maggiore l affidabilit minore la probabilit di guasto CATEGORIA 2 Si applicano i requisiti della categoria B e principi di sicu rezza di comprovata efficienza Le funzioni di sicurezza devono essere controllate all avviamento della macchina e periodicamente dal sistema di controllo della macchina Qualora sia rilevato un guasto deve essere creat
166. o un valore tali valori sono quindi sommati per ottenere una stima iniziale La somma dei tre componenti ammonta a un valore di 13 Ma dobbiamo considerare altri fattori Nota questo non necessariamente basato sulle illustrazioni degli esempi precedenti Il prossimo passaggio prevede l affinamento della stima iniziale prendendo in considerazione fattori aggiuntivi quali quelli illustrati nella seguente tabella Spesso possono essere analizzati correttamente solo quando la macchina installata nella sua postazione permanente Fattore tipico Azione proposta Pi di una persona esposta al pericolo Moltiplicare il fattore di gravit per il numero di persone Periodo protratto nella zona pericolosa Se il tempo per ogni accesso senza isolamento completo dell alimenta superiore a 15 minuti aggiungere zione 1 punto al fattore di frequenza L operatore non esperto o addestrato Aggiungere 2 punti al totale Intervalli molto lunghi ad esempio Aggiungere i punti equivalenti al 1 anno tra gli accessi Potrebbero verifi massimo fattore di frequenza carsi avarie progressive e non rilevate soprattutto nei sistemi di monitoraggio Considerazioni aggiuntive per la stima dei rischi 29 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine I risultati di ogni fattore aggiuntivo devono essere sommati al totale precedente come illustrato Val
167. o uno stato sicuro e se ci non fosse possibile deve essere lanciato un allarme Lo standard EN ISO 13849 1 presuppone che la frequenza di test sia almeno 100 volte superiore alla frequenza della domanda Lo standard EN ISO 13849 1 presuppone che lPMTTFd delle apparecchiature di prova esterne sia superiore alla met dell MTTFd dei macchinari funzionali in esame La perdita della funzione di sicurezza rilevata dal controllo Il verificarsi di un guasto pu comportare la perdita della funzione di sicurezza tra gli intervalli di controllo CATEGORIA 3 vedere le note 2 e 3 Si applicano i requisiti della categoria B e principi di sicu rezza di comprovata efficienza Il sistema deve essere progettato in modo che un singolo guasto in una sua parte qualsiasi non comporti la perdita della funzione di sicurezza Dove possibile un singolo guasto deve essere rilevato Quando si verifica un singolo guasto la funzione di sicurezza viene sempre eseguita Alcuni ma non tutti gli errori vengono rilevati Un accumulo di errori non rilevati pu comportare la perdita della funzione di sicurezza CATEGORIA 4 vedere le note 2 e 3 Si applicano i requisiti della categoria B e principi di sicurezza di comprovata efficienza Il sistema deve essere progettato in modo che un singolo guasto in qualunque sua parte non comporti la perdita della funzione di sicurezza Il singolo guasto deve essere rilevato in occasione o prima della succes
168. obabilit di guasti pericolosi sono semplicemente sommate 98 SAFEBOOK 4 Progettazione del sistema secondo IEC EN 62061 ke lema Amas mms O sma i Gss ms m sss Gs J s Elemento sottosistema 1 1 Det Elemento sottosistema n Den Architettura logica sottosistema A Apssa pe1 Den PFHossa Abssa x 1h A Lambda designa il tasso di guasto Il tasso di guasto si esprime in guasti all ora Ao il tasso di guasto pericoloso Apssa il tasso di guasto pericoloso del sottosi stema A Apssa la somma dei tassi di guasto dei singoli elementi e1 e2 e3 fino a en compreso La probabilit di guasto pericoloso moltiplicata per 1 ora per creare la probabilit di guasto in un ora Il diagramma successivo mostra un sistema tollerante a un singolo guasto senza una funzione di diagnostica Quando una architettura include la tolleranza a un singolo guasto il potenziale dei guasti per causa comune esiste e deve essere considerato La determinazione dei guasti per causa comune brevemente descritta pi avanti in questo capitolo Elemento sottosistema 1 1 Det Guasto con causa comune Elemento sottosistema 2 1 De2 Architettura logica sottosistema B oss 1 8 X Apet X pe2 X Ti B x Apet Ape2 2 PFHbssB Apssg x 1h Le formule per questa architettura prendono in considerazione la configurazione parallela degli elementi del sottosistema a cui si aggiun
169. onale dei sistemi di controllo per i macchinari 1 IEC EN 61508 Sicurezza funzionale dei sistemi elettrici elettronici ed elettronici programmabili per applicazioni di sicurezza Questo standard contiene i requisiti e le disposizioni applicabili alla progettazione di sistemi e sottosistemi elettronici e programmabili complessi Lo standard generico e quindi non limitato al settore delle macchine 2 IEC EN 62061 Sicurezza del macchinario Sicurezza funzionale dei sistemi di comando e controllo elettrici elettronici ed elettronici programmabili correlati alla sicurezza Questo standard costituisce il recepimento specifico per le macchine di IEC EN 61508 Indica i requisiti applicabili alla progettazione a livello di 67 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine sistema di tutti i tipi di sistemi di controllo elettrici legati alla sicurezza dei macchinari oltre che alla progettazione di dispositivi o sottosistemi non complessi sottosistemi programmabili o complessi dovrebbero soddisfare IEC EN 61508 3 EN ISO 13849 1 2008 Sicurezza delle macchine Componenti legati alla sicurezza dei sistemi di controllo Questo standard nasce per indicare un percorso di transizione diretta dalle categorie del precedente EN 954 1 4 IEC 61511 Sicurezza funzionale Sistemi strumentali di sicurezza per il settore dell industria di processo Questo s
170. one dei guasti diventano pi rigorose In generale quando si richiede il livello PLe per l implemen tazione di una funzione di sicurezza da parte di un sistema di controllo legato alla sicurezza di norma le esclusioni dei guasti non sono considerate sufficienti per raggiungere tale livello prestazionale Ci dipende dalla tecnologia impiegata e dall ambiente operativo previsto Pertanto il progettista che deve prestare molta attenzione all uso delle esclusioni dei guasti man mano che i requisiti a livello di PL aumentano Ad esempio nel caso di un sistema di interblocco porte che deve raggiungere il livello PLe si dovr prevedere una tolleranza ai guasti minima pari a 1 ad esempio con due interruttori di posizione meccanici di tipo tradizionale per ottenere tale livello prestazionale dal momento che normalmente non possibile giustificare l esclusione di guasti come la rottura degli attuatori degli interruttori Tuttavia in un pannello di controllo progettato in conformit con standard pertinenti potrebbe anche essere accettabile escludere i guasti come i cortocircuiti dei cablaggi Livelli prestazionali PL Il livello prestazionale un livello discreto che specifica la capacit dei componenti legati alla sicurezza del sistema di controllo di svolgere una funzione di sicurezza Per valutare il PL ottenuto mediante l implementazione di una delle cinque architetture designate sono necessari i seguenti dati del sistema o s
171. ontrolla continuamente PLC di sicurezza e i rel a microprocessore sono altri componenti che effettuano autodiagnostica continua Il requisito del sistema di controllo riguardante l autodiagnostica continua non vuole limitare la selezione dei componenti a barriere fotoelettriche e unit logiche a microprocessore Il controllo dovrebbe essere realizzato all avviamento e dopo ogni richiesta di intervento al sistema di sicurezza Questo livello di riduzione dei rischi vuole essere in linea con la Categoria 4 di ISO 13849 1 126 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Standard per i robot Stati Uniti Canada Gli standard per i robot negli USA ANSI RIA R15 06 e in Canada CSA Z434 03 sono piuttosto simili Entrambi prevedono quattro livelli simili alle categorie di EN 954 1 1996 descritte di seguito Semplice AI livello pi basso semplici sistemi di controllo di sicurezza devono essere progettati e costruiti con circuiteria approvata a canale singolo e questi sistemi possono essere programmabili In Canada questo livello ulteriormente limitato esclusivamente ad attivit di segnalazione e annuncio Per il progettista del sistema di sicurezza il punto determinare che cosa approvato Che cos un circuito a singolo canale approvato E da chi il sistema approvato La categoria semplice strettamente allineata con la Categoria B di EN 954 1 1996 Canale s
172. oraggio di sicurezza I moduli rel di monitoraggio di sicurezza MSR svolgono un ruolo centrale in molti sistemi di sicurezza Questi moduli sono generalmente costituiti da due o pi rel a guida forzata con circuiteria addizionale per garantire le prestazioni della funzione di sicurezza rel a guida forzata sono rel specializzati ice cube rel a guida forzata devono rispondere ai requisiti prestazionali dello standard EN 50025 Fondamentalmente sono concepiti per evitare che contatti normalmente chiusi e normalmente aperti si chiudano simultaneamente Concezioni pi recenti sostituiscono le uscite elettro meccaniche con uscite di sicurezza allo stato solido rel di monitoraggio di sicurezza realizzano diversi controlli sul sistema di sicu rezza All accensione effettuano l autodiagnostica sui propri componenti interni Quando i dispositivi di ingresso sono attivati il rel MSR confronta i risultati degli ingressi ridondanti Se accettabili MSR controlla gli attuatori esterni Se il risultato positivo MSR attende un segnale di reset per eccitare le sue uscite 45 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine La selezione del rel di sicurezza pi adatto dipende da una serie di fattori il tipo di dispositivo che deve monitorare il tipo di reset il numero e il tipo di uscite Tipi di ingressi dispositivi di protezione hanno diversi modi di indi
173. ore determina i dati sotto forma di PFHo o MTTFd Quando si parla di dati di un produttore essenziale capire di cosa si tratta componenti possono essere raggruppati in tre tipologie base e meccanici elettromeccanici meccanici pneumatici idraulici ecc elettronici ad es a stato solido software Vi una differenza fondamentale tra i meccanismi di guasto comune di questi tre tipi di tecnologie Sinteticamente si pu riassumere come segue Tecnologia meccanica Il guasto proporzionale all affidabilit intrinseca e al tasso di utilizzo Pi alto il tasso di utilizzo maggiore la probabilit che uno dei componenti possa guastarsi e fallire Questa per non l unica causa di guasto ma a meno che non si limiti il tempo i cicli di funzionamento sar la causa predominante evidente che un contattore che ha un ciclo di commutazione di una volta ogni dieci secondi funzioner in modo affidabile per un tempo molto pi breve rispetto a un contattore identico che entra in funzione una volta al giorno dispositivi a tecnologia meccanica comprendono componenti progettati individualmente per il loro uso specifico componenti sono modellati stampati fusi lavorati ecc e sono uniti tra loro con collegamenti molle magneti avvolgimenti elettrici ecc per formare un meccanismo Dato che in genere non ci sono informazioni storiche sull utilizzo dei componenti in altre applicazioni non possiamo trovare inform
174. ore finale senza Valore finale con rettifiche rettifiche Riduzione dei rischi Ora occorre prendere in considerazione ogni macchina e i rispettivi rischi e attuare le misure necessarie per risolverne tutti i rischi La tabella che segue un esempio di una parte di un processo documentato per tenere conto di tutti gli aspetti legati alla sicurezza della macchina utilizzata Serve da guida agli utilizzatori della macchina ma anche i produttori o i fornitori possono usare lo stesso principio per verificare che tutte le apparecchiature siano state convalidate Inoltre servir da indice a rapporti pi dettagliati sulla valutazione dei rischi Mostra che nel caso in cui a una macchina sia stato apposto il marchio CE il processo pi semplice poich i rischi per la macchina sono gi stati valutati dal produttore e tutte le misure necessarie sono gi state attuate Anche nel caso di attrezzature marchiate CE possibile che siano presenti ulteriori rischi dovuti alla natura della sua applicazione o ai materiali lavorati non previsti dal produttore 30 SAFEBOOK 4 Strategia della sicurezza Societ MAYKIT WRIGHT LTD Stabilimento Attrezzeria East Factory Data 8 29 95 Profilo operatore esperto Descrizione Conformit N report di Storico Note Descrizione Tipo di Azione richiesta Implementata e apparecchiature alle Direttive valutazione incidenti pericolo pericolo ispezionata e data del
175. ositivo di commutazione e a volte componenti del sistema di controllo operativo della macchina Tutti questi elementi del sistema comprese protezioni montaggio cablaggio ecc devono presentare prestazioni e caratteristiche adatte alla propria progettazione e tecnologia Gli standard IEC EN 62061 ed EN ISO 13849 1 comprendono una classificazione gerarchica dei livelli prestazionali dei componenti legati alla sicurezza dei sistemi di controllo e nei relativi allegati sono descritti dei metodi di valutazione dei rischi che permettono di determinare i requisiti di integrit dei sistemi di protezione EN ISO 13849 1 2008 nell Allegato A fornisce un grafico migliore del rischio 32 SAFEBOOK 4 Strategia della sicurezza Livello prestazionale Contributo alla PLr riduzione del rischio S Severit F Frequenza o durata di esposizione P Probabilit di evitare il rischio Da determinare per ogni funzione di sicurezza IEC 62061 nell Allegato A propone il metodo di seguito illustrato Documento N Valutazione del rischio e misure di sicurezza Parte di Prodotto Valutazione preliminare del Autore Valutazione intermedia del ril Data Area nera Misure di sicurezza richieste Valutazione di verifica del ris i lisure di sicurezza raccomandate Classe CI Frequenza e 8 10 11 13 14 durata Fr Morte perdita di un occhio o di un braccio SIL2 SIL3 SIL3 Permanente perdita delle dita SIL 1 SIL 2 RIEKE gt 1
176. ottosistema MTTFa tempo medio prima di un guasto pericoloso di ogni canale e DC copertura diagnostica e Architettura la categoria 91 Allen Bradley m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Il seguente diagramma mostra un metodo grafico per determinare il PL dalla combinazione di questi fattori La tabella riportata alla fine di questo documento mostra i risultati tabulari di differenti modelli Markov che sono alla base di questo diagramma Quando necessaria una determinazione pi accurata consultare la tabella CatB Catl Cat2 DC megno DC megno DC edbassa DC megia Med DC megbaSSA DC memed DCggalta MTTF Basso MTTF Medio MTTF Alto Determinazione grafica PL Per ottenere il PL necessario devono essere realizzati anche altri fattori Tra questi requisiti figurano le disposizioni per i guasti per causa comune i guasti sistematici le condizioni ambientali e il ciclo di vita Se il PFHp del sistema o sottosistema conosciuto la Tabella 10 4 Allegato K dello standard pu essere usata per ricavare il PL Progettazione dei sottosistemi e combinazioni sottosistemi conformi a un PL possono essere combinati semplicemente in un sistema usando la Tabella 10 3 La logica alla base di questa tabella chiara Primo il sistema pu essere affidabile solo quanto il pi debole dei sottosistemi Secondo pi sono i sottosistemi maggiore la possibilit di guasto
177. parallela degli elementi del sottosistema e aggiungono i seguenti due elementi ricavati dalla tabella precedente B beta la suscettibilit a guasti per causa comune Livello di rit della Pel g Probabilit di guasti pericolosi all ora sicurezza 3 da 210 a lt 107 2 da 2107 a lt 10 5 1 da 210 a lt 10 Probabilit di guasto pericoloso per SIL 95 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine dati di PFHp relativi a un sottosistema normalmente vengono forniti dal produttore dati relativi ai sistemi e ai componenti di sicurezza di Rockwell Automation sono reperibili in varie forme per esempio accedendo al sito www discoverrockwellautomation com safety IEC EN 62061 chiarisce anche che se e dove applicabile possono essere utilizzati i Reliability Data Handbook Per i dispositivi elettromeccanici a bassa complessit il meccanismo di guasto generalmente collegato al numero e alla frequenza delle operazioni anzich solo al tempo Quindi per questi componenti i dati deriveranno da qualche test ad es B10 come descritto nel capitolo dedicato allo standard EN ISO 13849 1 Una serie di informazioni legate all applicazione come il numero previsto di operazioni all anno poi necessaria per convertire il B10d o dati simili in PFHp Nota in generale la seguente relazione vera inserendo un fattore per convertire gli anni i
178. paratamente possibile giustifi care misure di protezione diverse per il tecnico di manutenzione e l addetto alle puli zie Se i casi non vengono elencati e affrontati separatamente bisognerebbe fare riferimento al caso di rischio pi grave e di conseguenza tecnico di manutenzione e addetto alle pulizie sarebbero coperti dalla stessa misura di protezione A volte sar necessario effettuare una valutazione generale dei rischi su macchine gi esistenti gi dotate di misure di protezione ad es una macchina con parti mobili pericolose protette da una porta interbloccata Le parti mobili sono un rischio potenziale che pu diventare un pericolo effettivo in caso di rottura del sistema di interblocco A meno che il sistema di interblocco non sia gi stato convalidato attraverso la valutazione dei rischi o una progettazione rispondente a determinati standard la sua presenza non dovrebbe essere presa in considerazione Stima del rischio Questo uno degli aspetti pi importanti della valutazione dei rischi Ci sono molti modi di affrontare questo aspetto e nelle pagine che seguono se ne illustrano i principi di base Qualunque macchina che possa creare situazioni pericolose presenta un rischio di evento pericoloso ad es lesioni Maggiore il rischio maggiore l importanza di un adeguato intervento Per un determinato pericolo il rischio potrebbe essere cos ridotto da poter essere tollerato e accettato ma per un altro pe
179. per quanto riguarda l altezza minima del raggio pi alto ISO EN stabilisce 900 mm mentre US CAN stabilisce 1 200 mm Il valore per il raggio pi alto sembra essere controverso Quando si considera una applicazione reach through l altezza del raggio pi alto dovr essere molto pi elevata per un operatore in posizione eretta Se l operatore pu oltrepassare la parte superiore del piano di rilevamento allora si applica il criterio reach over Raggi singoli o multipli raggi separati singoli o multipli sono ulteriormente definiti negli standard ISO EN Le cifre che seguono mostrano le altezze praticabili dei raggi multipli rispetto al pavimento La penetrazione in profondit di 850 mm per la maggior parte dei casi e di 1 200 mm per il raggio singolo In confronto lo standard US CAN considera ci tra i requisiti reach through Il passaggio sopra sotto o attorno ai raggi singoli o multipli deve sempre essere preso in considerazione Numero di raggi Altezza dal pavimento mm C mm 1 750 1 200 2 400 900 850 3 300 700 1 100 850 4 300 600 900 1 200 850 Calcoli della distanza Per l avvicinamento normale alla barriera fotoelettrica il calcolo della distanza di sicurezza per ISO EN e US CAN simile ma esistono delle differenze Per l avvicinamento normale a barriere fotoelettriche verticali la cui sensibilit agli oggetti di 40 m max lo standard ISO EN richiede due fasi Innanzitutto ca
180. piani dettagliati o altre informazioni specifiche sui sottogruppi usati per la produzione della macchina a meno che non siano essenziali per verificare la conformit con i requisiti essenziali di sicurezza e salute Valutazione di conformit per le macchine dell Allegato IV Alcuni tipi di attrezzature sono soggette a misure speciali Queste attrezzature sono elencate nell Allegato IV della direttiva e comprendono le macchine pericolose quali alcuni macchinari per la lavorazione del legno presse macchine di stampag gio a iniezione macchine per lavori sotter ranei ponti elevatori di veicoli ecc L Allegato IV comprende anche alcuni componenti di sicurezza come dispositivi di protezione destinati a rilevare la pre Valutazioni di conformit senza delle persone ad es barriere fotoe lettriche e unit logiche per garantire le funzioni di sicurezza Nel caso di macchine comprese nell Allegato IV non perfettamente conformi alle norme europee armonizzate applicabili il produttore o suo rappresentante autoriz zato deve adottare una delle seguenti procedure 1 Esame di tipo CE Occorre redigere un dossier tecnico e presentare un esempio della macchina a un organismo notificato laboratorio di prova per l esame di tipo CE Se l esame viene superato alla macchina sar fornito il certificato di esame di tipo CE La validit del certificato deve essere verificata ogni cinque anni da parte dell organismo notificato 7
181. portante notare che la conformit con uno standard C implica automaticamente la presunzione di conformit con i requisiti essenziali di sicurezza e salute In assenza di uno standard C pertinente possibile usare gli standard A e B come prova totale o parziale della conformit ai requisiti EHSR evidenziando il rispetto delle sezioni pertinenti Per la collaborazione tra CEN CENELEC e organismi come ISO e IEC stata stipulata una serie di accordi miranti alla definizione di standard comuni a livello mondiale In molti casi uno standard EN ha uno standard analogo in IEC o ISO In generale i due testi sono uguali ed eventuali differenze locali vengono presentate nella premessa dello standard Per una lista completa degli standard EN sulla sicurezza delle macchine accedere a http ec europa eu enterprise sectors mechanical machinery index_ en htm Standard USA Standard OSHA Quando possibile OSHA promulga standard a consenso nazionale o standard federali stabiliti come standard di sicurezza Le disposizioni obbligatorie ad es la parola deve implica il carattere obbligatorio degli standard incorporati per riferimento hanno la stessa forza e lo stesso effetto degli standard elencati nella Parte 1910 Ad esempio lo standard a consenso nazionale NFPA 70 riportato come documento di riferimento nell Appendice A della Sottoparte S Impianti elettrici della Parte 1910 del 29 CFR NFPA 70 uno standard volontario sviluppato
182. quisiti e procedure operative Tra le misure necessarie a evitare i guasti sistematici ci sono le seguenti corretta selezione combinazione disposizione assemblaggio e installazione dei componenti uso di buone pratiche di progettazione rispetto delle specifiche del produttore e delle istruzioni di installazione verifica della compatibilit tra i componenti e compatibilit alle condizioni ambientali uso di materiali adatti 105 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Cenni generali In questo capitolo verranno riportati principi e considerazioni strutturali da tenere presente durante la progettazione di un sistema di controllo legato alla sicurezza in conformit a qualsiasi standard La terminologia ruoter principalmente intorno al concetto di categorie dello standard EN 954 1 in via di dismissione dal momento che le categorie si riferiscono principalmente alla struttura dei sistemi di controllo Categorie dei sistemi di controllo Il concetto di categorie dei sistemi di controllo nato con lo standard EN 954 1 1996 ISO 13849 1 1999 in via di dismissione Tuttavia le categorie vengono tuttora spesso utilizzate per descrivere i sistemi di controllo di sicurezza e rimarranno parte integrante dello standard EN ISO 13849 1 come descritto nella sezione Introduzione
183. r minato dal parametro Input Type e se sono state eseguite le azioni di reset corrette L istruzione DCS verifica la coerenza dei canali a doppio ingresso Equivalent Active High e rileva i guasti e interviene in caso di rilevamento di un incoerenza per un tempo superiore al tempo di discrepanza configurato Discrepancy Time ms L istruzione CROUT Configurable Redundant Output controlla e monitora le uscite ridondanti Il tempo di reazione per il feedback relativo alle uscite configurabile L istruzione supporta segnali di feedback positivi e negativi Il codice applicativo di sicurezza della routine di uscita di sicurezza impedisce che le uscite vengano riavviate in caso di reset automatico del canale d ingresso svol gendo il ruolo di funzionalit di anti tiedown del reset del circuito x Zonel_Salsty_Gatei Safety Function SAFETY GATE frput Type EQUIVALENT ACTIVE MIGH Drscregancy Time Msec 500 Restart Type AUTOMATIC Cold Start Type AUTOMATIC Cannet A AENT Y iPY00246 o Channet 8 ABNT HP Data d Fp Situs AENTI Combinedinpustetus o Sts_Zonat_SateyGate_1_IhpuOK DCS Dual Channel Input Stop Des Zone2_Safety_Gate1 Safety Funetion SAFETY GATE Input Type EQUIVALENT ACTIVE HIGH Discrepancy Time Msec 500 Restart Type AUTOMATIC Cold Start Type AUTOMATIC Channel A AENT 1 1 Pt02Data o Channel B AENT 1 1 Pt03Data o Input Status AENT 1 CombinedinputStatus i CROUT Dual Channet inpu Stop
184. r possibile calcolare facilmente la probabilit di guasto del sistema sommando le probabilit di guasto dei sottosistemi Questo concetto spiegato di seguito SOTTOSISTEMA 1 Rilevamento posizione Requisiti funzionali e di integrit secondo IEC EN 62061 Vincoli hardware SIL CL 2 PFHo 1x107 PFHp 1x107 3x1077 ovvero ndata nar CIN SOTTOSISTEMA 2 Logica Requisiti funzionali e di integrit secondo IEC EN 62061 Vincoli hardware SIL CL 2 PFHo 1x107 PFHp 1x107 SOTTOSISTEMA 3 Commutazione uscita Requisiti funzionali e di integrit secondo IEC EN 62061 Vincoli hardware SIL CL 2 PFHo 1x107 PFHo3 1x1077 97 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Se per esempio vogliamo ottenere SIL2 ogni sottosistema deve avere un SIL Claim Limit SIL CL di almeno SIL2 e la somma del PFHp per il sistema non deve superare il limite consentito nella precedente tabella probabilit di guasto pericoloso per SIL Progettazione del sottosistema IEC EN 62061 Se un progettista nei sottosistemi usa componenti preconfezionati conformi a IEC EN 62061 tutto diventa pi facile perch i requisiti specifici per la progettazione dei sottosistemi non si applicano Questi requisiti saranno coperti in generale dal produttore del dispositivo sottosistema e sono molto pi complessi di quelli richiesti per la progettazion
185. ragrafo 3 22 4 estratto Quando la protezione chiusa le funzioni pericolose della macchina coperte dalla protezione possono operare grazie ad essa ma la sola chiusura della protezione non attiva il loro funzionamento Molte macchine sono gi dotate di contattori singoli o doppi che funzionano nel modo descritto precedentemente o hanno un sistema che ottiene lo stesso risultato Quando si monta un interblocco su una macchina esistente necessario determinare se il sistema di controllo dell alimentazione risponde a tali requisiti e se necessario attuare ulteriori misure Funzioni di reset rel di monitoraggio di sicurezza Allen Bradley Guardmaster sono dotati di reset manuale monitorato o reset automatico manuale 50 SAFEBOOK 4 Dispositivi e misure di protezione Reset manuale monitorato Un reset manuale monitorato richiede un cambiamento di stato del circuito di reset dopo che la porta stata chiusa o l arresto di emergenza resettato contatti ausiliari normalmente chiusi ad accoppiamento meccanico dei contattori di commutazione di potenza sono connessi in serie con un pulsante instabile Una volta che la prote zione stata aperta e chiusa nuovamente il rel di sicurezza non consente alla macchina di essere riavviata finch non si verifica un cambiamento di stato del pul sante di reset Ci in linea con l intento dei requisiti relativi al reset manuale ag giuntivo previsto da EN ISO 13849 1 val
186. ri ecc Dopo essere stati letti questi dati sono considerati dati standard non di sicurezza 55 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Reti di sicurezza Le reti di comunicazione a livello di impianto hanno permesso ai fabbricanti di miglio rare la flessibilit aumentare le capacit di diagnostica e le distanze ridurre i costi di installazione e cablaggio facilitare la manutenibilit e in generale migliorare la pro duttivit delle loro operazioni di produzione Le stesse motivazioni sono alla base dell implementazione delle reti di sicurezza industriali Queste reti di sicurezza con sentono ai fabbricanti di distribuire I O e dispositivi di sicurezza sui macchinari me diante un semplice cavo di rete riducendo i costi di installazione migliorando la dia gnostica e installando sistemi di sicurezza di maggiore complessit Permettono inoltre la comunicazione sicura tra PLC e controllori di sicurezza dando agli utilizza tori la possibilit di distribuire il controllo di sicurezza tra diversi sistemi intelligenti Le reti di sicurezza non impediscono l occorrenza di errori di comunicazione Le reti di sicurezza hanno una maggiore capacit di rilevamento degli errori di trasmissione per cui successivamente i dispositivi di sicurezza adottano le misure adeguate Tra gli errori di comunicazione rilevati ci sono i seguenti inserimento di messaggi perdita di mes
187. ricolo il rischio po trebbe essere cos elevato da rendere indispensabile l adozione di misure estreme di protezione Quindi per prendere una decisione sulla necessit e sul tipo di intervento occorre essere in grado di quantificare il rischio 26 SAFEBOOK 4 Strategia della sicurezza Il rischio viene spesso inteso esclusivamente in termini di gravit delle lesioni in caso di incidente SIA la gravit del danno potenziale SIA la probabilit che si verifichi devono essere prese in considerazione per stimare la gravit del rischio presente Il metodo proposto nelle pagine successive per la valutazione del rischio non l unico metodo possibile poich circostanze diverse potrebbero richiedere approcci diversi PRESENTATO SOLO COME LINEA GUIDA GENERALE VOLTA A INCORAGGIARE L USO DI UNA STRUTTURA METODICA E DOCUMENTATA Il sistema a punti utilizzato non stato calibrato per particolari tipi di applicazione e quindi potrebbe non essere necessariamente adatto per un applicazione specifica Il Rapporto tecnico ISO TR 14121 2 Risk assessment Practical guidance and examples of methods fornisce istruzioni pratiche alcune delle quali sono dedicate ai vari metodi di quantificazione dei rischi Vengono presi in considerazione i seguenti fattori LA GRAVIT DELLE LESIONI POTENZIALI LA PROBABILIT CHE SI VERIFICHINO La probabilit di occorrenza comprende due fattori e FREQUENZA DELL ESPOSIZIONE PROBABILIT
188. rire tutte le condizioni anomale prevedibili e normali Anche le combinazioni di ingressi e sequenze di funzionamento dovrebbero essere considerate Questa procedura importante perch sempre necessario controllare che il sistema sia adatto alle caratteristiche ambientali e operative esistenti Alcune di queste caratteristiche possono essere diverse da quelle anticipate in fase progettuale 93 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Progettazione del sistema secondo IEC EN 62061 Lo standard IEC EN 62061 Sicurezza del macchinario Sicurezza funzionale dei sistemi di comando e controllo elettrici elettronici ed elettronici programmabili correlati alla sicurezza rappresenta il recepimento specifico per i macchinari dello standard IEC EN 61508 Indica i requisiti applicabili alla progettazione a livello di sistema di tutti i tipi di sistemi di controllo elettrici legati alla sicurezza dei macchinari oltre che alla progettazione di dispositivi o sottosistemi non complessi La valutazione dei rischi sfocia in una strategia di riduzione dei rischi che a sua volta identifica le esigenze relative alle funzioni di controllo legate alla sicurezza Queste funzioni devono essere documentate e devono includere quanto segue specifica dei requisiti funzionali e specifica dei requisiti di integrit della sicurezza requisiti funzionali sono dati quali frequenza di funzio
189. rizione dei metodi adottati per eliminare i rischi presentati dalla macchina 6 Se pertinenti eventuali relazioni tecniche o certificati emessi da un laboratorio di prova o altro organismo 7 Se viene dichiarata la conformit con una norma armonizzata europea le relazioni tecniche contenenti i risultati dei relativi test 8 Una copia delle istruzioni relative alla macchina 9 Se appropriato la dichiarazione di incorporazione delle macchine parzialmente completate incluse e le istruzioni di assemblaggio relative a tali macchine 10 Se appropriato copie della dichiarazione di conformit CE della macchina o di altri prodotti incorporati nella macchina 11 Una copia della dichiarazione di conformit CE SAFEBOOK 4 Regolamenti Per la produzione in serie i dettagli sulle misure interne ad esempio sistemi di qualit usate per garantire che tutti i macchinari prodotti siano conformi produttori devono eseguire tutte le ricerche o i test necessari su compo nenti accessori o macchine complete per determinare se la progettazione e la costruzione ne consentono l installazione e la messa in servizio sicura Il dossier tecnico non deve essere necessariamente costituito da un solo documento ma deve essere comunque possibile ricostruirlo e renderlo disponibile in tempi ragionevoli Deve essere disponibile per dieci anni dopo la produzione dell ultima unit Il dossier tecnico non deve necessariamente comprendere
190. rolNet e EtherNet IP Dato che CIP Safety una estensione del protocollo CIP standard i dispositivi di sicurezza e quelli standard possono risiedere tutti sulla stessa rete Gli utilizzatori possono anche collegare tra loro a ponte reti con tenenti dispositivi di sicurezza con la possibilit di suddividere i dispositivi di sicurezza per regolare con precisione i tempi di risposta o semplicemente per facilitare la distri buzione dei dispositivi di sicurezza Dato che il protocollo di sicurezza di esclusiva responsabilit dei dispositivi finali PLC controllori di sicurezza moduli I O di sicurezza componenti di sicurezza tutti i componenti quali cavi schede di interfaccia di rete 56 SAFEBOOK 4 Dispositivi e misure di protezione ponti e router sono standard e quindi esclusi dalla funzione di sicurezza oltre a non richiedere hardware di rete specifico Dispositivi di uscita Contattori e rel di controllo di sicurezza Contattori e rel di controllo servono a togliere alimentazione all attuatore In base al livello di sicurezza contattori e rel di controllo sono dotati di funzioni speciali Per il feedback sullo stato dei contattori e dei rel di controllo al dispositivo logico si utilizzano contatti normalmente chiusi ad accoppiamento meccanico L uso di con tatti ad accoppiamento meccanico aiuta a garantire la funzione di sicurezza Per rispondere ai requisiti dei contatti ad accoppiamento meccanico i contatti norm
191. rotezione contro la saldatura dei contatti Qui sono riportate le modifiche a un sem plice sistema di Ca tegoria B per otte nere la Categoria 1 Interblocco e contat tore svolgono il ruolo chiave di scollegare l alimentazione allat tuatore quando necessario accedere al pericolo L inter blocco con attuatore Semplice sistema di sicurezza di Categoria 1 risponde ai requisiti IEC 60947 5 1 peri contatti ad azione di apertura diretta contrassegnati nel disegno dalla freccia nel cerchio Con componenti di comprovata efficienza la probabilit che l alimenta zione venga scollegata pi alta per la Categoria 1 che per la Categoria B L uso di componenti di comprovata efficienza serve a impedire la perdita della funzione di si curezza Anche con questi miglioramenti un singolo guasto pu comunque compor tare la perdita della funzione di sicurezza Avvio Arresto Protezione chiusa Motore pericolo Terra Le Categorie B e 1 sono basate sulla prevenzione La concezione intesa a prevenire le situazioni pericolose Quando la sola prevenzione non consente una sufficiente riduzione del rischio bisogna ricorrere al rilevamento dei guasti Le Categorie 2 3 e 4 sono basate sul rilevamento dei guasti con requisiti sempre pi severi per ottenere sempre maggiori livelli di riduzione dei rischi 110 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Categoria 2 Oltr
192. saggi corruzione di messaggi ritardo di messaggi ripetizione di messaggi e sequenza non corretta dei messaggi Per molte applicazioni quando viene rilevato un errore il dispositivo entra in uno stato di diseccitazione noto tipicamente chiamato stato di sicurezza Il dispositivo di ingresso o di uscita di sicurezza deve rilevare questi errori di comunicazione e poi entrare se necessario in stato di sicurezza Le prime reti di sicurezza erano legate a un particolare tipo di supporto o schema di accesso ai supporti e di conseguenza i fabbricanti dovevano usare cavi schede di interfaccia di rete router ponti ecc specifici che diventavano parte integrante della funzione di sicurezza Queste reti erano limitate per il fatto che supportavano solo la comunicazione tra i dispositivi di sicurezza Ci significava che i fabbricanti dove vano usare due o pi reti per la loro strategia di controllo delle macchine una rete per il controllo standard e un altra per il controllo legato alla sicurezza con lau mento dei costi di installazione formazione e dei pezzi di ricambio Le moderne reti di sicurezza consentono di comunicare con dispositivi di controllo stan dard e di sicurezza mediante un unico cavo di rete CIP Common Industrial Protocol Safety un protocollo standard aperto pubblicato da ODVA Open DeviceNet Vendors Association che permette la comunicazione di sicurezza tra i dispositivi di sicurezza su reti DeviceNet Cont
193. senza autorizzazione o ignorato In questo caso la sicurezza della macchina dipende dalla corretta applicazione e dal funzionamento corretto del sistema protettivo anche in condizioni di guasto Adesso occorre esaminare il funzionamento corretto di tale sistema Per ogni tipo di sistema esistono numerose tecnologie con diversi gradi di prestazione per il monitoraggio il rilevamento e la prevenzione dei guasti In un mondo ideale tutti i sistemi protettivi sarebbero perfetti e non consentirebbero alcuna possibilit di guasto in condizioni pericolose Nel mondo reale tuttavia siamo limitati dalla nostra conoscenza imperfetta e dai materiali adoperati Un altro vincolo rilevante il costo In base a questi fattori chiaro che occorre utilizzare un certo senso delle proporzioni Sarebbe ridicolo insistere che l integrit di un sistema di protezione di una macchina che nel peggiore dei casi pu provocare un ema toma sia la stessa richiesta per un jumbo jet che vola a chilometri di distanza da terra Le conseguenze di un eventuale guasto del sistema sono drasticamente diverse e dunque necessario poter in qualche modo correlare la portata delle misure protettive al livello di rischio calcolato durante la fase di stima dei rischi Qualunque sia il dispositivo di protezione prescelto occorre ricordare che un sistema legato alla sicurezza pu comprendere numerosi elementi tra cui il dispositivo di protezione il cablaggio un disp
194. si deve fare Dobbiamo definire la funzione di sicurezza Indubbiamente la funzione di sicurezza deve essere appropriata all applicazione quindi come stabilirlo In che modo ci aiuta lo standard La funzionalit richiesta pu essere determinata solo considerando le caratteristiche prevalenti a livello dell applicazione effettiva Questo riguarda il concetto di sicu rezza in fase di progettazione Questo aspetto non pu essere interamente trattato dallo standard poich la norma non conosce tutte le caratteristiche di una specifica applicazione e ci spesso vale anche per il costruttore che produce la macchina ma non conosce necessariamente le esatte condizioni per le quali verr utilizzata 73 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine La norma fornisce un aiuto elencando molte delle funzioni di sicurezza pi comune mente usate ad es funzione di arresto correlata alla sicurezza attivata da una pro tezione funzione di muting funzione di avviamento riavviamento e indicando alcuni requisiti normalmente associati a esse Altri standard quali EN ISO 12100 Principi generali di progettazione e EN ISO 14121 Valutazione del rischio sono altamente raccomandati in questa fase Esiste inoltre una vasta gamma di standard specifici per le macchine in grado di fornire soluzioni per particolari gruppi di macchine Nell ambito degli standard EN europei sono detti standard di tipo C la m
195. siva richiesta di intervento della funzione di sicurezza Se tale rilevamento non possibile l accumulo di errori non deve comportare la perdita della funzione di sicurezza Quando si verificano i guasti la funzione di sicurezza viene sempre eseguita guasti vengono rilevati in tempo utile per prevenire la perdita della funzione di sicurezza 107 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Categoria B La categoria B fornisce i requisiti di base di qualunque sistema di controllo che si tratti di un sistema di controllo legato alla sicurezza o meno Un sistema di controllo deve lavorare nell ambiente previsto Il concetto di affidabilit rappresenta un fondamento per i sistemi di controllo dato che l affidabilit definita come la probabilit che un dispositivo realizzi la funzione prevista per un determinato intervallo nelle condizioni previste La Categoria B richiede l applicazione dei principi di sicurezza di base ISO 13849 2 contiene i principi di sicurezza di base dei sistemi elettrici pneumatici idraulici e meccanici principi elettrici sono riepilogati come segue Corretta selezione combinazione disposizione assemblaggio e installazione in conformit alle istruzioni del produttore e Compatibilit dei componenti a tensioni e correnti e Compatibilit alle condizioni ambientali Uso del principio di diseccitazione Soppression
196. so logica uscita un singolo guasto pu comportare la perdita della funzione di sicurezza In alcuni casi la Categoria 2 non pu essere completamente applicata a un sistema di sicurezza perch non tutti i componenti possono essere controllati 111 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Arresto Protezione chiusa Interruttore con attuatore Terra Sistema di sicurezza di Categoria 2 Questo un semplice sistema di Categoria 1 migliorato per rispondere alla Catego ria 2 Un rel di monitoraggio di sicurezza MSR realizza il test Al accensione PMSR controlla i suoi componenti interni Se non viene rilevato alcun guasto MSR controlla l interruttore con attuatore monitorando la funzionalit dei suoi contatti Se non viene rilevato alcun guasto e la protezione chiusa MSR controlla il disposi tivo di uscita i contatti ad accoppiamento meccanico del contattore Se non viene rilevato alcun guasto e il contattore disattivato MSR eccita la sua uscita interna e collega la bobina di K1 al pulsante di arresto A questo punto i componenti non legati alla sicurezza del sistema di controllo della macchina il circuito di Avvia mento Arresto Interblocco possono accendere e spegnere la macchina Aprendo la protezione si disattivano le uscite dell MSR Quando la protezione viene richiusa MSR ripete i controlli sul sistema di sicurezza Se non viene rilevato alcun guas
197. sottosistema degli interruttori di finecorsa viene mostrato scomposto fino a livello di elemento Il sottosistema dei contattori di uscita suddiviso sino a livello di blocco mentre il sottosistema logico non suddiviso affatto La funzione di monitoraggio sia per gli interruttori di finecorsa che per i contattori viene svolta dal controllore logico Pertanto le caselle che rappresentano i sottosistemi degli interruttori di finecorsa e dei contattori si sovrappongono leggermente a quella del sottosistema logico Questo principio di suddivisione del sistema si ritrova nella metodologia indicata nello standard EN ISO 13849 1 e nel principio della struttura base del sistema adottato dal tool SISTEMA Tuttavia importante notare che vi sono alcune sottili differenze Lo standard non restrittivo nella sua metodologia ma per il metodo semplificato di stima del PL il primo passo di solito consiste nello scomporre la struttura del sistema in canali e in blocchi all interno di ciascun canale Con il tool SISTEMA il sistema in genere viene dapprima suddiviso in sottosistemi Lo standard non definisce esplicita mente il concetto di sottosistema ma l uso indicato da SISTEMA prevede un approccio pi comprensibile e intuitivo Naturalmente non vi alcun effetto sul calcolo finale SISTEMA e lo standard utilizzano entrambi gli stessi principi e le stesse formule altrettanto interessante osservare che l approccio del sottosistema si ritrova anche
198. tandard rappresenta il recepimento di IEC EN 61508 specifico per il settore dell industria di processo Gli standard di sicurezza funzionale rappresentano un significativo passo avanti rispetto a requisiti esistenti quali il controllo affidabile e il sistema di categorie della precedente ISO 13849 1 1999 EN 954 1 1996 Le categorie non scompariranno completamente sono anche presenti nell attuale EN ISO 13849 1 che utilizza il concetto di sicurezza funzionale e ha introdotto una nuova terminologia e nuovi requisiti Vi sono importanti aggiunte e differenze rispetto al vecchio EN 954 1 ISO 13849 1 1999 In questa sezione ci riferiremo all attuale versione come EN ISO 13849 1 EN ISO 13849 1 2008 ha lo stesso testo di ISO 13849 1 2006 IEC EN 62061 e EN ISO 13849 1 2008 Sia IEC EN 62061 che EN ISO 13849 1 riguardano i sistemi di controllo elettrici cor relati alla sicurezza L intento quello di farli confluire in un unico standard con ter minologia comune Entrambi gli standard producono lo stesso risultato utilizzando tuttavia metodi diversi Sono concepiti per offrire all utente la possibilit di scegliere quello pi adatto alla propria situazione L utente pu scegliere indifferentemente l uno o l altro standard dal momento che sono entrambi armonizzati in base alla Direttiva Macchine europea I risultati di entrambi gli standard sono livelli comparabili di integrit o prestazioni di sicurezza Le metodologie di ogni
199. tare le informazioni pertinenti e gli esperti LIMITI DELLA MACCHINA E possibile prevedere tutti gli usi e i funzionamenti possibili della macchina IDENTIFICAZIONE DEI PERICOLI Identificare tutte le situazioni di pericolo Quindi per ogni pericolo STIMA DEL RISCHIO Stimare il livello di rischio dovuto al pericolo RIDUZIONE DEL RISCHIO Risolvere il pericolo attraverso VALUTAZIONE DEL RISCHIO un processo di riprogettazione Il livello di rischio i e misure aggiuntive accettabile Determinare se la prestazione Le misure di sicurezza sono e le caratteristiche funzionali della misura di sicurezza sono state analizzate e dimostrate e 3 quali adeguate J adatte alla macchina e al tipo di uso a cui destinata FINE DEL si J STRATEGIA DELLA SICUREZZA 23 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine La VALUTAZIONE DEI RISCHI basata su una chiara comprensione dei limiti e delle funzioni della macchina e delle attivit che la macchina pu dover svolgere durante la sua vita operativa La RIDUZIONE DEI RISCHI viene eseguita se necessario e le misure di sicurezza vengono selezionate in base alle informazioni ricavate dalla fase di valutazione del rischio Il modo in cui questo viene fatto rappresenta la base della STRATEGIA DELLA SICUREZZA per la macchina necessario un elenco di controllo da seguire per garantire che tutti gli aspetti siano presi in consid
200. tazione disponibile per gli attuatori della macchina Un normale arresto di produzione considerato un arresto di categoria 2 Queste categorie di arresti devono essere applicate a ciascuna funzione di arresto nel caso in cui per funzione di arresto si intende l azione intrapresa dalle 41 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine componenti relative alla sicurezza del sistema di controllo come reazione a un ingresso deve essere usata la categoria 0 o 1 Le funzioni di arresto devono avere la precedenza sulle funzioni di avviamento La scelta della categoria di arresto per ogni funzione di arresto deve essere determinata mediante valutazione dei rischi Funzione di arresto d emergenza La funzione di arresto d emergenza deve operare come un arresto di categoria 0 o 1 a seconda di quanto determinato dalla valutazione del rischio Deve essere avviata da un unica azione umana Quando viene eseguita deve avere la precedenza su tutte le altre funzioni e modalit di funzionamento della macchina L obiettivo quello di togliere alimentazione il pi rapidamente possibile senza creare rischi aggiuntivi Fino a poco tempo fa erano necessari componenti elettromeccanici cablati per i circuiti di arresto di emergenza Grazie alle recenti modifiche apportate a standard come IEC 60204 1 e NFPA 79 nei circuiti di arresto di emergenza possono essere utilizzati PLC di sicurezza e altre for
201. tema deve soddisfare sia i requisiti a livello di PFHp che i vincoli hardware oltre alle altre disposizioni pertinenti dello standard 96 SAFEBOOK 4 Progettazione del sistema secondo IEC EN 62061 SPE Tolleranza ai guasti hardware percentuale di guasti sicuri 0 1 2 lt 60 Non ammesso se non per SILA SIL2 specifiche eccezioni 60 lt 90 SIL1 SIL2 SIL3 90 lt 99 SIL2 SIL3 SIL3 299 SIL3 SIL3 SIL3 Vincoli hardware su SIL Per esempio l architettura di un sottosistema con tolleranza a un singolo guasto e una percentuale di guasti sicuri del 75 non pu andare oltre SIL2 a prescindere dalla probabilit di guasto pericoloso Quando si combinano i sottosistemi il SIL ottenuto dall SRCS deve essere inferiore o uguale al SIL CL pi basso tra i sottosistemi coinvolti nella funzione di controllo legata alla sicurezza Realizzazione del sistema Per calcolare la probabilit di guasto pericoloso ogni funzione di sicurezza deve essere suddivisa in blocchi funzione che vengono poi realizzati come sottosistemi L implementazione del progetto di sistema di una funzione di sicurezza tipica prevede un dispositivo di rilevamento collegato a un dispositivo logico collegato a sua volta a un attuatore Questo crea una configurazione in serie di sottosistemi Come abbiamo visto se possiamo determinare la probabilit di guasto pericoloso per ogni sottosistema e conoscere il suo SIL CL sa
202. temi e componenti Le categorie possono esser utilizzate sia nelle classificazioni dei componenti dispositivi di sicurezza che nelle classificazioni dei sistemi Questo genera un po di confusione che pu essere superata conoscendo i componenti e le loro capacit Studiando gli esempi precedenti rileviamo che un componente come ad esempio un interruttore di interblocco attribuito alla Categoria 1 pu essere utilizzato da solo in un sistema di Categoria 1 e pu essere utilizzato in un sistema di Categoria 2 prevedendo un monitoraggio funzionale supplementare Inoltre pu anche rientrare 122 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali in un sistema di Categoria 3 o 4 se due di tali componenti vengono utilizzati insieme facendo svolgere una funzione di diagnostica a un rel di monitoraggio di sicurezza Alcuni componenti come i rel di monitoraggio di sicurezza e i controllori di sicu rezza programmabili sono dotati di diagnostica interna autonoma e sono in grado di controllarsi autonomamente per garantire prestazioni adeguate Pertanto possono essere classificati come componenti di sicurezza conformi ai requisiti previsti per le Categorie 2 3 e 4 senza adottare altre misure Considerazione ed esclusione dei guasti La valutazione della sicurezza richiede una ampia analisi dei guasti e una perfetta comprensione della funzionalit del sistema di sicurezza in presenza di guasti ISO 13849
203. tendono a replicare la funzione dei rel di sicurezza Ad esempio l istru zione per il pulsante di emergenza funziona in modo molto simile a un MSR 127 An che se la logica dietro ognuna di queste istruzioni complessa i programmi di sicu rezza sembrano relativamente semplici perch il programmatore non fa altro che collegare tra di loro questi blocchi Queste istruzioni insieme ad altre istruzioni logi che matematiche di manipolazione dati ecc sono certificate da terzi per assicurare che il loro funzionamento sia coerente con gli standard applicabili 53 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine I blocchi funzione sono il metodo predominante di programmazione delle funzioni di sicurezza Oltre ai blocchi funzione e alla logica ladder i PLC di sicurezza forni scono anche istruzioni applicative di sicurezza certificate Le istruzioni di sicurezza certificate servono a gestire applicazioni specifiche Questo esempio mostra una istruzione di arresto di emergenza Per compiere la stessa funzione in logica ladder sarebbero necessari circa 16 rami di logica ladder Poich il comportamento logico integrato nell istruzione per l arresto di emergenza la logica integrata non deve essere testata I blocchi funzione certificati possono interfacciare quasi tutti i dispositivi di sicurezza Un eccezione data dal bordo di sicurezza a tecnologia resistiva I PLC di sicurezza
204. test di labora torio su un dispositivo elettronico non necessariamente detto che sia possibile individuare dei modelli di guasto tipici a lungo termine Per determinare l affidabilit dei dispositivi elettronici si soliti ricorrere all analisi e al calcolo Esistono dati di affidabilit in cui possibile reperire dati utili relativi ai singoli componenti Tramite l analisi si possono individuare le modalit di guasto dei componenti che risultano pericolose pratica accettabile e usuale fare una media valutando le modalit di guasto per il 50 sicure e il 50 pericolose In questo modo in genere si ottengono dati relativamente conservativi Lo standard IEC 61508 fornisce formule per il calcolo della probabilit generale che si verifichi un danno pericoloso PFH o PFD del dispositivo ossia del sottosistema Le formule sono abbastanza complesse e prendono in considerazione laddove applicabile l affidabilit dei componenti il grado di propensione a guasti di causa comune fattore beta la copertura diagnostica DC l intervallo dei test funzionali e l intervallo dei test diagnostici La buona notizia che questo calcolo complesso viene normalmente eseguito dal produttore del dispositivo Sia EN IEC 62061 che l EN ISO 13849 1 accettano un sottosistema calcolato in questo modo in base all IEC 61508 Il PFHp che ne risulta pu essere utilizzato direttamente nell Allegato K dell EN ISO 13849 1 o nel tool di calcolo SISTE
205. to necessario un completo e dettagliato studio di IEC EN 62061 PL e ENISO 13849 1 2008 EN ISO 13849 1 2008 non user il termine SIL user il termine PL Performance Level Per molti aspetti PL pu essere collegato a SIL livelli prestazionali sono cinque PLa il pi basso e PLe il pi alto Confronto tra PL e SIL Questa tabella mostra la relazione approssimativa tra PL e SIL applicata a strutture di circuito tipiche PL PFHD SIL livello Probabilit di guasti Livello di integrit prestazionale pericolosi all ora della sicurezza a da 210 a lt 10 Nessuno b da 23 x 1078 a lt 10 1 c da gt 10 a lt 3 x 1079 1 d da 2107 a lt 10 2 e da 210 a lt 107 3 Corrispondenza approssimata tra PL e SIL IMPORTANTE la tabella sopra riportata soltanto indicativa e NON deve essere usata a scopi di conversione necessario indicare i requisiti completi degli standard 70 SAFEBOOK 4 Progettazione del sistema secondo EN ISO 13849 1 2008 Progettazione del sistema secondo EN ISO 13849 e SISTEMA Prima che possa essere correttamente applicato necessario un completo e dettagliato studio di EN ISO 13849 1 2008 Quanto segue una breve presentazione Questo standard fornisce i requisiti per la progettazione e l integrazione dei componenti di sicurezza dei sistemi di controllo compresi alcuni elementi software Lo standard si applica a un sistema di sicurezza ma pu anc
206. to MSR attiva la sua uscita interna LMSR permette a questo circuito di rispondere alla Categoria 2 testando il dispositivo di ingresso il dispositivo logico se stesso e il dispositivo di uscita Il test eseguito alla prima accensione e prima dell inizio del pericolo Con le sue capacit logiche intrinseche un sistema di sicurezza basato su PLC pu essere concepito per rispondere alla Categoria 2 Come stabilito nella precedente trattazione della Categoria 1 il punto diventa la giustificazione di comprovata effi cienza del PLC tra cui le sue capacit di test Per sistemi di sicurezza complessi che richiedono una classificazione di Categoria 2 un PLC non di sicurezza do vrebbe essere sostituito con un PLC di sicurezza conforme a IEC 61508 112 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Questo l esempio di un sistema com plesso che usa un PLC di sicurezza Un PLC di sicurezza essendo concepito secondo un determi nato standard ri sponde ai requisiti di comprovata effi cienza contatti ad accoppiamento mec canico dei contattori sono portati all in gresso del PLC a scopo di test A seconda della logica di programma questi contatti possono essere collegati in serie a un terminale di ingresso o a singoli terminali di ingresso Ingresso Logica Uscita Terra Sistema di sicurezza complesso di Categoria 2 Anche se vengono utilizzati componenti di sicurezza di
207. to di stato in corrispondenza dell MSR sia Ch1 che Ch2 rimangono aperti Se quindi si chiude Sw1 o Sw3 il pericolo pu essere riattivato premendo il pulsante di avviamento In queste circostanze il guasto non ha determinato una perdita della funzione di sicurezza ma non stato rilevato e persiste nel sistema pertanto un guasto successivo un cortocircuito attraverso il secondo contatto di Sw2 potrebbe comportare la perdita della funzione di sicurezza 116 SAFEBOOK 4 Sistemi di controllo legati alla sicurezza considerazioni strutturali Se si apre e si chiude solo Sw2 senza intervento degli altri interruttori Ch1 viene aperto e Ch2 rimane chiuso L MSR diseccita il pericolo poich Ch1 aperto Quando Sw2 si chiude il motore non pu essere avviato con il pulsante di avviamento premuto perch Ch2 non si aperto Il guasto viene rilevato Tuttavia se per qualsiasi motivo Sw1 o Sw3 dovesse quindi essere aperto e chiuso sia Ch1 che Ch2 diverranno prima circuiti aperti e poi circuiti chiusi Questa sequenza simula l azzeramento del guasto e determina un reset involontario dell MSR Si pone quindi l interrogativo di quale DC dichiarare per i singoli interruttori quando si utilizza lo standard EN ISO 13849 1 o IEC 62061 AI momento della pubblica zione di questo testo non esistono indicazioni specifiche e definitive sull argomento ma nella prassi si soliti considerare una DC del 60 a patto che gli interruttori veng
208. to di uscita non deve chiudersi passando attraverso la posizione 2 I dispositivi di abilitazione devono essere usati in combinazione con altre funzioni legate alla sicurezza Un tipico esempio il controllo del movimento in modalit lenta Dopo aver attivato la modalit lenta l operatore pu entrare nella zona di pericolo con il dispositivo di abilitazione Quando si usa un dispositivo di abilitazione un segnale deve indicare che il dispositivo di abilitazione attivo Dispositivi logici I dispositivi logici svolgono un ruolo centrale tra i componenti legati alla sicurezza del sistema di controllo dispositivi logici effettuano il controllo e il monitoraggio del sistema di sicurezza e consentono l avviamento della macchina o eseguono i comandi per il suo arresto Per creare un architettura di sicurezza rispondente alla complessit e alla funziona lit di ogni macchina disponibile un ampia serie di dispositivi logici piccoli rel di monitoraggio di sicurezza cablati sono pi economici e quindi adatti alle macchine pi piccole in cui per completare la funzione di sicurezza necessario un disposi tivo logico dedicato rel di sicurezza di monitoraggio modulari e configurabili sono preferibili dove necessario un maggior numero di dispositivi di protezione e un controllo di zona minimo Le macchine medio grandi e pi complesse devono invece considerare sistemi programmabili con I O distribuiti Rel di monit
209. trambe le mani dell operatore sono impegnate in una posizione sicura ossia sui comandi e non possono quindi essere spostate nell area pericolosa comandi devono essere azio nati continuamente finch permane una situazione di pericolo Quando uno dei co mandi viene rilasciato il funzionamento della macchina deve cessare e prima che la macchina possa essere riavviata devono essere rilasciati entrambi i comandi 43 Allen Bradley Sistemi di controllo legati alla sicurezza delle macchine e H SAFEBOOK 4 Un sistema di controllo a due mani dipende fortemente dalla capacit del sistema di monitoraggio e di controllo di rilevare eventuali guasti dunque importante che questo aspetto sia progettato con le specifiche corrette La prestazione del sistema di sicurezza a due mani classificata in Tipi da ISO 13851 EN 574 correlati alle Categorie ISO 13849 1 tipi pi comunemente usati per la sicurezza delle macchine sono IIIB e IIIC La tabella che segue mostra la relazione tra i tipi e le categorie di prestazioni di sicurezza Tipi Requisiti II l sP Attivazione sincrona X X X Uso della Categoria 1 da ISO 13849 1 X X Uso della Categoria 3 da ISO 13849 1 X X Uso della Categoria 4 da ISO 13849 1 X La progettazione fisica degli spazi deve impedire luso improprio ad es utilizzando una mano e un gomito Ci possibile mediante un calcolo delle distanze o l instal
210. tte le fasi La descrizione presuppone una conoscenza di base dell ambiente di programmazione RSLogix Configurazione del controllore e dei moduli I O aggiuntivi Attenersi alla seguente procedura 1 Nel software RSLogix 5000 creare un nuovo progetto us ns susy cono Elf ne 133 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine 3 Selezionare il modulo 1768 ENBT e fare clic su OK Select Module EJ Communications L ir DER ControlNet aksa m Motion Other 4 Nominare il modulo digitare il relativo indirizzo IP quindi fare clic su OK In questo esempio stato utilizzato l indirizzo 192 168 1 8 L indirizzo dell utente pu essere diverso Type 1768 ENBT A 1768 10 100 Mbps Ethernet Bridge Twisted Paa Media Vendor Allen Bradley Parent nors er Description m Shot fi Revisioni F fi Electronic Keying Compatible Keying Iv Open Module Properties Co Cancel Help 134 SAFEBOOK 4 Esempio applicativo con SISTEMA 5 Aggiungere la scheda 1734 AENT facendo clic con il pulsante destro del mouse sul modulo 1768 ENBT nell Organizer del controllore e selezionare New Module F E 1 0 Configuration G A 1763 Bus 9 rg 1 1768 ENBT A ENBET m 1769Bu E 0 e Print 6 Selezionare la scheda 1734 ENBT e fare clic su OK Select Module Allen Bradley 1 33 Ethernet Adapte Z ort IWisted Par Media allen Brad
211. ttraverso software e hardware I sistemi di controllo legati alla sicurezza sono concepiti per realizzare funzioni di sicurezza Il sistema SRCS deve continuare a funzionare correttamente in tutte le condizioni prevedibili Quindi che cos una funzione di sicurezza come possiamo progettare un sistema per realizzarla e una volta messa a punto come dimostrare la sua efficacia Funzione di sicurezza Una funzione di sicurezza implementata dai componenti legati alla sicurezza del sistema di controllo della macchina per ottenere o mantenere l apparecchiatura in uno stato di sicurezza rispetto a uno specifico pericolo Un guasto della funzione di sicurezza pu comportare un immediato aumento dei rischi legati all uso dell appa recchiatura ovvero una condizione pericolosa Una macchina deve presentare almeno un pericolo altrimenti non una mac china Una condizione pericolosa si verifica quando una persona esposta a un pericolo Una condizione pericolosa non implica che la persona sia ferita La persona esposta pu essere in grado di riconoscere il pericolo e di evitare lesioni La persona esposta pu non essere in grado di riconoscere il pericolo o il pericolo pu essere originato da un avviamento non intenzionale Il compito principale del progettista di sistemi di sicurezza prevenire le condizioni pericolose e gli avviamenti non intenzionali La funzione di sicurezza pu spesso essere descritta con requisiti m
212. ulle Norme Armonizzate Europee EN Per ulteriori informazioni visitare il sito web ISO www iso org IEC International Electrotechnical Commission L IEC redige e pubblica standard internazionali per impianti elettrici elettronici e re lative tecnologie Attraverso i suoi membri l IEC promuove la collaborazione interna zionale su tutte le questioni di standardizzazione elettrotecnica e temi collegati come la valutazione della conformit agli standard elettrotecnici Per ulteriori informazioni visitare il sito web IEC www iec ch Norme europee armonizzate EN Questi standard sono condivisi da tutti i paesi SEE e sono redatti dagli enti di normazione europei CEN e CENELEC Il loro uso volontario ma progettare e produrre le apparecchiature in base a questi standard il modo pi semplice e diretto per dimostrare la conformit ai requisiti fondamentali di sicurezza e salute della Direttiva Macchine Sono suddivisi in 3 tipi standard A B e C STANDARD di tipo A trattano aspetti relativi a tutti i tipi di macchina STANDARD di tipo B sono suddivisi in 2 gruppi STANDARD di Tipo B1 trattano aspetti di sicurezza ed ergonomicit specifici dei macchinari STANDARD di Tipo B2 riguardano i componenti di sicurezza e i dispositivi di protezione STANDARD di tipo C riguardano tipi o gruppi specifici di macchine 19 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine im
213. ulticomponente Ad esempio la funzione di sicurezza originata da una protezione di interblocco si basa su tre aspetti 1 i pericoli coperti dalla protezione non possono agire fino a che la protezione chiusa 2 l apertura della protezione provoca l arresto del pericolo se attivo al momento dell apertura 3 la chiusura della protezione non riavvia il pericolo coperto dalla protezione 65 Allen Bradley e H SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine Quando si definisce la funzione di sicurezza per una specifica applicazione la parola pericolo deve essere sostituita dal pericolo specifico Il pericolo non deve essere confuso con le sue conseguenze Schiacciamento taglio e ustioni sono le conseguenze di un pericolo Esempi di pericolo sono motori stantuffi coltelli torce pompe laser robot organi terminali di robot solenoidi valvole altri tipi di attuatore o pericoli meccanici con effetti gravitazionali Nella discussione sui sistemi di sicurezza stata utilizzata la frase in concomi tanza o prima della richiesta di intervento della funzione di sicurezza Che cos una richiesta di intervento della funzione di sicurezza Esempi di richiesta di inter vento della funzione di sicurezza sono l apertura di una protezione interbloccata l interruzione di una barriera fotoelettrica il passo su una pedana di sicurezza o la pressione di un arresto di emergenza Un operatore chiede
214. una Dichiarazione di C Su tutte le macchine fornite deve essere affisso il marchio CE Inoltre Conformit CE Il marchio CE attesta che la macchina conforme a tutte le Direttive Europee applicabili e che stata sottoposta a tutte le corrispondenti procedure di valutazione della conformit Apporre il marchio CE per la Direttiva Macchine un reato se la macchina non soddisfa i requisiti essenziali di sicurezza e salute SAFEBOOK 4 Regolamenti La Dichiarazione di conformit CE deve contenere le seguenti informazioni Ragione sociale e indirizzo completo del produttore e se appropriato del rappresentante autorizzato Nome e indirizzo della persona autorizzata a redigere il dossier tecnico che deve essere residente nella Comunit nel caso di un produttore con sede al di fuori dell UE pu essere il Rappresentante autorizzato Descrizione e identificazione della macchina comprendente denominazione generica funzione modello tipo numero di serie e nome commerciale Unafrasein cui si dichiari espressamente che la macchina conforme a tutte le disposizioni pertinenti di questa direttiva e se appropriato una frase simile in cui si dichiari la conformit ad altre direttive e o disposizioni pertinenti a cui la macchina conforme Se appropriato un riferimento alle norme armonizzate utilizzate Se appropriato un riferimento alle altre norme armonizzate e specifiche utilizzate Perle m
215. unque essere rispettati come nel caso della Direttiva 2004 108 CE e della Direttiva ATEX 94 9 CE SAFEBOOK 4 Regolamenti La Direttiva Macchine La Direttiva macchine riguarda la fornitura di Macchinari nuovi e di altre attrezzature compresi i componenti di sicurezza La fornitura nei Paesi dell Unione Europea di mac chine non conformi alle disposizioni e ai requisiti di questa direttiva costituisce un reato La definizione di macchina nell accezione pi ampia riportata nella Direttiva la seguente insieme equipaggiato o destinato a essere equipaggiato con un sistema di azionamenti diverso dalla forza umana o animale diretta composto di parti o componenti di cui almeno uno mobile collegati tra loro solidamente per un applicazione ben determinata L attuale Direttiva Macchine 2006 42 CE ha sostituito la versione precedente 98 37 CE alla fine del 2009 Essa comprende chiarimenti ed emendamenti ma non introduce modifiche sostanziali ai requisiti essenziali per la salute e la sicurezza EHSR previsti Invece comprende delle modifiche da tenere presente a livello di tecnologie e metodi Marcatura CE apposta sulla macchina Inoltre il suo campo di applicazione stato ampliato per coprire alcuni tipi di macchine in pi ad es montacarichi per cantieri edili Ora inoltre richiesta esplicitamente una valutazione dei rischi per la determinazione degli EHSR applicabili e sono state apportate delle modifiche relative
216. urezza dipendevano da apparecchiature semplici con modalit di guasto molto prevedibili Di recente abbiamo assistito a un crescente utilizzo di dispositivi elettronici programmabili pi complessi nei sistemi di sicurezza Questo ha portato a dei vantaggi in termini di costi flessibilit e compatibilit ma anche fatto s che gli standard preesistenti non fossero pi adeguati Per sapere se un sistema di sicurezza sufficientemente valido dobbiamo saperne di pi Questo il motivo per cui il nuovo standard richiede pi informazioni Dato che i sistemi di sicurezza hanno iniziato a utilizzare un approccio a scatola nera si cominciato a contare molto di pi sulla loro conformit agli standard Di conseguenza tali standard devono essere in grado di interrogare correttamente la tecnologia e per fare ci devono attestare i fattori base di affidabilit rilevamento guasti integrit dell architettura e del sistema Questo il compito dello standard EN ISO 13849 1 Per individuare la logica della normativa importante osservare che essa si rivolge fondamentalmente a due tipi di utenti il progettista di sottosistemi legati alla sicurezza e il progettista di sistemi legati alla sicurezza In generale il progettista di sottosistemi tipicamente il produttore di un componente di sicurezza sottoposto a un livello di complessit pi elevato Deve fornire i dati richiesti in modo che il progettista di sistemi possa garant
217. usati per rappresentare variabili e unit di misura Le formule sono ISOEN S Kx T C US CAN Ds Kx Ts Tc Tr Tbm Dpf Dove Ds e S sono la distanza di sicurezza minima dalla zona di pericolo al pi vicino punto di rilevamento Direzioni di avvicinamento Quando si considera il calcolo della distanza di sicurezza per una barriera fotoelettrica o uno scanner occorre considerare l avvicinamento al dispositivo di rilevamento L avvicinamento pu essere di tre tipi Normale avvicinamento perpendicolare al piano di rilevamento Orizzontale avvicinamento parallelo al piano di rilevamento Inclinato avvicinamento inclinato rispetto alla zona di rilevamento Costante di velocit K una costante di velocit Il valore della costante di velocit dipende dai movi menti dell operatore velocit delle mani velocit di camminata e lunghezza del passo Questo parametro basato su dati di ricerca secondo cui ragionevole presumere per il movimento della mano di un operatore a corpo fermo una velocit 59 Allen Bradley e m SAFEBOOK 4 Sistemi di controllo legati alla sicurezza delle macchine di 1 600 mm s Occorre comunque considerare le circostanze effettive dell applica zione In linea generale la velocit di avvicinamento varier da 1 600 mm s a 2 500 m s La costante di velocit adeguata deve essere determinata mediante la valutazione dei rischi Tempo di arresto T il tempo di arrest
218. vo La Sottoparte S 1910 399 stabilisce i requisiti elettrici OSHA Un installazione o un apparecchiatura accettabile per l Assistant Secretary of Labor e approvata secondo i criteri di questa Sottoparte S se accettata certificata omologata etichettata o altrimenti dichiarata sicura da un laboratorio di prova riconosciuto a livello nazionale NRTL Che cos un apparecchiatura Un termine generale che include materiali acces sori dispositivi apparecchi attrezzi di fissaggio apparati e altri componenti simili usati come parte integrante di un installazione elettrica o in collegamento ad essa Che cosa significa omologata listed L apparecchiatura omologata se corri sponde al tipo menzionato in una lista che a sia pubblicata da un laboratorio rico nosciuto a livello nazionale che effettua periodiche ispezioni della produzione di tale apparecchiatura e b attesti che tale apparecchiatura risponde agli standard rico nosciuti a livello nazionale o stata testata e riconosciuta sicura per l uso designato Nell agosto 2009 i laboratori di prova riconosciuti a livello nazionale NRTL dall OSHA erano i seguenti e Canadian Standards Association CSA e Communication Certification Laboratory Inc CCL e Curtis Straus LLC CSL e FM Approvals LLC FM Intertek Testing Services NA Inc ITSNA e MET Laboratories Inc MET e NSF International NSF e National Technical Systems
219. voro e ne impone l implementazione per legge nei casi in cui ci non avvenga volontariamente La legge include il regolamento 851 sezione 7 che definisce l analisi delle condi zioni di preavviamento relative a salute e sicurezza Questa analisi un requisito dell Ontario per qualunque componente di macchinari nuovo ricostruito o modifi cato per cui un tecnico professionista deve redigere un rapporto Standard e norme Questa sezione fornisce una lista di alcuni tipici standard e norme internazionali e nazionali relativi alla sicurezza delle macchine Non vuole essere un elenco esaustivo ma dare piuttosto una visione d insieme sulle problematiche di sicurezza delle macchine che sono oggetto di standardizzazione Questa sezione deve essere letta congiuntamente alla sezione dedicata ai regolamenti Tutti i paesi stanno lavorando per l armonizzazione globale degli standard Ci particolarmente evidente nel campo della sicurezza delle macchine Gli standard di sicurezza globali per le macchine sono governati da due organizzazioni ISO e IEC Le norme regionali e nazionali sono ancora in vigore e continuano a supportare i requisiti locali ma in molti paesi si affermata una tendenza all uso di standard internazionali redatti da ISO e IEC Le norme EN European Norm ad esempio vengono utilizzate in tutti i paesi EEA Tutte le nuove norme EN sono allineate con le norme ISO e IEC e in molti casi presentano un testo identic
220. y di Rockwell Automation inserendo nel campo di ricerca i numeri delle pubblicazioni sotto riportati In alternativa possibile consultare le panoramiche dei prodotti sul sito www ab com L indirizzo Internet della Literature library www theautomationbookstore com Risorsa Descrizione Controllori Compact GuardLogix Contiene informazioni sulla configurazione Manuale dell utente il funzionamento e la manutenzione dei Pubblicazione 1768 UM002 controllori Compact GuardLogix Moduli di sicurezza POINT Guard I O Manuale di installazione e manuale dell utente Pubblicazione 1734 UM013 Contiene informazioni sull installazione la configurazione e l uso dei moduli POINT Guard I O Contiene informazioni dettagliate sui requisiti per il conseguimento e il mantenimento delle classi di sicurezza con il sistema di controllori GuardLogix Sistemi di controllori GuardLogix Manuale di riferimento per la sicurezza Pubblicazione 1756 RM093 Manuale di riferimento Set di istruzioni per Contiene informazioni dettagliate sui set di l applicazione di sicurezza GuardLogix istruzioni per l applicazione di sicurezza Pubblicazione 1756 RM095 GuardLogix Safety Accelerator Toolkit for GuardLogix Systems Quick Start Guide in inglese Pubblicazione IASIMP QS005 Guida passo passo all uso degli strumenti di progettazione programmazione e diagnostica del Safety Accelerator Toolkit Pubblicazione comp

Download Pdf Manuals

image

Related Search

Related Contents

1 - Sony  MANUAL DE USUARIO VITRINAS PASTELERAS REV.1  Mini Star Ball Sound RGBWA LED 6x3W INSTRUCTION  Documents  Medidor de humedad  FC4 installation manual_ITA+ENG    LES VERSIONS DE 3DSMAX.cdr  Manuale tecnico  Betriebsanleitung NOVACAT 352 ED/RC  

Copyright © All rights reserved.
Failed to retrieve file