Negli ultimi anni i microprocessori hanno svolto un ruolo sempre più importante nel campo della tecnologia di sicurezza. Poiché interi computer (ad es. unità di elaborazione centrale, memoria e componenti periferici) sono ora disponibili in un unico componente come "computer a chip singolo", la tecnologia dei microprocessori viene impiegata non solo nel controllo di macchine complesse, ma anche nelle salvaguardie di un design relativamente semplice (es. barriere fotoelettriche, dispositivi di comando a due mani e coste sensibili). Il software che controlla questi sistemi comprende da mille a diverse decine di migliaia di singoli comandi e di solito è costituito da diverse centinaia di rami di programma. I programmi operano in tempo reale e sono per lo più scritti nel linguaggio assembly dei programmatori.

L'introduzione di sistemi computerizzati nell'ambito della tecnologia di sicurezza è stata accompagnata in tutte le apparecchiature tecniche su larga scala non solo da costosi progetti di ricerca e sviluppo, ma anche da significative restrizioni volte a migliorare la sicurezza. (La tecnologia aerospaziale, la tecnologia militare e la tecnologia dell'energia atomica possono qui essere citate come esempi di applicazioni su larga scala.) Il campo collettivo della produzione industriale di massa è stato finora trattato solo in modo molto limitato. Ciò è in parte dovuto al fatto che i rapidi cicli di innovazione caratteristici della progettazione di macchine industriali rendono difficile trasferire, se non in modo molto limitato, le conoscenze che possono essere derivate da progetti di ricerca riguardanti il ​​collaudo finale di sistemi su larga scala dispositivi di sicurezza. Ciò rende auspicabile lo sviluppo di procedure di valutazione rapide ea basso costo (Reinert e Reuss 1991).

Questo articolo esamina innanzitutto le macchine e gli impianti in cui i sistemi informatici svolgono attualmente compiti di sicurezza, utilizzando esempi di incidenti che si verificano prevalentemente nell'area delle protezioni delle macchine per descrivere il ruolo particolare che i computer svolgono nella tecnologia di sicurezza. Questi incidenti danno qualche indicazione su quali precauzioni devono essere prese in modo che i dispositivi di sicurezza controllati da computer che stanno diventando sempre più diffusi non portino ad un aumento del numero di incidenti. La sezione finale dell'articolo delinea una procedura che consentirà di portare anche i piccoli sistemi informatici a un livello adeguato di sicurezza tecnica con spese giustificabili e in un periodo di tempo accettabile. I principi indicati in questa parte finale sono in fase di introduzione nelle procedure internazionali di normazione e avranno implicazioni per tutti gli ambiti della tecnologia della sicurezza in cui i computer trovano applicazione.

Esempi di utilizzo di software e computer nel campo della protezione delle macchine

I quattro esempi che seguono chiariscono che software e computer stanno attualmente entrando sempre di più nelle applicazioni legate alla sicurezza nel dominio commerciale.

Gli impianti di segnalazione personale di emergenza sono costituiti, di regola, da una stazione centrale di ricezione e da una serie di dispositivi di segnalazione personale di emergenza. I dispositivi sono trasportati da persone che lavorano in loco da sole. Se una di queste persone che lavorano da sole si trovasse in una situazione di emergenza, può utilizzare il dispositivo per far scattare un allarme tramite segnale radio nella stazione centrale di ricezione. Tale attivazione dell'allarme dipendente dalla volontà può anche essere integrata da un meccanismo di attivazione indipendente dalla volontà attivato da sensori incorporati nei dispositivi di emergenza personali. Sia i singoli dispositivi che la stazione di ricezione centrale sono spesso controllati da microcomputer. È ipotizzabile che il guasto di specifiche singole funzioni del computer integrato possa portare, in una situazione di emergenza, al mancato intervento dell'allarme. Occorre quindi prendere precauzioni per percepire e riparare nel tempo tale perdita di funzionalità.

Le macchine da stampa utilizzate oggi per stampare le riviste sono macchine di grandi dimensioni. I nastri di carta vengono normalmente preparati da una macchina separata in modo tale da consentire una transizione senza soluzione di continuità a un nuovo rotolo di carta. Le pagine stampate vengono piegate da una piegatrice e successivamente lavorate attraverso una catena di ulteriori macchine. Ciò si traduce in pallet caricati con caricatori completamente cuciti. Sebbene tali impianti siano automatizzati, vi sono due punti in cui è necessario intervenire manualmente: (1) nell'infilatura dei percorsi carta, e (2) nell'eliminazione di ostruzioni causate da strappi di carta in punti pericolosi sui rulli rotanti. Per questo motivo, durante la regolazione delle presse, la tecnologia di controllo deve garantire una velocità di funzionamento ridotta o una modalità di spostamento limitata nel tempo o nel percorso. A causa delle complesse procedure di guida coinvolte, ogni singola stazione di stampa deve essere dotata di un proprio controllore logico programmabile. Qualsiasi guasto che si verifichi nel controllo di un impianto di stampa mentre le griglie di protezione sono aperte deve essere evitato che porti all'avvio imprevisto di una macchina ferma o al funzionamento in eccesso rispetto a velocità opportunamente ridotte.

Nelle grandi fabbriche e nei magazzini, i veicoli robotici a guida automatica senza conducente si muovono su binari appositamente contrassegnati. Tali binari possono essere calpestati in qualsiasi momento da persone, oppure materiali e attrezzature possono essere inavvertitamente lasciati sui binari, in quanto non separati strutturalmente da altre linee di traffico. Per questo motivo, è necessario utilizzare una sorta di dispositivo di prevenzione delle collisioni per garantire che il veicolo venga fermato prima che si verifichi una collisione pericolosa con una persona o un oggetto. Nelle applicazioni più recenti, la prevenzione delle collisioni viene effettuata mediante scanner a ultrasuoni oa luce laser utilizzati in combinazione con un paraurti di sicurezza. Poiché questi sistemi funzionano sotto il controllo del computer, è possibile configurare diverse zone di rilevamento permanenti in modo che un veicolo possa modificare la sua reazione a seconda della zona di rilevamento specifica in cui si trova una persona. I guasti del dispositivo di protezione non devono provocare una collisione pericolosa con una persona.

Le ghigliottine del dispositivo di controllo del taglio della carta vengono utilizzate per pressare e quindi tagliare spesse pile di carta. Sono attivati ​​da un dispositivo di controllo a due mani. L'utente deve raggiungere la zona pericolosa della macchina dopo aver eseguito ogni taglio. Una protezione immateriale, di solito una barriera luminosa, viene utilizzata in combinazione con il dispositivo di controllo a due mani e un sistema di controllo sicuro della macchina per prevenire lesioni quando la carta viene alimentata durante l'operazione di taglio. Quasi tutte le ghigliottine più grandi e moderne in uso oggi sono controllate da sistemi di microcomputer multicanale. Anche il funzionamento a due mani e la barriera fotoelettrica devono essere garantiti per funzionare in sicurezza.

Incidenti con sistemi controllati da computer

In quasi tutti i campi dell'applicazione industriale, vengono segnalati incidenti con software e computer (Neumann 1994). Nella maggior parte dei casi, i guasti del computer non provocano danni alle persone. Tali inadempienze sono comunque rese pubbliche solo quando siano di interesse pubblico generale. Ciò significa che i casi di malfunzionamento o incidente relativi a computer e software in cui sono coinvolti danni alle persone costituiscono una percentuale relativamente elevata di tutti i casi pubblicizzati. Sfortunatamente, gli incidenti che non suscitano molto clamore pubblico non vengono indagati sulle loro cause con la stessa intensità degli incidenti più importanti, tipicamente in impianti di grandi dimensioni. Per questo motivo, gli esempi che seguono si riferiscono a quattro descrizioni di malfunzionamenti o incidenti tipici di sistemi controllati da computer al di fuori del campo delle protezioni delle macchine, che servono a suggerire ciò che deve essere tenuto in considerazione quando si formulano giudizi sulla tecnologia di sicurezza.

Incidenti causati da guasti casuali nell'hardware

Il seguente incidente è stato causato da una concentrazione di guasti casuali nell'hardware combinati con errori di programmazione: un reattore si è surriscaldato in un impianto chimico, dopodiché sono state aperte le valvole di sfiato, consentendo al contenuto del reattore di essere scaricato nell'atmosfera. Questo incidente si è verificato poco dopo che era stato dato un avviso che il livello dell'olio in un cambio era troppo basso. Un'attenta indagine sull'incidente mostrò che poco dopo che il catalizzatore aveva avviato la reazione nel reattore - in conseguenza della quale il reattore avrebbe richiesto un maggiore raffreddamento - il computer, sulla base della segnalazione di bassi livelli di olio nella scatola del cambio, congelò tutto grandezze sotto il suo controllo a un valore fisso. Ciò ha mantenuto il flusso di acqua fredda a un livello troppo basso e di conseguenza il reattore si è surriscaldato. Ulteriori indagini hanno mostrato che l'indicazione di bassi livelli di olio era stata segnalata da un componente difettoso.

Il software aveva risposto secondo le specifiche con l'intervento di un allarme e il fissaggio di tutte le variabili operative. Questa era una conseguenza dello studio HAZOP (hazards and operability analysis) (Knowlton 1986) condotto prima dell'evento, che richiedeva che tutte le variabili controllate non venissero modificate in caso di guasto. Poiché il programmatore non conosceva in dettaglio la procedura, tale requisito è stato interpretato nel senso che gli attuatori comandati (valvole di controllo in questo caso) non dovevano essere modificati; nessuna attenzione è stata prestata alla possibilità di un aumento della temperatura. Il programmatore non ha tenuto conto che dopo aver ricevuto un segnale errato il sistema potrebbe trovarsi in una situazione dinamica tale da richiedere l'intervento attivo del computer per evitare un contrattempo. La situazione che ha portato all'incidente era così improbabile, inoltre, che non era stata analizzata in dettaglio nello studio HAZOP (Levenson 1986). Questo esempio fornisce una transizione a una seconda categoria di cause di incidenti software e informatici. Questi sono i guasti sistematici che sono presenti nel sistema fin dall'inizio, ma che si manifestano solo in determinate situazioni molto specifiche di cui lo sviluppatore non ha tenuto conto.

Incidenti causati da guasti operativi

Durante i test sul campo durante l'ispezione finale dei robot, un tecnico ha preso in prestito la cassetta di un robot vicino e ne ha sostituita un'altra senza informare il suo collega di averlo fatto. Al ritorno al suo posto di lavoro, il collega ha inserito la cassetta sbagliata. Poiché si trovava accanto al robot e si aspettava da esso una particolare sequenza di movimenti - una sequenza che risultava diversa a causa del programma scambiato - si verificò una collisione tra robot e uomo. Questo incidente descrive il classico esempio di guasto operativo. Il ruolo di tali guasti nei malfunzionamenti e negli incidenti è attualmente in aumento a causa della crescente complessità nell'applicazione dei meccanismi di sicurezza controllati dal computer.

Incidenti causati da guasti sistematici nell'hardware o nel software

Un siluro con una testata doveva essere sparato per scopi di addestramento, da una nave da guerra in alto mare. A causa di un difetto nell'apparato propulsore, il siluro è rimasto nel tubo lanciasiluri. Il capitano ha deciso di tornare al porto di origine per salvare il siluro. Poco dopo che la nave aveva iniziato a tornare a casa, il siluro è esploso. Un'analisi dell'incidente ha rivelato che gli sviluppatori del siluro erano stati obbligati a incorporare nel siluro un meccanismo progettato per impedirne il ritorno alla rampa di lancio dopo essere stato sparato e quindi distruggere la nave che lo aveva lanciato. Il meccanismo scelto per questo era il seguente: dopo il lancio del siluro veniva effettuato un controllo, utilizzando il sistema di navigazione inerziale, per vedere se la sua rotta era stata alterata di 180°. Non appena il siluro ha percepito di aver virato di 180°, il siluro è esploso immediatamente, presumibilmente a una distanza di sicurezza dalla rampa di lancio. Questo meccanismo di rilevamento è stato attivato nel caso del siluro non correttamente lanciato, con il risultato che il siluro è esploso dopo che la nave aveva cambiato rotta di 180°. Questo è un tipico esempio di incidente verificatosi a causa di un mancato rispetto delle specifiche. Il requisito nelle specifiche secondo cui il siluro non avrebbe dovuto distruggere la propria nave in caso di cambio di rotta non era stato formulato in modo sufficientemente preciso; la precauzione è stata quindi programmata erroneamente. L'errore si è manifestato solo in una situazione particolare, che il programmatore non aveva preso in considerazione come possibilità.

Il 14 settembre 1993 un Airbus A 320 della Lufthansa si schiantò durante l'atterraggio a Varsavia (figura 1). Un'attenta indagine sull'incidente ha mostrato che le modifiche nella logica di atterraggio del computer di bordo apportate dopo un incidente con un Boeing 767 Lauda Air nel 1991 erano in parte responsabili di questo atterraggio di fortuna. Quello che era successo nell'incidente del 1991 era che la deflessione della spinta, che devia una parte dei gas del motore in modo da frenare l'aereo durante l'atterraggio, si era innestata mentre era ancora in aria, costringendo così la macchina a un'incontrollabile picchiata. Per questo motivo, nelle macchine Airbus era stato integrato un blocco elettronico della deflessione della spinta. Questo meccanismo ha permesso che la deflessione della spinta entrasse in vigore solo dopo che i sensori su entrambi i gruppi di carrello di atterraggio avevano segnalato la compressione degli ammortizzatori sotto la pressione delle ruote che toccavano terra. Sulla base di informazioni errate, i piloti dell'aereo a Varsavia prevedevano un forte vento laterale.

Figura 1. Lufthansa Airbus dopo l'incidente a Varsavia nel 1993

Per questo motivo hanno portato la macchina leggermente inclinata e l'Airbus è atterrato con la sola ruota destra, lasciando la sinistra che sopportava meno del pieno peso. A causa del blocco elettronico della deflessione della spinta, il computer di bordo ha negato al pilota per lo spazio di nove secondi manovre che avrebbero consentito all'aereo di atterrare in sicurezza nonostante le circostanze avverse. Questo incidente dimostra molto chiaramente che le modifiche nei sistemi informatici possono portare a situazioni nuove e pericolose se non si considera in anticipo la gamma delle loro possibili conseguenze.

 

Il seguente esempio di malfunzionamento dimostra anche gli effetti disastrosi che la modifica di un singolo comando può avere nei sistemi informatici. La gradazione alcolica del sangue viene determinata, in test chimici, utilizzando siero di sangue limpido da cui sono stati preventivamente centrifugati i globuli. Il contenuto alcolico del siero è quindi superiore (di un fattore 1.2) a quello del sangue intero più denso. Per questo motivo i valori alcolici nel siero devono essere divisi per un fattore di 1.2 per stabilire le parti per mille legalmente e medicalmente critiche. Nel test interlaboratorio svoltosi nel 1984, si sarebbero dovuti confrontare tra loro i valori alcolemici accertati in identici test eseguiti presso diversi istituti di ricerca utilizzando il siero. Trattandosi solo di un confronto, il comando di dividere per 1.2 è stato inoltre cancellato dal programma di uno degli istituti per tutta la durata dell'esperimento. Al termine del test interlaboratorio, in questo punto è stato erroneamente introdotto nel programma un comando di moltiplicazione per 1.2. Di conseguenza, tra l'agosto 1,500 e il marzo 1984 sono stati calcolati circa 1985 valori di parti per mille errati. Tale errore è stato determinante per la carriera professionale degli autotrasportatori con valori alcolemici compresi tra 1.0 e 1.3 per mille, poiché una sanzione giudiziaria che comporta il ritiro della patente per un periodo prolungato è conseguenza di un valore dell'1.3 per mille.

Incidenti causati da influssi da sollecitazioni operative o da sollecitazioni ambientali

A seguito di un disturbo causato dalla raccolta di scarti nell'area effettiva di una punzonatrice e roditrice CNC (computer numeric control), l'utente ha posto in essere il “stop programmato”. Mentre cercava di rimuovere i rifiuti con le mani, l'asta di spinta della macchina ha iniziato a muoversi nonostante l'arresto programmato e ha ferito gravemente l'utente. Un'analisi dell'incidente ha rivelato che non si trattava di un errore nel programma. Non è stato possibile riprodurre l'avvio imprevisto. Irregolarità simili erano state osservate in passato su altre macchine dello stesso tipo. Da questi sembra plausibile dedurre che l'incidente debba essere stato causato da interferenze elettromagnetiche. Incidenti simili con robot industriali sono segnalati dal Giappone (Neumann 1987).

Un malfunzionamento della sonda spaziale Voyager 2 il 18 gennaio 1986 rende ancora più chiara l'influenza delle sollecitazioni ambientali sui sistemi controllati dal computer. Sei giorni prima dell'avvicinamento più vicino a Urano, ampi campi di linee bianche e nere coprivano le immagini della Voyager 2. Un'analisi precisa ha mostrato che un singolo bit in una parola di comando del sottosistema dei dati di volo aveva causato il guasto, osservato come le immagini sono state compresse nella sonda. Molto probabilmente questo bit era stato messo fuori posto all'interno della memoria del programma dall'impatto di una particella cosmica. La trasmissione senza errori delle fotografie compresse dalla sonda è stata effettuata solo due giorni dopo, utilizzando un programma sostitutivo in grado di bypassare il punto di memoria guasto (Laeser, McLaughlin e Wolff 1987).

Sintesi degli infortuni presentati

Gli incidenti analizzati mostrano che alcuni rischi che potrebbero essere trascurati in condizioni di semplice tecnologia elettromeccanica, acquistano importanza quando si utilizzano i computer. I computer consentono l'elaborazione di funzioni di sicurezza complesse e specifiche della situazione. Una specifica univoca, priva di errori, completa e verificabile di tutte le funzioni di sicurezza diventa per questo motivo particolarmente importante. Gli errori nelle specifiche sono difficili da scoprire e sono spesso causa di incidenti in sistemi complessi. I controlli liberamente programmabili vengono solitamente introdotti con l'intenzione di poter reagire in modo flessibile e rapido al mercato in evoluzione. Le modifiche, tuttavia, in particolare nei sistemi complessi, hanno effetti collaterali difficili da prevedere. Tutte le modifiche devono quindi essere sottoposte a una procedura di gestione delle modifiche rigorosamente formale in cui una netta separazione delle funzioni di sicurezza dai sistemi parziali non rilevanti per la sicurezza contribuirà a mantenere facilmente rilevabili le conseguenze delle modifiche per la tecnologia di sicurezza.

I computer funzionano con bassi livelli di elettricità. Sono quindi suscettibili di interferenze da sorgenti di radiazioni esterne. Poiché la modifica di un singolo segnale tra milioni può portare a un malfunzionamento, vale la pena prestare particolare attenzione al tema della compatibilità elettromagnetica in connessione con i computer.

La manutenzione dei sistemi controllati da computer sta attualmente diventando sempre più complessa e quindi più poco chiara. L'ergonomia del software dell'utente e del software di configurazione sta quindi diventando sempre più interessante dal punto di vista della tecnologia di sicurezza.

Nessun sistema informatico è testabile al 100%. Un semplice meccanismo di controllo con 32 porte di input binari e 1,000 diversi percorsi software richiede 4.3 × 10¹² test per un controllo completo. Ad una velocità di 100 test al secondo eseguiti e valutati, un test completo richiederebbe 1,362 anni.

Procedure e misure per il miglioramento dei dispositivi di sicurezza controllati da computer

Negli ultimi 10 anni sono state sviluppate procedure che consentono di padroneggiare sfide specifiche relative alla sicurezza in relazione ai computer. Queste procedure si rivolgono ai guasti del computer descritti in questa sezione. Gli esempi descritti di software e computer nelle protezioni delle macchine e gli infortuni analizzati, mostrano che l'entità dei danni e quindi anche il rischio insito nelle varie applicazioni sono estremamente variabili. È quindi chiaro che le precauzioni necessarie per il miglioramento dei computer e dei software utilizzati nella tecnologia della sicurezza dovrebbero essere stabilite in relazione al rischio.

La figura 2 mostra una procedura qualitativa attraverso la quale è possibile determinare la necessaria riduzione del rischio ottenibile utilizzando i sistemi di sicurezza indipendentemente dall'entità e dalla frequenza con cui si verifica il danno (Bell e Reinert 1992). Le tipologie di guasti nei sistemi informatici analizzate nella sezione “Infortuni con sistemi controllati da computer” (sopra) possono essere messe in relazione con i cosiddetti Safety Integrity Levels, cioè le strutture tecniche per la riduzione del rischio.

Figura 2. Procedura qualitativa per la determinazione del rischio

La Figura 3 chiarisce che l'efficacia delle misure adottate, in ogni caso, per ridurre gli errori nel software e nei computer deve crescere con l'aumentare del rischio (DIN 1994; IEC 1993).

Figura 3, Efficacia delle precauzioni prese contro gli errori indipendentemente dal rischio

L'analisi degli incidenti sopra abbozzata mostra che il fallimento delle protezioni computerizzate è causato non solo da guasti casuali dei componenti, ma anche da particolari condizioni operative di cui il programmatore non ha tenuto conto. Le conseguenze non immediatamente evidenti delle modifiche apportate al programma durante la manutenzione del sistema costituiscono un'ulteriore fonte di errore. Ne consegue che possono verificarsi guasti nei sistemi di sicurezza controllati da microprocessori che, sebbene realizzati durante lo sviluppo del sistema, possono portare a una situazione di pericolo solo durante il funzionamento. Pertanto, è necessario prendere precauzioni contro tali guasti mentre i sistemi relativi alla sicurezza sono in fase di sviluppo. Queste cosiddette misure di prevenzione dei guasti devono essere prese non solo durante la fase di ideazione, ma anche nel processo di sviluppo, installazione e modifica. Alcuni guasti possono essere evitati se vengono scoperti e corretti durante questo processo (DIN 1990).

Come chiarisce l'ultimo incidente descritto, il guasto di un singolo transistor può portare al guasto tecnico di apparecchiature automatizzate molto complesse. Poiché ogni singolo circuito è composto da molte migliaia di transistor e altri componenti, è necessario adottare numerose misure per evitare i guasti per riconoscere i guasti che si verificano durante il funzionamento e per avviare una reazione appropriata nel sistema informatico. La Figura 4 descrive i tipi di guasti nei sistemi elettronici programmabili, nonché esempi di precauzioni che possono essere prese per evitare e controllare i guasti nei sistemi informatici (DIN 1990; IEC 1992).

Figura 4. Esempi di precauzioni prese per controllare ed evitare errori nei sistemi informatici

Possibilità e prospettive dei sistemi elettronici programmabili nella tecnologia della sicurezza

Le macchine e gli impianti moderni stanno diventando sempre più complessi e devono svolgere compiti sempre più complessi in periodi di tempo sempre più brevi. Per questo motivo, i sistemi informatici hanno conquistato quasi tutti i settori dell'industria dalla metà degli anni '1970. Questo aumento di complessità da solo ha contribuito in modo significativo all'aumento dei costi legati al miglioramento della tecnologia di sicurezza in tali sistemi. Sebbene software e computer rappresentino una grande sfida per la sicurezza sul posto di lavoro, rendono anche possibile l'implementazione di nuovi sistemi a prova di errore nel campo della tecnologia di sicurezza.

Un verso buffo ma istruttivo di Ernst Jandl aiuterà a spiegare cosa si intende con il concetto favorevole agli errori. “Lichtung: Manche meinen lechts und rinks kann man nicht velwechsern, werch ein Illtum”. ("Dilection: Many berieve light and reft cannot be intelchanged, what an ellol".) Nonostante lo scambio di lettere r ed l, questa frase è facilmente comprensibile da un normale essere umano adulto. Anche qualcuno con scarsa padronanza della lingua inglese può tradurlo in inglese. Il compito è, tuttavia, quasi impossibile per un computer che traduce da solo.

Questo esempio mostra che un essere umano può reagire in modo molto più favorevole agli errori rispetto a un computer linguistico. Ciò significa che gli esseri umani, come tutte le altre creature viventi, possono tollerare i fallimenti riferendoli all'esperienza. Se si guardano le macchine oggi in uso, si vede che la maggior parte delle macchine penalizza i guasti degli utenti non con un infortunio, ma con un calo della produzione. Questa proprietà porta alla manipolazione o all'elusione delle garanzie. La moderna tecnologia informatica mette a disposizione della sicurezza sul lavoro sistemi in grado di reagire in modo intelligente, cioè in modo modificato. Tali sistemi rendono quindi possibile una modalità di comportamento favorevole agli errori nelle nuove macchine. Avvertono prima di tutto gli utenti durante un'operazione errata e spengono la macchina solo quando questo è l'unico modo per evitare un incidente. L'analisi degli infortuni mostra che esiste in questo settore un notevole potenziale di riduzione degli infortuni (Reinert e Reuss 1991).

 

Di ritorno

Un sistema automatizzato ibrido (HAS) mira a integrare le capacità delle macchine artificialmente intelligenti (basate sulla tecnologia informatica) con le capacità delle persone che interagiscono con queste macchine nel corso delle loro attività lavorative. Le principali preoccupazioni dell'utilizzo degli HAS riguardano il modo in cui i sottosistemi uomo e macchina dovrebbero essere progettati al fine di sfruttare al meglio le conoscenze e le capacità di entrambe le parti del sistema ibrido e come gli operatori umani e i componenti della macchina dovrebbero interagire tra loro per garantire che le loro funzioni si completino a vicenda. Molti sistemi automatizzati ibridi si sono evoluti come prodotti di applicazioni di moderne metodologie basate sull'informazione e sul controllo per automatizzare e integrare diverse funzioni di sistemi tecnologici spesso complessi. HAS è stato originariamente identificato con l'introduzione di sistemi basati su computer utilizzati nella progettazione e nel funzionamento di sistemi di controllo in tempo reale per reattori nucleari, per impianti di lavorazione chimica e per la tecnologia di produzione di componenti discreti. Gli HAS possono ora essere trovati anche in molte industrie di servizi, come il controllo del traffico aereo e le procedure di navigazione aerea nell'area dell'aviazione civile, e nella progettazione e nell'uso di veicoli intelligenti e sistemi di navigazione autostradale nel trasporto su strada.

Con i continui progressi nell'automazione basata su computer, la natura dei compiti umani nei moderni sistemi tecnologici si sposta da quelli che richiedono abilità percettivo-motorie a quelli che richiedono attività cognitive, necessarie per la risoluzione dei problemi, per il processo decisionale nel monitoraggio del sistema e per compiti di controllo di vigilanza. Ad esempio, gli operatori umani nei sistemi di produzione integrati da computer agiscono principalmente come monitor di sistema, risolutori di problemi e decisori. Le attività cognitive del supervisore umano in qualsiasi ambiente HAS sono (1) pianificare cosa dovrebbe essere fatto per un dato periodo di tempo, (2) ideare procedure (o passaggi) per raggiungere l'insieme di obiettivi pianificati, (3) monitorare i progressi dei processi (tecnologici), (4) "insegnare" al sistema attraverso un computer umano-interattivo, (5) intervenire se il sistema si comporta in modo anomalo o se le priorità di controllo cambiano e (6) apprendere attraverso il feedback del sistema sull'impatto dei azioni di supervisione (Sheridan 1987).

Progettazione di sistemi ibridi

Le interazioni uomo-macchina in un HAS comportano l'utilizzo di circuiti di comunicazione dinamici tra gli operatori umani e le macchine intelligenti, un processo che include il rilevamento e l'elaborazione delle informazioni e l'avvio e l'esecuzione di attività di controllo e processo decisionale, all'interno di una data struttura di allocazione delle funzioni tra uomini e macchine. Come minimo, le interazioni tra le persone e l'automazione dovrebbero riflettere l'elevata complessità dei sistemi automatizzati ibridi, nonché le caratteristiche rilevanti degli operatori umani e i requisiti delle attività. Pertanto, l'automazione ibrida può essere formalmente definita come quintupla nella seguente formula:

HA = (T, U, C, E, I)

where T = requisiti del compito (fisici e cognitivi); U = caratteristiche dell'utente (fisiche e cognitive); C = le caratteristiche di automazione (hardware e software, comprese le interfacce informatiche); E = l'ambiente del sistema; I = un insieme di interazioni tra gli elementi di cui sopra.

L'insieme delle interazioni I incarna tutte le possibili interazioni tra T, U ed C in E indipendentemente dalla loro natura o forza associativa. Ad esempio, una delle possibili interazioni potrebbe comportare la relazione dei dati immagazzinati nella memoria del computer con la corrispondente conoscenza, se presente, dell'operatore umano. Le interazioni I può essere elementare (cioè limitato a un'associazione uno a uno) o complesso, come comportare interazioni tra l'operatore umano, il particolare software utilizzato per raggiungere l'attività desiderata e l'interfaccia fisica disponibile con il computer.

I progettisti di molti sistemi automatizzati ibridi si concentrano principalmente sull'integrazione assistita da computer di macchine sofisticate e altre apparecchiature come parti della tecnologia basata su computer, prestando raramente molta attenzione alla necessità fondamentale di un'effettiva integrazione umana all'interno di tali sistemi. Pertanto, allo stato attuale, molti dei sistemi informatici integrati (tecnologici) non sono pienamente compatibili con le capacità intrinseche degli operatori umani espresse dalle competenze e dalle conoscenze necessarie per l'efficace controllo e monitoraggio di tali sistemi. Tale incompatibilità sorge a tutti i livelli del funzionamento umano, macchina e uomo-macchina e può essere definita all'interno di un quadro dell'individuo e dell'intera organizzazione o struttura. Ad esempio, i problemi di integrazione di persone e tecnologia nelle imprese manifatturiere avanzate si verificano all'inizio della fase di progettazione HAS. Questi problemi possono essere concettualizzati utilizzando il seguente modello di integrazione del sistema della complessità delle interazioni, I, tra i progettisti di sistema, D, operatori umani, H, o potenziali utenti del sistema e tecnologia, T:

io (H, T) = FA [ MI (LA, RE), MI (RE, MI)]

where I sta per le interazioni rilevanti che si svolgono in una data struttura di HAS, mentre F indica le relazioni funzionali tra progettisti, operatori umani e tecnologia.

Il modello di integrazione del sistema di cui sopra evidenzia il fatto che le interazioni tra gli utenti e la tecnologia sono determinate dal risultato dell'integrazione delle due interazioni precedenti, vale a dire (1) quelle tra i progettisti HAS e i potenziali utenti e (2) quelle tra i progettisti e la tecnologia HAS (a livello di macchine e loro integrazione). Va notato che anche se tipicamente esistono forti interazioni tra designer e tecnologia, si possono trovare solo pochissimi esempi di interrelazioni altrettanto forti tra designer e operatori umani.

Si può sostenere che anche nei sistemi più automatizzati, il ruolo umano rimane fondamentale per il successo delle prestazioni del sistema a livello operativo. Bainbridge (1983) ha identificato una serie di problemi relativi al funzionamento dell'HAS che sono dovuti alla natura dell'automazione stessa, come segue:

1. Operatori “fuori dal giro di controllo”. Gli operatori umani sono presenti nel sistema per esercitare il controllo quando necessario, ma essendo "fuori dal circuito di controllo" non riescono a mantenere le capacità manuali e la conoscenza del sistema a lungo termine che sono spesso richieste in caso di emergenza.
2. "Immagine mentale" obsoleta. Gli operatori umani potrebbero non essere in grado di rispondere rapidamente ai cambiamenti nel comportamento del sistema se non hanno seguito da vicino gli eventi del suo funzionamento. Inoltre, la conoscenza o l'immagine mentale degli operatori del funzionamento del sistema può essere inadeguata per avviare o esercitare le risposte richieste.
3. Generazioni di abilità che scompaiono. I nuovi operatori potrebbero non essere in grado di acquisire una conoscenza sufficiente del sistema informatico acquisita attraverso l'esperienza e, pertanto, non saranno in grado di esercitare un controllo effettivo quando necessario.
4. Autorità degli automatici. Se il sistema computerizzato è stato implementato perché può svolgere i compiti richiesti meglio dell'operatore umano, sorge la domanda: "Su quale base l'operatore dovrebbe decidere che le decisioni corrette o errate vengono prese dai sistemi automatizzati?"
5. Emersione delle nuove tipologie di “errori umani” dovuti all'automazione. I sistemi automatizzati portano a nuovi tipi di errori e, di conseguenza, incidenti che non possono essere analizzati nell'ambito delle tradizionali tecniche di analisi.

 

Assegnazione dei compiti

Una delle questioni importanti per la progettazione HAS è determinare quante e quali funzioni o responsabilità dovrebbero essere assegnate agli operatori umani e quali e quante ai computer. In generale, ci sono tre classi fondamentali di problemi di allocazione dei compiti che dovrebbero essere considerati: (1) l'allocazione dei compiti umano-supervisore-computer, (2) l'allocazione dei compiti umano-umano e (3) l'allocazione dei compiti di supervisione computer-computer. Idealmente, le decisioni di allocazione dovrebbero essere prese attraverso una procedura di allocazione strutturata prima che inizi la progettazione di base del sistema. Sfortunatamente un tale processo sistematico è raramente possibile, poiché le funzioni da allocare possono richiedere un ulteriore esame o devono essere eseguite in modo interattivo tra i componenti del sistema uomo e macchina, ovvero attraverso l'applicazione del paradigma del controllo di supervisione. L'assegnazione dei compiti nei sistemi automatizzati ibridi dovrebbe concentrarsi sull'estensione delle responsabilità di supervisione umana e informatica e dovrebbe considerare la natura delle interazioni tra l'operatore umano e i sistemi computerizzati di supporto alle decisioni. Dovrebbero essere considerati anche i mezzi di trasferimento delle informazioni tra le macchine e le interfacce umane di input-output e la compatibilità del software con le capacità cognitive umane di risoluzione dei problemi.

Negli approcci tradizionali alla progettazione e alla gestione di sistemi automatizzati ibridi, i lavoratori erano considerati come sistemi di input-output deterministici e si tendeva a ignorare la natura teleologica del comportamento umano, ovvero il comportamento orientato all'obiettivo che si basa sull'acquisizione di informazioni rilevanti e la selezione degli obiettivi (Goodstein et al. 1988). Per avere successo, la progettazione e la gestione di sistemi automatizzati ibridi avanzati devono basarsi su una descrizione delle funzioni mentali umane necessarie per un compito specifico. L'approccio di "ingegneria cognitiva" (descritto più avanti) propone che i sistemi uomo-macchina (ibridi) debbano essere concepiti, progettati, analizzati e valutati in termini di processi mentali umani (vale a dire, il modello mentale dell'operatore dei sistemi adattivi viene preso in considerazione account). I seguenti sono i requisiti dell'approccio incentrato sull'uomo alla progettazione e al funzionamento degli HAS come formulato da Corbett (1988):

1. Compatibilità. Il funzionamento del sistema non dovrebbe richiedere competenze non correlate alle competenze esistenti, ma dovrebbe consentire l'evoluzione delle competenze esistenti. L'operatore umano dovrebbe inserire e ricevere informazioni compatibili con la pratica convenzionale in modo che l'interfaccia sia conforme alle conoscenze e abilità precedenti dell'utente.
2. Trasparenza. Non si può controllare un sistema senza capirlo. Pertanto, l'operatore umano deve essere in grado di “vedere” i processi interni del software di controllo del sistema se si vuole facilitare l'apprendimento. Un sistema trasparente consente agli utenti di costruire facilmente un modello interno delle funzioni decisionali e di controllo che il sistema può svolgere.
3. Scossa minima. Il sistema non dovrebbe fare nulla che gli operatori trovino inaspettato alla luce delle informazioni a loro disposizione, che dettagliano lo stato attuale del sistema.
4. Controllo dei disturbi. Le attività incerte (come definite dall'analisi della struttura di scelta) dovrebbero essere sotto il controllo dell'operatore umano con il supporto decisionale del computer.
5. Fallibilità. Le abilità e le conoscenze implicite degli operatori umani non dovrebbero essere progettate fuori dal sistema. Gli operatori non dovrebbero mai essere messi in una posizione in cui guardano impotenti il ​​software dirigere un'operazione non corretta.
6. Reversibilità dell'errore. Il software dovrebbe fornire un feedforward sufficiente di informazioni per informare l'operatore umano delle probabili conseguenze di una particolare operazione o strategia.
7. Flessibilità operativa. Il sistema dovrebbe offrire agli operatori umani la libertà di bilanciare i requisiti ei limiti delle risorse modificando le strategie operative senza perdere il supporto del software di controllo.

 

Ingegneria cognitiva dei fattori umani

L'ingegneria cognitiva dei fattori umani si concentra su come gli operatori umani prendono decisioni sul posto di lavoro, risolvono problemi, formulano piani e apprendono nuove abilità (Hollnagel e Woods 1983). I ruoli degli operatori umani che operano in qualsiasi HAS possono essere classificati utilizzando lo schema di Rasmussen (1983) in tre categorie principali:

1. Comportamento basato sull'abilità è la prestazione sensomotoria eseguita durante atti o attività che si svolgono senza controllo cosciente come modelli di comportamento fluidi, automatizzati e altamente integrati. Le attività umane che rientrano in questa categoria sono considerate una sequenza di atti qualificati composti per una data situazione. Il comportamento basato sull'abilità è quindi l'espressione di modelli di comportamento più o meno memorizzati o di istruzioni pre-programmate in un dominio spazio-temporale.
2. Comportamento basato su regole è una categoria di prestazione orientata all'obiettivo strutturata dal controllo feedforward attraverso una regola o una procedura memorizzata, ovvero una prestazione ordinata che consente di comporre una sequenza di subroutine in una situazione di lavoro familiare. La regola è tipicamente selezionata da esperienze precedenti e riflette le proprietà funzionali che vincolano il comportamento dell'ambiente. Le prestazioni basate su regole si basano su un know-how esplicito per quanto riguarda l'utilizzo delle regole pertinenti. Il set di dati decisionali è costituito da riferimenti per il riconoscimento e l'identificazione di stati, eventi o situazioni.
3. Comportamento basato sulla conoscenza è una categoria di prestazione controllata dall'obiettivo, in cui l'obiettivo è esplicitamente formulato sulla base della conoscenza dell'ambiente e degli obiettivi della persona. La struttura interna del sistema è rappresentata da un “modello mentale”. Questo tipo di comportamento consente lo sviluppo e la verifica di diversi piani in condizioni di controllo sconosciute e, quindi, incerte, ed è necessario quando le abilità o le regole non sono disponibili o sono inadeguate, quindi è necessario ricorrere alla risoluzione dei problemi e alla pianificazione.

 

Nella progettazione e gestione di un HAS, si dovrebbero considerare le caratteristiche cognitive dei lavoratori al fine di assicurare la compatibilità del funzionamento del sistema con il modello interno del lavoratore che ne descrive le funzioni. Di conseguenza, il livello di descrizione del sistema dovrebbe essere spostato dagli aspetti del funzionamento umano basati sulle abilità a quelli basati sulle regole e sulla conoscenza, e dovrebbero essere usati metodi appropriati di analisi dei compiti cognitivi per identificare il modello dell'operatore di un sistema. Un problema correlato nello sviluppo di un HAS è la progettazione di mezzi di trasmissione delle informazioni tra l'operatore umano e i componenti del sistema automatizzato, sia a livello fisico che cognitivo. Tale trasferimento di informazioni dovrebbe essere compatibile con le modalità di informazione utilizzate a diversi livelli di funzionamento del sistema, cioè visivo, verbale, tattile o ibrido. Questa compatibilità informativa garantisce che le diverse forme di trasferimento delle informazioni richiedano un'incompatibilità minima tra il mezzo e la natura delle informazioni. Ad esempio, un display visivo è il migliore per la trasmissione di informazioni spaziali, mentre l'input uditivo può essere utilizzato per trasmettere informazioni testuali.

Molto spesso l'operatore umano sviluppa un modello interno che descrive il funzionamento e la funzione del sistema in base alla sua esperienza, formazione e istruzioni in relazione al tipo dato di interfaccia uomo-macchina. Alla luce di questa realtà, i progettisti di un HAS dovrebbero tentare di integrare nelle macchine (o altri sistemi artificiali) un modello delle caratteristiche fisiche e cognitive dell'operatore umano, ovvero l'immagine dell'operatore da parte del sistema (Hollnagel e Woods 1983) . I progettisti di un HAS devono anche prendere in considerazione il livello di astrazione nella descrizione del sistema così come varie categorie rilevanti del comportamento dell'operatore umano. Questi livelli di astrazione per modellare il funzionamento umano nell'ambiente di lavoro sono i seguenti (Rasmussen 1983): (1) forma fisica (struttura anatomica), (2) funzioni fisiche (funzioni fisiologiche), (3) funzioni generalizzate (meccanismi psicologici e e processi affettivi), (4) funzioni astratte (elaborazione delle informazioni) e (5) scopo funzionale (strutture di valori, miti, religioni, interazioni umane). Questi cinque livelli devono essere considerati simultaneamente dai progettisti al fine di garantire prestazioni HAS efficaci.

Progettazione del software di sistema

Poiché il software del computer è un componente primario di qualsiasi ambiente HAS, lo sviluppo del software, inclusi progettazione, test, funzionamento e modifica, e i problemi di affidabilità del software devono essere considerati anche nelle prime fasi dello sviluppo HAS. In questo modo, si dovrebbe essere in grado di ridurre il costo del rilevamento e dell'eliminazione degli errori del software. È difficile, tuttavia, stimare l'affidabilità dei componenti umani di un HAS, a causa delle limitazioni nella nostra capacità di modellare le prestazioni delle attività umane, il relativo carico di lavoro e potenziali errori. Un carico di lavoro mentale eccessivo o insufficiente può portare rispettivamente a sovraccarico di informazioni e noia e può comportare prestazioni umane degradate, con conseguenti errori e aumento della probabilità di incidenti. I progettisti di un HAS dovrebbero impiegare interfacce adattive, che utilizzano tecniche di intelligenza artificiale, per risolvere questi problemi. Oltre alla compatibilità uomo-macchina, deve essere considerato il problema dell'adattabilità reciproca uomo-macchina al fine di ridurre i livelli di stress che si verificano quando le capacità umane possono essere superate.

A causa dell'elevato livello di complessità di molti sistemi automatizzati ibridi, l'identificazione di qualsiasi potenziale pericolo correlato all'hardware, al software, alle procedure operative e alle interazioni uomo-macchina di questi sistemi diventa fondamentale per il successo degli sforzi volti alla riduzione degli infortuni e dei danni alle apparecchiature . I rischi per la sicurezza e la salute associati a complessi sistemi automatizzati ibridi, come la tecnologia di produzione integrata da computer (CIM), sono chiaramente uno degli aspetti più critici della progettazione e del funzionamento del sistema.

Problemi di sicurezza del sistema

Gli ambienti automatizzati ibridi, con il loro significativo potenziale di comportamento irregolare del software di controllo in condizioni di disturbo del sistema, creano una nuova generazione di rischi di incidente. Man mano che i sistemi automatizzati ibridi diventano più versatili e complessi, i disturbi del sistema, compresi i problemi di avvio e arresto e le deviazioni nel controllo del sistema, possono aumentare significativamente la possibilità di un serio pericolo per gli operatori umani. Ironia della sorte, in molte situazioni anomale, gli operatori di solito fanno affidamento sul corretto funzionamento dei sottosistemi di sicurezza automatizzati, una pratica che può aumentare il rischio di lesioni gravi. Ad esempio, uno studio sugli incidenti relativi a malfunzionamenti dei sistemi di controllo tecnico ha mostrato che circa un terzo delle sequenze di incidenti includeva l'intervento umano nel circuito di controllo del sistema disturbato.

Poiché le misure di sicurezza tradizionali non possono essere facilmente adattate alle esigenze degli ambienti HAS, le strategie di controllo degli infortuni e di prevenzione degli incidenti devono essere riconsiderate alla luce delle caratteristiche intrinseche di questi sistemi. Ad esempio, nell'area della tecnologia di produzione avanzata, molti processi sono caratterizzati dall'esistenza di notevoli quantità di flussi di energia che non possono essere facilmente previsti dagli operatori umani. Inoltre, i problemi di sicurezza emergono tipicamente alle interfacce tra i sottosistemi o quando i disturbi del sistema passano da un sottosistema all'altro. Secondo l'Organizzazione internazionale per la standardizzazione (ISO 1991), i rischi associati ai pericoli dovuti all'automazione industriale variano con i tipi di macchine industriali incorporate nello specifico sistema di produzione e con le modalità con cui il sistema è installato, programmato, utilizzato, mantenuto e riparato. Ad esempio, un confronto tra gli incidenti relativi ai robot in Svezia e altri tipi di incidenti ha mostrato che i robot possono essere le macchine industriali più pericolose utilizzate nell'industria manifatturiera avanzata. Il tasso di incidenti stimato per i robot industriali è stato di un incidente grave ogni 45 anni-robot, un tasso superiore a quello delle presse industriali, che è stato riportato essere un incidente ogni 50 anni-macchina. Va notato qui che le presse industriali negli Stati Uniti hanno rappresentato circa il 23% di tutti gli incidenti mortali correlati alle macchine per la lavorazione dei metalli per il periodo 1980-1985, con le presse elettriche al primo posto rispetto al prodotto gravità-frequenza per infortuni non mortali.

Nel campo della tecnologia di produzione avanzata, ci sono molte parti mobili che sono pericolose per i lavoratori poiché cambiano la loro posizione in modo complesso al di fuori del campo visivo degli operatori umani. I rapidi sviluppi tecnologici nella produzione integrata da computer hanno creato un'esigenza critica per studiare gli effetti della tecnologia di produzione avanzata sui lavoratori. Per identificare i pericoli causati dai vari componenti di un tale ambiente HAS, è necessario analizzare attentamente gli incidenti passati. Sfortunatamente, gli incidenti che coinvolgono l'uso di robot sono difficili da isolare dalle segnalazioni di incidenti relativi a macchine operate dall'uomo e, pertanto, potrebbe esserci un'alta percentuale di incidenti non registrati. Le norme sulla salute e sicurezza sul lavoro del Giappone affermano che "i robot industriali non dispongono attualmente di mezzi affidabili di sicurezza e i lavoratori non possono essere protetti da essi a meno che il loro uso non sia regolamentato". Ad esempio, i risultati dell'indagine condotta dal Ministero del lavoro del Giappone (Sugimoto 1987) sugli incidenti relativi ai robot industriali nelle 190 fabbriche esaminate (con 4,341 robot funzionanti) hanno mostrato che si sono verificati 300 disturbi correlati ai robot, di cui 37 casi degli atti non sicuri ha provocato alcuni quasi incidenti, 9 sono stati incidenti con lesioni e 2 sono stati incidenti mortali. I risultati di altri studi indicano che l'automazione basata su computer non aumenta necessariamente il livello generale di sicurezza, poiché l'hardware del sistema non può essere reso sicuro dalle sole funzioni di sicurezza nel software del computer e i controller di sistema non sono sempre altamente affidabili. Inoltre, in un HAS complesso, non si può fare affidamento esclusivamente sui dispositivi di rilevamento della sicurezza per rilevare condizioni di pericolo e intraprendere strategie appropriate per evitare i rischi.

Effetti dell'automazione sulla salute umana

Come discusso in precedenza, le attività dei lavoratori in molti ambienti HAS sono fondamentalmente quelle di controllo di supervisione, monitoraggio, supporto del sistema e manutenzione. Queste attività possono anche essere classificate in quattro gruppi di base come segue: (1) attività di programmazione, ovvero codifica delle informazioni che guidano e dirigono il funzionamento dei macchinari, (2) monitoraggio della produzione HAS e componenti di controllo, (3) manutenzione dei componenti HAS per prevenire o alleviare i malfunzionamenti dei macchinari e (4) svolgere una varietà di attività di supporto, ecc. Molte revisioni recenti dell'impatto dell'HAS sul benessere dei lavoratori hanno concluso che sebbene l'utilizzo di un HAS nell'area di produzione possa eliminare compiti pesanti e pericolosi , lavorare in un ambiente HAS può essere insoddisfacente e stressante per i lavoratori. Le fonti di stress includevano il monitoraggio costante richiesto in molte applicazioni HAS, l'ambito limitato delle attività assegnate, il basso livello di interazione tra i lavoratori consentito dalla progettazione del sistema e i rischi per la sicurezza associati alla natura imprevedibile e incontrollabile dell'apparecchiatura. Anche se alcuni lavoratori coinvolti nelle attività di programmazione e manutenzione avvertono gli elementi di sfida, che possono avere effetti positivi sul loro benessere, questi effetti sono spesso controbilanciati dalla natura complessa e impegnativa di queste attività, nonché dalla pressione esercitato dalla direzione per completare rapidamente queste attività.

Sebbene in alcuni ambienti HAS gli operatori umani siano rimossi dalle tradizionali fonti di energia (il flusso di lavoro e il movimento della macchina) durante le normali condizioni operative, molte attività nei sistemi automatizzati devono ancora essere svolte a diretto contatto con altre fonti di energia. Poiché il numero di diversi componenti HAS è in continuo aumento, occorre porre particolare enfasi sul comfort e sulla sicurezza dei lavoratori e sullo sviluppo di efficaci disposizioni per il controllo degli infortuni, soprattutto in considerazione del fatto che i lavoratori non sono più in grado di tenere il passo con il sofisticazione e complessità di tali sistemi.

Al fine di soddisfare le attuali esigenze di controllo degli infortuni e sicurezza dei lavoratori nei sistemi di produzione integrati da computer, il Comitato ISO sui sistemi di automazione industriale ha proposto un nuovo standard di sicurezza intitolato "Sicurezza dei sistemi di produzione integrati" (1991). Questo nuovo standard internazionale, che è stato sviluppato in riconoscimento dei rischi particolari che esistono nei sistemi di produzione integrati che incorporano macchine industriali e attrezzature associate, mira a ridurre al minimo le possibilità di lesioni al personale mentre si lavora su o in prossimità di un sistema di produzione integrato. Le principali fonti di potenziali pericoli per gli operatori umani in CIM identificate da questo standard sono mostrate in figura 1.

Figura 1. Principale fonte di pericoli nella produzione integrata da computer (CIM) (dopo ISO 1991)

Errori umani e di sistema

In generale, i pericoli in un HAS possono derivare dal sistema stesso, dalla sua associazione con altre apparecchiature presenti nell'ambiente fisico o dalle interazioni del personale umano con il sistema. Un incidente è solo uno dei numerosi esiti delle interazioni uomo-macchina che possono emergere in condizioni pericolose; la maggior parte degli incidenti e dei danni è molto più comune (Zimolong e Duda 1992). Il verificarsi di un errore può portare a una delle seguenti conseguenze: (1) l'errore passa inosservato, (2) il sistema può compensare l'errore, (3) l'errore porta a un guasto della macchina e/o all'arresto del sistema o (4 ) l'errore provoca un incidente.

Poiché non tutti gli errori umani che si traducono in un incidente critico causeranno un incidente effettivo, è opportuno distinguere ulteriormente tra le seguenti categorie di risultati: (1) un incidente non sicuro (ovvero, qualsiasi evento non intenzionale indipendentemente dal fatto che provochi lesioni, danni o perdita), (2) un incidente (vale a dire, un evento pericoloso che provoca lesioni, danni o perdite), (3) un incidente con danno (vale a dire, un evento pericoloso che provoca solo un qualche tipo di danno materiale), (4) un quasi incidente o "mancato incidente" (ossia, un evento non sicuro in cui lesioni, danni o perdite sono stati fortuitamente evitati con un margine ristretto) e (5) l'esistenza di un potenziale incidente (ossia, eventi non sicuri che avrebbero potuto provocare lesioni, danni , o perdita, ma, a causa delle circostanze, non ha provocato nemmeno un quasi incidente).

Si possono distinguere tre tipi fondamentali di errore umano in un HAS:

1. scivoloni e errori basati sull'abilità
2. errori basati sulle regole
3. errori basati sulla conoscenza.

 

Questa tassonomia, ideata da Reason (1990), si basa su una modifica della classificazione abilità-regola-conoscenza delle prestazioni umane di Rasmussen come descritto sopra. A livello basato sull'abilità, le prestazioni umane sono governate da modelli memorizzati di istruzioni pre-programmate rappresentate come strutture analogiche in un dominio spazio-temporale. Il livello basato su regole è applicabile per affrontare problemi familiari in cui le soluzioni sono governate da regole memorizzate (chiamate "produzioni", poiché vi si accede, o si producono, quando necessario). Queste regole richiedono che vengano fatte determinate diagnosi (o giudizi), o che vengano intraprese determinate azioni correttive, dato che si sono verificate determinate condizioni che richiedono una risposta adeguata. A questo livello, gli errori umani sono tipicamente associati all'errata classificazione delle situazioni, che porta all'applicazione della regola sbagliata o al richiamo errato di sentenze o procedure conseguenti. Gli errori basati sulla conoscenza si verificano in nuove situazioni per le quali le azioni devono essere pianificate "on-line" (in un dato momento), utilizzando processi analitici consapevoli e conoscenza immagazzinata. Gli errori a questo livello derivano da limitazioni delle risorse e conoscenze incomplete o errate.

I sistemi generici di modellazione degli errori (GEMS) proposti da Reason (1990), che tenta di individuare le origini dei tipi di errore umano di base, possono essere utilizzati per derivare la tassonomia complessiva del comportamento umano in un HAS. GEMS cerca di integrare due aree distinte di ricerca sugli errori: (1) errori e errori, in cui le azioni si discostano dall'intenzione attuale a causa di errori di esecuzione e/o errori di archiviazione e (2) errori, in cui le azioni possono essere eseguite secondo il piano, ma il piano è inadeguato per raggiungere il risultato desiderato.

Valutazione e Prevenzione del Rischio in CIM

Secondo l'ISO (1991), la valutazione del rischio in CIM dovrebbe essere eseguita in modo da minimizzare tutti i rischi e servire come base per determinare gli obiettivi e le misure di sicurezza nello sviluppo di programmi o piani sia per creare un ambiente di lavoro sicuro sia per garantire anche la sicurezza e la salute del personale. Ad esempio, i rischi sul lavoro negli ambienti HAS basati sulla produzione possono essere caratterizzati come segue: (1) l'operatore umano potrebbe dover entrare nella zona di pericolo durante le attività di ripristino, assistenza e manutenzione, (2) la zona di pericolo è difficile da determinare, percepire e controllare, (3) il lavoro può essere monotono e (4) gli incidenti che si verificano all'interno di sistemi di produzione integrati da computer sono spesso gravi. Ogni pericolo identificato dovrebbe essere valutato per il suo rischio e dovrebbero essere determinate e implementate adeguate misure di sicurezza per ridurre al minimo tale rischio. I pericoli dovrebbero essere accertati anche rispetto a tutti i seguenti aspetti di un dato processo: la singola unità stessa; l'interazione tra le singole unità; le sezioni operative del sistema; e il funzionamento del sistema completo per tutte le modalità e condizioni operative previste, comprese le condizioni in cui i normali mezzi di protezione sono sospesi per operazioni quali programmazione, verifica, risoluzione dei problemi, manutenzione o riparazione.

La fase di progettazione della strategia di sicurezza ISO (1991) per CIM comprende:

• specificazione dei limiti dei parametri di sistema
• applicazione di una strategia di sicurezza
• identificazione dei pericoli
• valutazione dei rischi associati
• rimozione dei pericoli o diminuzione dei rischi per quanto praticabile.

 

La specifica di sicurezza del sistema dovrebbe includere:

• una descrizione delle funzioni del sistema
• un layout e/o un modello di sistema
• i risultati di un'indagine condotta per indagare l'interazione tra diversi processi lavorativi e attività manuali
• un'analisi delle sequenze di processo, inclusa l'interazione manuale
• una descrizione delle interfacce con trasportatori o linee di trasporto
• diagrammi di flusso di processo
• piani di fondazione
• piani per la fornitura e lo smaltimento dei dispositivi
• determinazione dello spazio necessario per l'approvvigionamento e lo smaltimento del materiale
• registri degli infortuni disponibili.

 

In conformità con l'ISO (1991), tutti i requisiti necessari per garantire un funzionamento sicuro del sistema CIM devono essere considerati nella progettazione di procedure sistematiche di pianificazione della sicurezza. Ciò include tutte le misure protettive per ridurre efficacemente i pericoli e richiede:

• integrazione dell'interfaccia uomo-macchina
• definizione anticipata della posizione di coloro che lavorano al sistema (nel tempo e nello spazio)
• considerazione precoce dei modi per ridurre il lavoro isolato
• considerazione degli aspetti ambientali.

 

La procedura di pianificazione della sicurezza dovrebbe affrontare, tra gli altri, i seguenti problemi di sicurezza del CIM:

• Selezione delle modalità di funzionamento del sistema. L'apparecchiatura di controllo dovrebbe prevedere almeno le seguenti modalità operative: (1) modalità normale o di produzione (ovvero, con tutte le normali protezioni collegate e funzionanti), (2) funzionamento con alcune delle normali protezioni sospese e (3) funzionamento in quale sistema o l'avvio manuale remoto di situazioni pericolose è impedito (ad esempio, in caso di funzionamento locale o di isolamento dell'alimentazione o blocco meccanico di condizioni pericolose).
• Formazione, installazione, messa in servizio e collaudo funzionale. Quando è necessario che il personale si trovi nella zona di pericolo, nel sistema di controllo devono essere previste le seguenti misure di sicurezza: (1) mantenimento della marcia, (2) dispositivo di abilitazione, (3) velocità ridotta, (4) potenza ridotta e (5 ) arresto di emergenza mobile.
• Sicurezza nella programmazione, manutenzione e riparazione del sistema. Durante la programmazione, solo il programmatore dovrebbe essere ammesso nello spazio protetto. Il sistema dovrebbe disporre di procedure di ispezione e manutenzione per garantire il funzionamento continuo previsto del sistema. Il programma di ispezione e manutenzione dovrebbe tenere conto delle raccomandazioni del fornitore del sistema e di quelle dei fornitori dei vari elementi del sistema. È superfluo menzionare che il personale addetto alla manutenzione o alla riparazione del sistema dovrebbe essere addestrato nelle procedure necessarie per eseguire le attività richieste.
• Eliminazione dei guasti. Laddove sia necessaria l'eliminazione del guasto dall'interno dello spazio protetto, dovrebbe essere eseguita dopo la disconnessione sicura (o, se possibile, dopo l'attivazione di un meccanismo di blocco). Devono essere prese ulteriori misure contro l'attivazione errata di situazioni pericolose. Laddove durante l'eliminazione dei guasti possono verificarsi pericoli su sezioni dell'impianto o sulle macchine di impianti o macchine adiacenti, anche questi dovrebbero essere messi fuori servizio e protetti contro l'avviamento inaspettato. Per mezzo di segnali di avvertenza e di avvertenza, si dovrebbe richiamare l'attenzione sull'eliminazione dei guasti nei componenti del sistema che non possono essere osservati completamente.

 

Controllo dei disturbi del sistema

In molte installazioni HAS utilizzate nell'area di produzione integrata da computer, gli operatori umani sono generalmente necessari allo scopo di attività di controllo, programmazione, manutenzione, preimpostazione, assistenza o risoluzione dei problemi. I disturbi nel sistema portano a situazioni che rendono necessario l'ingresso dei lavoratori nelle aree pericolose. A questo proposito, si può presumere che i disturbi rimangano la ragione più importante dell'interferenza umana nel CIM, perché i sistemi saranno programmati il ​​più delle volte dall'esterno delle aree riservate. Uno degli aspetti più importanti per la sicurezza del CIM è la prevenzione dei disturbi, poiché la maggior parte dei rischi si verifica nella fase di risoluzione dei problemi del sistema. La prevenzione delle perturbazioni è l'obiettivo comune per quanto riguarda sia la sicurezza che l'efficacia in termini di costi.

Un disturbo in un sistema CIM è uno stato o una funzione di un sistema che devia dallo stato pianificato o desiderato. Oltre alla produttività, i disturbi durante il funzionamento di un CIM hanno un effetto diretto sulla sicurezza delle persone coinvolte nel funzionamento del sistema. Uno studio finlandese (Kuivanen 1990) ha dimostrato che circa la metà dei disturbi nella produzione automatizzata riduce la sicurezza dei lavoratori. Le principali cause di disturbo sono state gli errori nella progettazione del sistema (34%), i guasti dei componenti del sistema (31%), l'errore umano (20%) e fattori esterni (15%). La maggior parte dei guasti alle macchine è stata causata dal sistema di controllo e, nel sistema di controllo, la maggior parte dei guasti si è verificata nei sensori. Un modo efficace per aumentare il livello di sicurezza degli impianti CIM è ridurre il numero di disturbi. Sebbene le azioni umane nei sistemi disturbati prevengano il verificarsi di incidenti nell'ambiente HAS, vi contribuiscono anche. Ad esempio, uno studio sugli incidenti relativi a malfunzionamenti dei sistemi di controllo tecnico ha mostrato che circa un terzo delle sequenze di incidenti includeva l'intervento umano nel circuito di controllo del sistema disturbato.

I principali temi di ricerca nella prevenzione dei disturbi CIM riguardano (1) principali cause di disturbi, (2) componenti e funzioni inaffidabili, (3) l'impatto dei disturbi sulla sicurezza, (4) l'impatto dei disturbi sulla funzione del sistema, ( 5) danni materiali e (6) riparazioni. La sicurezza degli HAS dovrebbe essere pianificata all'inizio della fase di progettazione del sistema, con la dovuta considerazione della tecnologia, delle persone e dell'organizzazione, ed essere parte integrante dell'intero processo di pianificazione tecnica degli HAS.

HAS Design: sfide future

Per garantire il massimo vantaggio dai sistemi automatizzati ibridi come discusso in precedenza, è necessaria una visione molto più ampia dello sviluppo del sistema, basata sull'integrazione di persone, organizzazione e tecnologia. Tre tipi principali di integrazione di sistema dovrebbero essere applicati qui:

1. integrazione delle persone, assicurando una comunicazione efficace tra loro
2. integrazione uomo-macchina, progettando interfacce e interazioni adeguate tra persone e computer
3. integrazione tecnologica, garantendo un efficace interfacciamento e interazione tra le macchine.

 

I requisiti minimi di progettazione per i sistemi automatizzati ibridi dovrebbero includere quanto segue: (1) flessibilità, (2) adattamento dinamico, (3) migliore reattività e (4) necessità di motivare le persone e fare un uso migliore delle loro capacità, giudizio ed esperienza . Quanto sopra richiede anche che le strutture organizzative, le pratiche di lavoro e le tecnologie HAS siano sviluppate per consentire alle persone a tutti i livelli del sistema di adattare le proprie strategie di lavoro alla varietà delle situazioni di controllo dei sistemi. Pertanto, le organizzazioni, le pratiche di lavoro e le tecnologie di HAS dovranno essere progettate e sviluppate come sistemi aperti (Kidd 1994).

Un sistema automatizzato ibrido aperto (OHAS) è un sistema che riceve input e invia output al suo ambiente. L'idea di un sistema aperto può essere applicata non solo alle architetture di sistema e alle strutture organizzative, ma anche alle pratiche di lavoro, alle interfacce uomo-macchina, al rapporto tra persone e tecnologie: si possono citare, ad esempio, i sistemi di schedulazione, i sistemi di controllo e Sistema di Supporto Decisionale. Un sistema aperto è anche adattivo quando consente alle persone un ampio grado di libertà di definire la modalità di funzionamento del sistema. Ad esempio, nell'area della produzione avanzata, i requisiti di un sistema automatizzato ibrido aperto possono essere realizzati attraverso il concetto di manifattura umana e computerizzata (HCIM). In questa prospettiva, la progettazione della tecnologia dovrebbe affrontare l'architettura complessiva del sistema HCIM, inclusi i seguenti: (1) considerazioni sulla rete di gruppi, (2) la struttura di ciascun gruppo, (3) l'interazione tra i gruppi, (4) la natura del software di supporto e (5) le esigenze tecniche di comunicazione e integrazione tra i moduli software di supporto.

Il sistema automatizzato ibrido adattivo, al contrario del sistema chiuso, non limita ciò che gli operatori umani possono fare. Il ruolo del progettista di un HAS è quello di creare un sistema che soddisfi le preferenze personali dell'utente e consenta ai suoi utenti di lavorare nel modo che ritengono più appropriato. Un prerequisito per consentire l'input dell'utente è lo sviluppo di una metodologia di progettazione adattiva, ovvero un OHAS che consenta l'abilitazione della tecnologia supportata dal computer per la sua implementazione nel processo di progettazione. La necessità di sviluppare una metodologia per la progettazione adattiva è uno dei requisiti immediati per realizzare nella pratica il concetto di OHAS. È inoltre necessario sviluppare un nuovo livello di tecnologia di controllo della supervisione umana adattiva. Tale tecnologia dovrebbe consentire all'operatore umano di "vedere attraverso" il sistema di controllo altrimenti invisibile del funzionamento dell'HAS, ad esempio mediante l'applicazione di un sistema video interattivo ad alta velocità in ogni punto di controllo e funzionamento del sistema. Infine, è assolutamente necessaria anche una metodologia per lo sviluppo di un supporto computerizzato intelligente e altamente adattivo dei ruoli umani e del funzionamento umano nei sistemi automatizzati ibridi.

 

Di ritorno

È generalmente accettato che i sistemi di controllo debbano essere sicuri durante l'uso. Con questo in mente, i sistemi di controllo più moderni sono progettati come mostrato nella figura 1.

Figura 1. Progettazione generale dei sistemi di controllo

Il modo più semplice per rendere sicuro un sistema di controllo è costruire attorno ad esso un muro impenetrabile in modo da impedire l'accesso umano o l'interferenza nella zona pericolosa. Un tale sistema sarebbe molto sicuro, anche se poco pratico, poiché sarebbe impossibile accedervi per eseguire la maggior parte dei lavori di collaudo, riparazione e regolazione. Poiché l'accesso alle zone pericolose deve essere consentito in determinate condizioni, sono necessarie misure protettive diverse da muri, recinzioni e simili per facilitare la produzione, l'installazione, l'assistenza e la manutenzione.

 

Alcune di queste misure protettive possono essere parzialmente o totalmente integrate nei sistemi di controllo, come segue:

• Il movimento può essere interrotto immediatamente nel caso in cui qualcuno entri nella zona di pericolo, tramite i pulsanti di arresto di emergenza (ES).
• I comandi a pulsante consentono il movimento solo quando il pulsante è azionato.
• I comandi a doppia mano (DHC) consentono il movimento solo quando entrambe le mani sono impegnate nell'abbassare i due elementi di comando (assicurando così che le mani siano tenute lontane dalle zone di pericolo).

 

Questi tipi di misure protettive vengono attivate dagli operatori. Tuttavia, poiché gli esseri umani rappresentano spesso un punto debole nelle applicazioni, molte funzioni, come le seguenti, vengono eseguite automaticamente:

• I movimenti dei bracci del robot durante la manutenzione o il "teach-in" sono molto lenti. Tuttavia, la velocità è costantemente monitorata. Se, a causa di un guasto del sistema di controllo, la velocità dei bracci automatici del robot dovesse aumentare inaspettatamente durante il periodo di manutenzione o di apprendimento, il sistema di monitoraggio si attiverebbe e interromperebbe immediatamente il movimento.
• Viene fornita una barriera fotoelettrica per impedire l'accesso in una zona pericolosa. Se il raggio luminoso viene interrotto, la macchina si fermerà automaticamente.

 

Il normale funzionamento dei sistemi di controllo è il presupposto più importante per la produzione. Se una funzione di produzione viene interrotta a causa di un errore di controllo, è al massimo scomodo ma non pericoloso. Se una funzione rilevante per la sicurezza non viene eseguita, potrebbe verificarsi una perdita di produzione, danni alle apparecchiature, lesioni o addirittura la morte. Pertanto, le funzioni del sistema di controllo rilevanti per la sicurezza devono essere più affidabili e più sicure delle normali funzioni del sistema di controllo. Secondo la Direttiva del Consiglio Europeo 89/392/CEE (Linee guida macchine), i sistemi di controllo devono essere progettati e costruiti in modo che siano sicuri e affidabili.

I comandi sono costituiti da più componenti collegati tra loro in modo da svolgere una o più funzioni. I controlli sono suddivisi in canali. Un canale è la parte di un controllo che esegue una funzione specifica (ad es. avvio, arresto, arresto di emergenza). Fisicamente, il canale è creato da una stringa di componenti (transistor, diodi, relè, gate, ecc.) attraverso i quali, da un componente all'altro, le informazioni (principalmente elettriche) che rappresentano quella funzione vengono trasferite dall'ingresso all'uscita.

Nella progettazione dei canali di controllo per le funzioni rilevanti per la sicurezza (quelle funzioni che coinvolgono le persone), devono essere soddisfatti i seguenti requisiti:

• I componenti utilizzati nei canali di controllo con funzioni rilevanti per la sicurezza devono essere in grado di resistere ai rigori del normale utilizzo. In genere, devono essere sufficientemente affidabili.
• Errori nella logica non devono causare situazioni pericolose. In genere, il canale rilevante per la sicurezza deve essere sufficientemente resistente ai guasti.
• Influenze esterne (fattori) non dovrebbero portare a guasti temporanei o permanenti nei canali rilevanti per la sicurezza.

 

Affidabilità

Affidabilità è la capacità di un canale o componente di controllo di eseguire una funzione richiesta in condizioni specificate per un dato periodo di tempo senza fallire. (La probabilità per componenti specifici o canali di controllo può essere calcolata utilizzando metodi adeguati.) L'affidabilità deve essere sempre specificata per un valore temporale specifico. In generale, l'affidabilità può essere espressa dalla formula in figura 2.

Figura 2. Formula di affidabilità

Affidabilità di sistemi complessi

I sistemi sono costruiti da componenti. Se si conoscono le affidabilità dei componenti, è possibile calcolare l'affidabilità del sistema nel suo insieme. In tali casi, si applica quanto segue:

Sistemi seriali

La totale affidabilità R_bimbo di un sistema seriale costituito da N componenti della stessa affidabilità R_C è calcolato come in figura 3.

Figura 3. Grafico di affidabilità dei componenti collegati in serie

L'affidabilità totale è inferiore all'affidabilità del componente meno affidabile. All'aumentare del numero di componenti collegati in serie, l'affidabilità totale della catena diminuisce in modo significativo.

Sistemi paralleli

La totale affidabilità R_bimbo di un sistema parallelo costituito da N componenti della stessa affidabilità R_C è calcolato come in figura 4.

Figura 4. Grafico di affidabilità dei componenti collegati in parallelo

L'affidabilità totale può essere notevolmente migliorata attraverso il collegamento in parallelo di due o più componenti.

La figura 5 illustra un esempio pratico. Si noti che il circuito spegnerà il motore in modo più affidabile. Anche se il relè A o B non riesce ad aprire il suo contatto, il motore sarà comunque spento.

Figura 5. Esempio pratico di figura 4

Calcolare l'affidabilità totale di un canale è semplice se tutte le affidabilità dei componenti necessari sono note e disponibili. Nel caso di componenti complessi (circuiti integrati, microprocessori, ecc.) il calcolo dell'affidabilità totale è difficile o impossibile se le informazioni necessarie non sono pubblicate dal produttore.

Sicurezza

Quando i professionisti parlano di sicurezza e chiedono macchine sicure, intendono la sicurezza dell'intera macchina o sistema. Questa sicurezza è, tuttavia, troppo generica e non sufficientemente definita per il progettista dei controlli. La seguente definizione di sicurezza può essere pratico e utilizzabile per i progettisti di circuiti di controllo: la sicurezza è la capacità di un sistema di controllo di eseguire la funzione richiesta entro i limiti prescritti, per una data durata, anche quando si verificano guasti previsti. Di conseguenza, durante la progettazione deve essere chiarito quanto "sicuro" deve essere il canale relativo alla sicurezza. (Il progettista può sviluppare un canale che sia sicuro contro il primo guasto, contro un guasto qualsiasi, contro due guasti, ecc.) Inoltre, un canale che svolge una funzione utilizzata per prevenire gli incidenti può essere essenzialmente affidabile, ma non ha per essere inevitabilmente al sicuro contro i fallimenti. Questo può essere meglio spiegato dai seguenti esempi:

esempio 1

L'esempio illustrato nella figura 6 è un canale di controllo rilevante per la sicurezza che esegue la funzione di sicurezza richiesta. Il primo componente può essere un interruttore che monitora, ad esempio, la posizione di una porta di accesso a un'area pericolosa. L'ultimo componente è un motore che aziona parti meccaniche in movimento all'interno della zona pericolosa.

Figura 6. Un canale di controllo rilevante per la sicurezza che esegue la funzione di sicurezza richiesta

La funzione di sicurezza richiesta in questo caso è duplice: se la porta è chiusa, il motore può funzionare. Se la porta è aperta, il motore deve essere spento. Conoscere le attendibilità R₁ a R₆, è possibile calcolare l'affidabilità R_presto. I progettisti dovrebbero utilizzare componenti affidabili al fine di mantenere un'affidabilità sufficientemente elevata dell'intero sistema di controllo (vale a dire, la probabilità che questa funzione possa ancora essere svolta tra, diciamo, anche 20 anni dovrebbe essere presa in considerazione nella progettazione). Di conseguenza, i progettisti devono svolgere due compiti: (1) la circuiteria deve svolgere la funzione richiesta e (2) l'affidabilità dei componenti e dell'intero canale di controllo deve essere adeguata.

Occorre ora porsi la seguente domanda: il suddetto canale svolgerà le funzioni di sicurezza richieste anche se si verifica un guasto nel sistema (ad esempio, se un contatto del relè si blocca o un componente non funziona correttamente)? La risposta è no". Il motivo è che un singolo canale di controllo costituito solo da componenti collegati in serie e funzionante con segnali statici non è sicuro contro un guasto. Il canale può avere solo una certa affidabilità, che garantisce la probabilità che la funzione venga svolta. In tali situazioni, la sicurezza è sempre intesa come relativo al fallimento.

esempio 2

Se un canale di controllo deve essere sia affidabile che sicuro, il design deve essere modificato come nella figura 7. L'esempio illustrato è un canale di controllo rilevante per la sicurezza costituito da due sottocanali completamente separati.

Figura 7. Un canale di controllo rilevante per la sicurezza con due sottocanali completamente separati

Questo progetto è sicuro contro il primo guasto (e possibili ulteriori guasti nello stesso sottocanale), ma non è sicuro contro due guasti che possono verificarsi in due diversi sottocanali (contemporaneamente o in momenti diversi) perché non esiste un circuito di rilevamento dei guasti. Di conseguenza, inizialmente entrambi i sottocanali funzionano con un'elevata affidabilità (vedi sistema parallelo), ma dopo il primo guasto funzionerà solo un sottocanale e l'affidabilità diminuisce. Se si verifica un secondo guasto nel sottocanale ancora in funzione, entrambi si guastano e la funzione di sicurezza non viene più eseguita.

esempio 3

L'esempio illustrato nella figura 8 è un canale di controllo rilevante per la sicurezza costituito da due sottocanali completamente separati che si controllano a vicenda.

Figura 8. Un canale di controllo rilevante per la sicurezza con due sottocanali completamente separati che si monitorano a vicenda

Tale progetto è a prova di guasto perché dopo ogni guasto, solo un sottocanale non sarà funzionante, mentre l'altro sottocanale rimane disponibile e svolgerà la funzione di sicurezza. Inoltre, il design ha un circuito di rilevamento dei guasti. Se, a causa di un guasto, entrambi i sottocanali non funzionano allo stesso modo, questa condizione verrà rilevata dalla circuiteria “or esclusivo”, con la conseguenza che la macchina verrà automaticamente spenta. Questo è uno dei modi migliori per progettare i controlli delle macchine: progettare sottocanali rilevanti per la sicurezza. Sono al sicuro contro un guasto e allo stesso tempo forniscono un'affidabilità tale da ridurre al minimo le possibilità che si verifichino due guasti contemporaneamente.

Ridondanza

È evidente che esistono vari metodi con cui un progettista può migliorare l'affidabilità e/o la sicurezza (contro i guasti). Gli esempi precedenti illustrano come una funzione (ovvero, porta chiusa, il motore può funzionare; porta aperta, il motore deve essere arrestato) può essere realizzata con varie soluzioni. Alcuni metodi sono molto semplici (un sottocanale) e altri più complicati (due sottocanali con supervisione reciproca). (Vedi figura 9.)

Figura 9. Affidabilità dei sistemi ridondanti con o senza rilevamento dei guasti

C'è una certa ridondanza nei circuiti e/o nei componenti complessi rispetto a quelli semplici. Ridondanza può essere definita come segue: (1) La ridondanza è la presenza di più mezzi (componenti, canali, fattori di sicurezza più elevati, test aggiuntivi e così via) di quelli realmente necessari per il semplice adempimento della funzione desiderata; (2) la ridondanza ovviamente non “migliora” la funzione, che comunque viene svolta. La ridondanza migliora solo l'affidabilità e/o la sicurezza.

Alcuni professionisti della sicurezza ritengono che la ridondanza sia solo il raddoppio o il triplo, e così via, del sistema. Si tratta di un'interpretazione molto limitata, poiché la ridondanza può essere interpretata in modo molto più ampio e flessibile. La ridondanza può essere inclusa non solo nell'hardware; potrebbe essere incluso anche nel software. Anche il miglioramento del fattore di sicurezza (ad esempio, una corda più forte invece di una più debole) può essere considerato una forma di ridondanza.

entropia

entropia, un termine che si trova soprattutto in termodinamica e astronomia, può essere definito come segue: Tutto tende al decadimento. Pertanto, è assolutamente certo che tutti i componenti, sottosistemi o sistemi, indipendentemente dalla tecnologia in uso, prima o poi falliranno. Ciò significa che non esistono sistemi, sottosistemi o componenti affidabili e/o sicuri al 100%. Tutti sono semplicemente più o meno affidabili e sicuri, a seconda della complessità della struttura. I fallimenti che inevitabilmente si verificano prima o dopo dimostrano l'azione dell'entropia.

L'unico mezzo a disposizione dei progettisti per contrastare l'entropia è la ridondanza, che si ottiene (a) introducendo maggiore affidabilità nei componenti e (b) fornendo maggiore sicurezza in tutta l'architettura del circuito. Solo aumentando sufficientemente la probabilità che la funzione richiesta venga eseguita per il periodo di tempo richiesto, i progettisti possono in qualche misura difendersi dall'entropia.

Valutazione del rischio

Maggiore è il rischio potenziale, maggiore è l'affidabilità e/o la sicurezza (contro i guasti) richiesta (e viceversa). Ciò è illustrato dai seguenti due casi:

Caso 1

L'accesso allo stampo fissato in una pressa ad iniezione è protetto da una porta. Se la porta è chiusa, la macchina può funzionare, e se la porta è aperta, tutti i movimenti pericolosi devono essere fermati. In nessun caso (nemmeno in caso di guasto del canale di sicurezza) possono verificarsi movimenti, soprattutto quelli che azionano l'utensile.

Caso 2

L'accesso a una linea di assemblaggio a controllo automatico che assembla piccoli componenti in plastica sotto pressione pneumatica è protetto da una porta. Se questa porta viene aperta, la linea dovrà essere interrotta.

Nel caso 1, se il sistema di controllo di supervisione della porta dovesse guastarsi, potrebbe verificarsi un grave infortunio se lo strumento viene chiuso inaspettatamente. Nel caso 2, se il sistema di controllo di supervisione della porta si guasta, possono verificarsi solo lesioni lievi o danni insignificanti.

È ovvio che nel primo caso deve essere introdotta molta più ridondanza per ottenere l'affidabilità e/o la sicurezza (contro i guasti) necessarie per proteggere da rischi estremamente elevati. Infatti, secondo la norma europea EN 201, il sistema di controllo di supervisione della porta della pressa ad iniezione deve avere tre canali; di cui due elettriche e reciprocamente supervisionate e una delle quali in gran parte dotata di circuiti idraulici e di collaudo. Tutte e tre queste funzioni di supervisione si riferiscono alla stessa porta.

Viceversa, in applicazioni come quella descritta nel Caso 2, un solo canale attivato da un interruttore ad azione positiva è adeguato al rischio.

Categorie di controllo

Poiché tutte le considerazioni di cui sopra sono generalmente basate sulla teoria dell'informazione e di conseguenza sono valide per tutte le tecnologie, non importa se il sistema di controllo è basato su componenti elettronici, elettromeccanici, meccanici, idraulici o pneumatici (o una combinazione di essi) , o su qualche altra tecnologia. L'inventiva del progettista da un lato e le questioni economiche dall'altro sono i fattori principali che influenzano un numero quasi infinito di soluzioni su come realizzare canali rilevanti per la sicurezza.

Per evitare confusione, è utile stabilire determinati criteri di ordinamento. Le strutture di canale più tipiche utilizzate nei controlli macchina per l'esecuzione di funzioni relative alla sicurezza sono classificate in base a:

• problemi di
• comportamento in caso di fallimento
• tempo di rivelazione del fallimento.

 

Le loro combinazioni (non sono mostrate tutte le combinazioni possibili) sono illustrate nella tabella 1.

Tabella 1. Alcune possibili combinazioni di strutture circuitali nei controlli macchina per funzioni legate alla sicurezza

 

La categoria applicabile a una macchina specifica e al suo sistema di controllo relativo alla sicurezza è per lo più specificata nelle nuove norme europee (EN), a meno che l'autorità nazionale, l'utente e il fabbricante non concordino reciprocamente sull'applicazione di un'altra categoria. Il progettista sviluppa quindi un sistema di controllo che soddisfi i requisiti. Ad esempio, le considerazioni che regolano la progettazione di un canale di controllo possono includere quanto segue:

• I componenti devono resistere alle influenze previste. (SI NO)
• La loro costruzione dovrebbe essere conforme agli standard più moderni. (SI NO)
• Vengono utilizzati componenti e metodi collaudati. (SI NO)
• Fallimento deve essere rilevato. (SI NO)
• La funzione di sicurezza verrà eseguita anche in caso di guasto? (SI NO)
• Quando verrà rilevato il guasto? (MAI, PRESTO, IMMEDIATAMENTE)

 

Questo processo è reversibile. Utilizzando le stesse domande, si può decidere a quale categoria appartiene un canale di controllo esistente, precedentemente sviluppato.

Esempi di categoria

Categoria B

I componenti del canale di controllo utilizzati principalmente nei prodotti di consumo devono resistere alle influenze previste ed essere progettati secondo lo stato dell'arte. Un interruttore ben progettato può servire da esempio.

Categoria 1

L'uso di componenti e metodi collaudati è tipico della Categoria 1. Un esempio di Categoria 1 è un interruttore con azione positiva (ovvero, richiede l'apertura forzata dei contatti). Questo interruttore è progettato con parti robuste ed è attivato da forze relativamente elevate, raggiungendo così un'affidabilità estremamente elevata solo nell'apertura del contatto. Nonostante i contatti incollati o addirittura saldati, questi interruttori si apriranno. (Nota: componenti come transistor e diodi non sono considerati componenti collaudati.) La figura 10 servirà come illustrazione di un controllo di categoria 1.

Figura 10. Un interruttore con azione positiva

Questo canale utilizza l'interruttore S con azione positiva. Il contattore K è supervisionato dalla spia L. L'operatore viene avvisato che i contatti normalmente aperti (NA) si innestano tramite la spia L. Il contattore K ha i contatti a guida forzata. (Nota: i relè o contattori con guida forzata dei contatti hanno, rispetto ai normali relè o contattori, una gabbia speciale in materiale isolante in modo che se i contatti normalmente chiusi (NC) sono chiusi, tutti i contatti NO devono essere aperti e viceversa viceversa. Ciò significa che utilizzando contatti NC è possibile verificare che i contatti di lavoro non siano incollati o saldati insieme.)

Categoria 2

La categoria 2 prevede il rilevamento automatico dei guasti. Il rilevamento automatico dei guasti deve essere generato prima di ogni movimento pericoloso. Solo se il test è positivo si può eseguire il movimento; in caso contrario la macchina verrà arrestata. I sistemi di rilevamento automatico dei guasti vengono utilizzati per le barriere fotoelettriche per dimostrare che funzionano ancora. Il principio è illustrato nella figura 1.

Figura 11. Circuito che include un rilevatore di guasti

Questo sistema di controllo viene testato regolarmente (o occasionalmente) iniettando un impulso all'ingresso. In un sistema correttamente funzionante questo impulso verrà quindi trasferito all'uscita e confrontato con un impulso proveniente da un generatore di test. Quando sono presenti entrambi gli impulsi, il sistema ovviamente funziona. Altrimenti, se non c'è impulso in uscita, il sistema è guasto.

Categoria 3

Il circuito è stato precedentemente descritto nell'Esempio 3 nella sezione Sicurezza di questo articolo, figura 8.

Il requisito, ovvero il rilevamento automatico dei guasti e la capacità di eseguire la funzione di sicurezza anche se si è verificato un guasto ovunque, può essere soddisfatto da strutture di controllo a due canali e dalla supervisione reciproca dei due canali.

Solo per i controlli della macchina, i guasti pericolosi devono essere esaminati. Va notato che ci sono due tipi di fallimento:

• Non pericoloso i guasti sono quelli che, dopo il loro verificarsi, provocano uno “stato sicuro” della macchina provvedendo allo spegnimento del motore.
• Pericoloso i guasti sono quelli che, dopo il loro verificarsi, provocano uno “stato non sicuro” della macchina, in quanto il motore non può essere spento o il motore inizia a muoversi inaspettatamente.

Categoria 4

La categoria 4 prevede tipicamente l'applicazione di un segnale dinamico, che cambia continuamente sull'ingresso. La presenza di un segnale dinamico sui mezzi di uscita running ("1"), e l'assenza di un segnale dinamico significa Stop ("0").

Per tali circuiti è tipico che dopo il guasto di qualsiasi componente il segnale dinamico non sarà più disponibile sull'uscita. (Nota: il potenziale statico sull'uscita è irrilevante.) Tali circuiti possono essere chiamati "fail-safe". Tutti i guasti verranno comunicati immediatamente, non dopo la prima modifica (come nei circuiti di Categoria 3).

Ulteriori commenti sulle categorie di controllo

La tabella 1 è stata sviluppata per i normali controlli macchina e mostra solo le strutture circuitali di base; secondo la direttiva macchine dovrebbe essere calcolato assumendo che si verifichi un solo guasto in un ciclo macchina. Questo è il motivo per cui la funzione di sicurezza non deve essere eseguita nel caso di due guasti coincidenti. Si presume che un guasto venga rilevato entro un ciclo macchina. La macchina verrà fermata e quindi riparata. Il sistema di controllo quindi si riavvia, completamente operativo, senza guasti.

Il primo intento del progettista dovrebbe essere quello di non consentire guasti "permanenti", che non verrebbero rilevati durante un ciclo in quanto potrebbero successivamente essere combinati con guasti che si verificano di nuovo (accumulo di guasti). Tali combinazioni (un guasto permanente e un nuovo guasto) possono causare un malfunzionamento anche dei circuiti di Categoria 3.

Nonostante queste tattiche, è possibile che due guasti indipendenti si verifichino contemporaneamente all'interno dello stesso ciclo macchina. È solo molto improbabile, soprattutto se sono stati utilizzati componenti altamente affidabili. Per le applicazioni ad altissimo rischio, devono essere utilizzati tre o più sottocanali. Questa filosofia si basa sul fatto che il tempo medio tra guasti è molto più lungo del ciclo macchina.

Ciò non significa, tuttavia, che la tabella non possa essere ulteriormente ampliata. La Tabella 1 è fondamentalmente e strutturalmente molto simile alla Tabella 2 utilizzata nella EN 954-1. Tuttavia, non tenta di includere troppi criteri di ordinamento. I requisiti sono definiti secondo le rigorose leggi della logica, in modo che ci si possano aspettare solo risposte chiare (SI o NO). Ciò consente una valutazione, un ordinamento e una classificazione più precisi dei circuiti sottoposti (canali relativi alla sicurezza) e, ultimo ma non meno importante, un miglioramento significativo della riproducibilità della valutazione.

L'ideale sarebbe classificare i rischi in vari livelli di rischio e quindi stabilire un legame preciso tra livelli e categorie di rischio, il tutto indipendentemente dalla tecnologia in uso. Tuttavia, questo non è del tutto possibile. Subito dopo la creazione delle categorie è diventato chiaro che, anche a parità di tecnologia, a varie domande non veniva data una risposta sufficiente. Cos'è meglio: un componente di Categoria 1 molto affidabile e ben progettato o un sistema che soddisfa i requisiti della Categoria 3 con scarsa affidabilità?

Per spiegare questo dilemma bisogna distinguere tra due qualità: affidabilità e sicurezza (contro i guasti). Non sono paragonabili, poiché entrambe queste qualità hanno caratteristiche diverse:

• Il componente con la massima affidabilità ha la spiacevole caratteristica che in caso di guasto (anche se altamente improbabile) la funzione cesserà di svolgere.
• I sistemi di categoria 3, in cui anche in caso di un guasto la funzione verrà eseguita, non sono sicuri contro due guasti contemporaneamente (ciò che può essere importante è se sono stati utilizzati componenti sufficientemente affidabili).

Considerando quanto sopra, potrebbe essere che la soluzione migliore (dal punto di vista dell'alto rischio) sia quella di utilizzare componenti altamente affidabili e configurarli in modo che il circuito sia sicuro contro almeno un guasto (preferibilmente più). È chiaro che una tale soluzione non è la più economica. In pratica, il processo di ottimizzazione è principalmente la conseguenza di tutte queste influenze e considerazioni.

L'esperienza con l'uso pratico delle categorie mostra che raramente è possibile progettare un sistema di controllo che può utilizzare solo una categoria in tutto. La combinazione di due o anche tre parti, ciascuna di una categoria diversa, è tipica, come illustrato nell'esempio seguente:

Molte barriere fotoelettriche di sicurezza sono progettate nella categoria 4, in cui un canale funziona con un segnale dinamico. Alla fine di questo sistema ci sono solitamente due sottocanali supervisionati reciprocamente che lavorano con segnali statici. (Ciò soddisfa i requisiti per la Categoria 3.)

Secondo EN 50100, tali barriere fotoelettriche sono classificate come Dispositivi di protezione elettrosensibili di tipo 4, sebbene siano composti da due parti. Sfortunatamente, non c'è accordo su come denominare i sistemi di controllo costituiti da due o più parti, ciascuna parte di un'altra categoria.

Sistemi elettronici programmabili (PES)

I principi utilizzati per creare la tabella 1 possono, ovviamente con alcune restrizioni, essere generalmente applicati anche ai PES.

Sistema solo PES

Utilizzando i PES per il controllo, le informazioni vengono trasferite dal sensore all'attivatore attraverso un gran numero di componenti. Oltre a ciò, passa anche "attraverso" il software. (Vedi figura 12).

Figura 12. Un circuito del sistema PES

Sebbene i PES moderni siano molto affidabili, l'affidabilità non è così elevata come potrebbe essere richiesta per l'elaborazione delle funzioni di sicurezza. Oltre a ciò, i normali sistemi PES non sono abbastanza sicuri, poiché non svolgeranno la funzione relativa alla sicurezza in caso di guasto. Pertanto, l'utilizzo di PES per l'elaborazione delle funzioni di sicurezza senza misure aggiuntive non è consentito.

Applicazioni a rischio molto basso: sistemi con un PES e misure aggiuntive

Quando si utilizza un singolo PES per il controllo, il sistema è costituito dalle seguenti parti principali:

Parte di input

L'affidabilità di un sensore e dell'ingresso di un PES può essere migliorata raddoppiandoli. Tale configurazione di input a doppio sistema può essere ulteriormente supervisionata dal software per verificare se entrambi i sottosistemi stanno fornendo le stesse informazioni. In questo modo è possibile rilevare i guasti nella parte di ingresso. Questa è quasi la stessa filosofia richiesta per la Categoria 3. Tuttavia, poiché la supervisione viene eseguita dal software e solo una volta, questa può essere denominata 3- (o non affidabile come 3).

Parte di mezzo

Sebbene questa parte non possa essere ben raddoppiata, può essere testata. All'accensione (o durante il funzionamento) è possibile eseguire un controllo dell'intero set di istruzioni. Con gli stessi intervalli, la memoria può essere controllata anche da opportuni schemi di bit. Se tali controlli vengono condotti senza errori, entrambe le parti, CPU e memoria, funzionano ovviamente correttamente. La parte centrale presenta alcune caratteristiche tipiche della Categoria 4 (segnale dinamico) ed altre tipiche della Categoria 2 (test eseguiti regolarmente ad intervalli adeguati). Il problema è che questi test, nonostante la loro ampiezza, non possono essere veramente completi, in quanto il sistema one-PES intrinsecamente non li consente.

Parte di uscita

Simile a un input, anche l'output (inclusi gli attivatori) può essere raddoppiato. Entrambi i sottosistemi possono essere supervisionati rispetto allo stesso risultato. I guasti verranno rilevati e la funzione di sicurezza verrà eseguita. Tuttavia, ci sono gli stessi punti deboli della parte di input. Di conseguenza, in questo caso viene scelta la categoria 3.

In figura 13 la stessa funzione è riportata ai relè A ed B. I contatti di controllo a ed b, quindi informa due sistemi di input se entrambi i relè stanno eseguendo lo stesso lavoro (a meno che non si sia verificato un guasto in uno dei canali). La supervisione viene eseguita nuovamente dal software.

Figura 13. Un circuito PES con un sistema di rilevamento dei guasti

L'intero sistema può essere descritto come Categoria 3-/4/2/3- se fatto correttamente ed estesamente. Tuttavia, i punti deboli di tali sistemi come sopra descritti non possono essere completamente eliminati. Infatti, i PES migliorati sono effettivamente utilizzati per funzioni legate alla sicurezza solo dove i rischi sono piuttosto bassi (Hölscher e Rader 1984).

Applicazioni a basso e medio rischio con un PES

Oggi quasi tutte le macchine sono dotate di un'unità di controllo PES. Per risolvere il problema dell'insufficiente affidabilità e di solito insufficiente sicurezza contro i guasti, vengono comunemente utilizzati i seguenti metodi di progettazione:

• In macchine relativamente semplici come gli ascensori, le funzioni sono divise in due gruppi: (1) le funzioni che non sono legate alla sicurezza sono elaborate dal PES; (2) le funzioni relative alla sicurezza sono combinate in una catena (circuito di sicurezza) ed elaborate al di fuori del PES (vedere figura 14).

 

Figura 14. Stato dell'arte per la categoria di fermata 0

• Il metodo sopra indicato non è adatto a macchine più complesse. Uno dei motivi è che tali soluzioni di solito non sono abbastanza sicure. Per le applicazioni a rischio medio, le soluzioni devono soddisfare i requisiti per la categoria 3. Idee generali su come possono apparire tali progetti sono presentate nella figura 15 e nella figura 16.

 

Figura 15. Stato dell'arte per la categoria di arresto 1

 

Figura 16. Stato dell'arte per la categoria di fermata 2

Applicazioni ad alto rischio: sistemi con due (o più) PES

A parte la complessità e il costo, non ci sono altri fattori che impedirebbero ai progettisti di utilizzare sistemi PES completamente raddoppiati come Siemens Simatic S5-115F, 3B6 Typ CAR-MIL e così via. Questi in genere includono due PES identici con software omogeneo e presuppongono l'uso di PES "ben collaudati" e compilatori "ben collaudati" (un PES o un compilatore ben collaudato può essere considerato uno che in molte applicazioni pratiche nell'arco di 3 o più anni ha dimostrato che i fallimenti sistematici sono stati ovviamente eliminati). Sebbene questi sistemi PES raddoppiati non abbiano i punti deboli dei sistemi PES singoli, ciò non significa che i sistemi PES raddoppiati risolvano tutti i problemi. (Vedi figura 17).

Figura 17. Sistema sofisticato con due PES

Fallimenti sistematici

I guasti sistematici possono derivare da errori nelle specifiche, nella progettazione e da altre cause e possono essere presenti sia nell'hardware che nel software. I sistemi Double-PES sono adatti per l'uso in applicazioni legate alla sicurezza. Tali configurazioni consentono il rilevamento di guasti hardware casuali. Per mezzo della diversità dell'hardware, come l'uso di due tipi diversi o prodotti di due diversi produttori, potrebbero essere rilevati guasti hardware sistematici (è altamente improbabile che si verifichi un guasto sistematico hardware identico in entrambi i PES).

Software

Il software è un nuovo elemento nelle considerazioni sulla sicurezza. Il software è corretto o errato (rispetto ai guasti). Una volta corretto, il software non può diventare immediatamente errato (rispetto all'hardware). Gli obiettivi sono eliminare tutti gli errori nel software o almeno identificarli.

Ci sono vari modi per raggiungere questo obiettivo. Uno è il verifica del programma (una seconda persona tenta di scoprire gli errori in un test successivo). Un'altra possibilità è diversità del software, in cui due diversi programmi, scritti da due programmatori, affrontano lo stesso problema. Se i risultati sono identici (entro certi limiti), si può presumere che entrambe le parti del programma siano corrette. Se i risultati sono diversi, si presume che siano presenti errori. (NB, Il architettura dell'hardware naturalmente deve essere considerato anche.)

In breve

Quando si utilizzano gli SPI, generalmente devono essere prese in considerazione le stesse seguenti considerazioni di base (come descritto nelle sezioni precedenti).

• Un sistema di controllo senza alcuna ridondanza può essere assegnato alla Categoria B. Un sistema di controllo con misure aggiuntive può essere di Categoria 1 o anche superiore, ma non superiore a 2.
• Un sistema di controllo in due parti con confronto reciproco dei risultati può essere assegnato alla Categoria 3. Un sistema di controllo in due parti con confronto reciproco dei risultati e maggiore o minore diversità può essere assegnato alla Categoria 3 ed è adatto per applicazioni a rischio più elevato.

Un fattore nuovo è che per il sistema con un PES, anche il software dovrebbe essere valutato dal punto di vista della correttezza. Il software, se corretto, è affidabile al 100%. In questa fase di sviluppo tecnologico, probabilmente non verranno utilizzate le migliori soluzioni tecniche possibili e conosciute, poiché i fattori limitanti sono ancora economici. Inoltre, vari gruppi di esperti continuano a sviluppare gli standard per le applicazioni di sicurezza dei PES (ad es. EC, EWICS). Sebbene esistano già diverse norme (VDE0801, IEC65A e così via), la materia è talmente ampia e complessa che nessuna di esse può essere considerata definitiva.

 

Di ritorno

Ogni volta che apparecchiature di produzione semplici e convenzionali, come le macchine utensili, vengono automatizzate, il risultato sono sistemi tecnici complessi e nuovi pericoli. Questa automazione è ottenuta attraverso l'uso di sistemi di controllo numerico computerizzato (CNC) su macchine utensili, denominate Macchine utensili CNC (es. fresatrici, centri di lavoro, trapani e molatrici). Per poter identificare i potenziali pericoli insiti negli strumenti automatici, è necessario analizzare le diverse modalità di funzionamento di ciascun sistema. Le analisi condotte in precedenza indicano che dovrebbe essere fatta una distinzione tra due tipi di funzionamento: funzionamento normale e funzionamento speciale.

Spesso è impossibile prescrivere i requisiti di sicurezza per le macchine utensili CNC sotto forma di misure specifiche. Ciò può essere dovuto al fatto che ci sono troppo pochi regolamenti e standard specifici per l'apparecchiatura che forniscono soluzioni concrete. I requisiti di sicurezza possono essere determinati solo se i possibili pericoli vengono identificati sistematicamente mediante un'analisi dei pericoli, in particolare se questi sistemi tecnici complessi sono dotati di sistemi di controllo liberamente programmabili (come con le macchine utensili CNC).

Nel caso di macchine utensili a controllo numerico di nuova concezione, il costruttore è obbligato ad effettuare un'analisi dei pericoli sull'apparecchiatura al fine di identificare eventuali pericoli presenti e dimostrare mediante soluzioni costruttive che tutti i pericoli per le persone, in tutte le diverse modalità operative, vengono eliminate. Tutti i pericoli identificati devono essere sottoposti a una valutazione del rischio in cui ogni rischio di un evento dipende dall'entità del danno e dalla frequenza con cui può verificarsi. Al pericolo da valutare viene assegnata anche una categoria di rischio (minimo, normale, aumentato). Laddove il rischio non può essere accettato sulla base della valutazione del rischio, è necessario trovare soluzioni (misure di sicurezza). Lo scopo di queste soluzioni è ridurre la frequenza di accadimento e la portata del danno di un incidente non pianificato e potenzialmente pericoloso (un "evento").

Gli approcci alle soluzioni per i rischi normali e maggiori si trovano nella tecnologia della sicurezza indiretta e diretta; per ridurre al minimo i rischi, si trovano nella tecnologia di sicurezza del rinvio:

• Tecnologia di sicurezza diretta. In fase di progettazione si presta attenzione all'eliminazione di eventuali pericoli (ad esempio, l'eliminazione dei punti di taglio e di intrappolamento).
• Tecnologia di sicurezza indiretta. Il pericolo rimane. Tuttavia, l'aggiunta di disposizioni tecniche impedisce che il pericolo si trasformi in un evento (ad esempio, tali disposizioni possono includere la prevenzione dell'accesso a parti mobili pericolose per mezzo di cappe di sicurezza fisica, la fornitura di dispositivi di sicurezza che interrompono l'alimentazione, la schermatura dal volo parti che utilizzano protezioni di sicurezza, ecc.).
• Tecnologia di sicurezza di rinvio. Ciò si applica solo ai pericoli residui e ai rischi minimizzati, ovvero i pericoli che possono portare a un evento come risultato di fattori umani. Il verificarsi di tale evento può essere prevenuto mediante comportamenti adeguati da parte dell'interessato (es. indicazioni di comportamento contenute nei manuali di uso e manutenzione, formazione del personale, ecc.).

 

Requisiti di sicurezza internazionali

La Direttiva Macchine CE (89/392/CEE) del 1989 stabilisce i principali requisiti di sicurezza e salute per le macchine. (Secondo la Direttiva Macchine, una macchina è considerata la somma totale di parti o dispositivi interconnessi, di cui almeno uno può muoversi e di conseguenza ha una funzione). soluzioni (ad esempio, occupandosi degli aspetti fondamentali della sicurezza o esaminando le apparecchiature elettriche montate sui macchinari industriali). Lo scopo di questi standard è quello di specificare gli obiettivi di protezione. Questi requisiti di sicurezza internazionali forniscono ai fabbricanti la base giuridica necessaria per specificare tali requisiti nelle suddette analisi dei pericoli e valutazioni dei rischi.

Modalità operative

Quando si utilizzano macchine utensili, si distingue tra funzionamento normale e funzionamento speciale. Le statistiche e le indagini indicano che la maggior parte degli incidenti e degli incidenti non si verifica durante il normale funzionamento (vale a dire, durante l'adempimento automatico dell'incarico in questione). Con questi tipi di macchine e impianti, si pone l'accento su modalità operative speciali come la messa in servizio, l'impostazione, la programmazione, i test, i controlli, la risoluzione dei problemi o la manutenzione. In queste modalità operative, le persone si trovano solitamente in una zona pericolosa. Il concetto di sicurezza deve proteggere il personale da eventi dannosi in questo tipo di situazioni.

Operazione normale

Per le macchine automatiche in esercizio normale vale quanto segue: (1) la macchina assolve al compito per cui è stata progettata e costruita senza alcun ulteriore intervento da parte dell'operatore, e (2) applicata ad un tornio semplice, ciò significa che un il pezzo viene trasformato nella forma corretta e vengono prodotti trucioli. Se il pezzo viene cambiato manualmente, la sostituzione del pezzo è una modalità operativa speciale.

Modalità operative speciali

Le modalità di funzionamento speciali sono processi di lavoro che consentono il normale funzionamento. Sotto questa voce, ad esempio, si includerebbe il cambio di pezzo o utensile, l'eliminazione di un errore in un processo di produzione, l'eliminazione di un errore della macchina, l'impostazione, la programmazione, i test, la pulizia e la manutenzione. Nel funzionamento normale, i sistemi automatici svolgono i loro compiti in modo indipendente. Dal punto di vista della sicurezza sul lavoro, invece, il normale funzionamento automatico diventa critico quando l'operatore deve intervenire sui processi di lavoro. In nessun caso le persone che intervengono in tali processi devono essere esposte a pericoli.

Personale

Occorre tenere in considerazione le persone che lavorano nelle varie modalità di funzionamento, nonché i terzi quando si salvaguardano le macchine utensili. Per terzi si intendono anche coloro che sono indirettamente interessati alla macchina, quali preposti, ispettori, addetti al trasporto del materiale e ai lavori di smontaggio, visitatori e altri.

Richieste e misure di sicurezza per gli accessori della macchina

Gli interventi per lavori in modalità operative speciali richiedono l'utilizzo di accessori speciali per garantire che il lavoro possa essere svolto in sicurezza. Il primo tipo degli accessori comprendono attrezzature e articoli utilizzati per intervenire nel processo automatico senza che l'operatore debba accedere a una zona pericolosa. Questo tipo di accessorio comprende (1) ganci e pinze per trucioli progettati in modo tale che i trucioli nell'area di lavorazione possano essere rimossi o allontanati attraverso le aperture previste nelle protezioni di sicurezza e (2) dispositivi di bloccaggio del pezzo con i quali il materiale di produzione può essere inserito o rimosso manualmente da un ciclo automatico

Diverse modalità operative speciali, ad esempio lavori di riparazione o lavori di manutenzione, richiedono l'intervento del personale in un sistema. Anche in questi casi esiste tutta una serie di accessori macchina atti ad aumentare la sicurezza sul lavoro, ad esempio dispositivi per movimentare mole pesanti quando queste ultime vengono cambiate sulle molatrici, nonché speciali imbracature per gru per lo smontaggio o il montaggio di componenti pesanti quando le macchine vengono revisionate. Questi dispositivi sono i secondo tipo di accessorio della macchina per aumentare la sicurezza durante il lavoro in operazioni speciali. Anche i sistemi speciali di controllo del funzionamento possono essere considerati come una seconda tipologia di accessorio della macchina. Particolari attività possono essere svolte in sicurezza con tali accessori, ad esempio, è possibile installare un dispositivo negli assi della macchina quando sono necessari movimenti di avanzamento con le protezioni di sicurezza aperte.

Questi speciali sistemi di controllo del funzionamento devono soddisfare particolari requisiti di sicurezza. Ad esempio, devono garantire che solo il movimento richiesto venga eseguito nel modo richiesto e solo per il tempo richiesto. Lo speciale sistema di controllo del funzionamento deve quindi essere progettato in modo tale da evitare che eventuali azioni errate si trasformino in movimenti o stati pericolosi.

Le apparecchiature che aumentano il grado di automazione di un impianto possono essere considerate a terzo tipo di accessori della macchina per aumentare la sicurezza sul lavoro. Le azioni che in precedenza venivano eseguite manualmente vengono eseguite automaticamente dalla macchina durante il normale funzionamento, come le attrezzature che includono i caricatori a portale, che cambiano automaticamente i pezzi sulle macchine utensili. La salvaguardia del normale funzionamento automatico pone pochi problemi perché non è necessario l'intervento di un operatore nel corso degli eventi e perché eventuali interventi possono essere prevenuti da dispositivi di sicurezza.

Requisiti e misure di sicurezza per l'automazione delle macchine utensili

Sfortunatamente, l'automazione non ha portato all'eliminazione degli incidenti negli impianti di produzione. Le indagini mostrano semplicemente uno spostamento del verificarsi di incidenti da operazioni normali a operazioni straordinarie, dovuto principalmente all'automazione delle operazioni normali in modo che gli interventi nel corso della produzione non siano più necessari e il personale non sia quindi più esposto a pericoli. D'altra parte, le macchine altamente automatiche sono sistemi complessi che sono difficili da valutare quando si verificano guasti. Anche gli specialisti impiegati per correggere i guasti non sono sempre in grado di farlo senza incorrere in incidenti. La quantità di software necessaria per far funzionare macchine sempre più complesse sta crescendo in volume e complessità, con il risultato che un numero crescente di ingegneri elettrici e addetti alla messa in servizio subisce incidenti. Non esiste un software impeccabile e le modifiche al software spesso portano a modifiche altrove che non erano né previste né volute. Per evitare che la sicurezza venga compromessa, non devono essere possibili comportamenti difettosi pericolosi causati da influenze esterne e guasti dei componenti. Questa condizione può essere soddisfatta solo se il circuito di sicurezza è progettato nel modo più semplice possibile ed è separato dal resto dei comandi. Anche gli elementi o i sottogruppi utilizzati nel circuito di sicurezza devono essere fail-safe.

È compito del progettista sviluppare progetti che soddisfino i requisiti di sicurezza. Il progettista non può esimersi dal dover considerare con grande attenzione le procedure di lavoro necessarie, comprese le particolari modalità di funzionamento. Devono essere effettuate analisi per determinare quali procedure di lavoro sicure sono necessarie e il personale operativo deve familiarizzarsi con esse. Nella maggior parte dei casi sarà necessario un sistema di controllo per operazioni speciali. Il sistema di controllo di solito osserva o regola un movimento, mentre allo stesso tempo non deve essere avviato nessun altro movimento (poiché nessun altro movimento è necessario per questo lavoro, e quindi nessuno è previsto dall'operatore). Il sistema di controllo non deve necessariamente svolgere gli stessi compiti nelle varie modalità di funzionamento speciale.

Requisiti e misure di sicurezza in modalità operative normali e speciali

Operazione normale

La specificazione degli obiettivi di sicurezza non dovrebbe ostacolare il progresso tecnico perché è possibile selezionare soluzioni adattate. L'uso di macchine utensili a controllo numerico richiede i massimi requisiti in termini di analisi dei pericoli, valutazione dei rischi e concetti di sicurezza. Di seguito vengono descritti più dettagliatamente diversi obiettivi di sicurezza e le possibili soluzioni.

Obiettivo sicurezza

• L'accesso manuale o fisico alle aree pericolose durante i movimenti automatici deve essere impedito.

 

Possibili soluzioni

• Impedire l'accesso manuale o fisico nelle zone pericolose mediante barriere meccaniche.
• Fornire dispositivi di sicurezza che reagiscano quando ci si avvicina (barriere fotoelettriche, pedane di sicurezza) e spengano i macchinari in modo sicuro durante gli interventi o l'ingresso.
• Consentire l'accesso manuale o fisico al macchinario (o alle sue vicinanze) solo quando l'intero sistema è in uno stato sicuro (ad esempio, utilizzando dispositivi di interblocco con meccanismi di chiusura sulle porte di accesso).

 

Obiettivo sicurezza

• Deve essere eliminata la possibilità che persone vengano ferite a causa del rilascio di energia (parti volanti o raggi di energia).

 

Possibile soluzione

• Impedire il rilascio di energia dalla zona pericolosa, ad esempio mediante una cappa di protezione di dimensioni adeguate.

 

Operazione speciale

Le interfacce tra funzionamento normale e funzionamento speciale (ad es. dispositivi di interblocco porte, fotocellule, tappetini di sicurezza) sono necessarie per consentire al sistema di controllo di sicurezza di riconoscere automaticamente la presenza di personale. Di seguito vengono descritte alcune modalità operative speciali (es. messa a punto, programmazione) su macchine utensili CNC che richiedono movimenti che devono essere valutati direttamente sul posto di lavoro.

Obiettivi di sicurezza

• Gli spostamenti devono avvenire solo in modo tale da non costituire pericolo per le persone interessate. Tali movimenti devono essere eseguiti solo nello stile e nella velocità programmati e continuati solo fino a quando richiesto.
• Devono essere tentati solo se è possibile garantire che nessuna parte del corpo umano si trovi nella zona di pericolo.

 

Possibile soluzione

• Installare speciali sistemi di controllo del funzionamento che consentano solo movimenti controllabili e gestibili utilizzando il controllo della punta delle dita tramite pulsanti di tipo "riconoscimento". La velocità dei movimenti viene quindi ridotta in modo sicuro (a condizione che l'energia sia stata ridotta mediante un trasformatore di isolamento o un dispositivo di monitoraggio simile).

 

Richieste sui sistemi di controllo di sicurezza

Una delle caratteristiche di un sistema di controllo di sicurezza deve essere che la funzione di sicurezza sia garantita per funzionare ogni volta che si verificano guasti in modo da dirigere i processi da uno stato pericoloso a uno stato sicuro.

Obiettivi di sicurezza

• Un guasto nel sistema di controllo di sicurezza non deve provocare uno stato pericoloso.
• Un guasto nel sistema di controllo di sicurezza deve essere identificato (immediatamente o ad intervalli).

 

Possibili soluzioni

• Mettere in atto un layout ridondante e diversificato dei sistemi di controllo elettromeccanici, compresi i circuiti di prova.
• Mettere in atto una configurazione ridondante e diversificata di sistemi di controllo a microprocessore sviluppati da diversi team. Questo approccio è considerato lo stato dell'arte, ad esempio nel caso delle barriere fotoelettriche di sicurezza.

 

Conclusione

È evidente che la tendenza all'aumento degli incidenti nelle modalità operative normali e speciali non può essere arrestata senza un concetto di sicurezza chiaro e inequivocabile. Questo fatto deve essere preso in considerazione nella preparazione dei regolamenti e delle linee guida sulla sicurezza. Sono necessarie nuove linee guida sotto forma di obiettivi di sicurezza per consentire soluzioni avanzate. Questo obiettivo consente ai progettisti di scegliere la soluzione ottimale per un caso specifico, dimostrando allo stesso tempo le caratteristiche di sicurezza delle loro macchine in modo abbastanza semplice, descrivendo una soluzione per ciascun obiettivo di sicurezza. Questa soluzione può quindi essere confrontata con altre soluzioni esistenti e accettate e, se è migliore o almeno di pari valore, può essere scelta una nuova soluzione. In questo modo, il progresso non è ostacolato da regolamenti formulati in modo restrittivo.

---

Caratteristiche principali della Direttiva Macchine CEE

La Direttiva del Consiglio del 14 giugno 1989 sul ravvicinamento delle legislazioni degli Stati Membri relative alle macchine (89/392/CEE) si applica a ogni singolo Stato.

• Ogni singolo stato deve integrare la direttiva nella propria legislazione.

• Valido dal 1 gennaio 1993.

• Richiede che tutti i produttori aderiscano allo stato dell'arte.

• Il produttore deve produrre un fascicolo tecnico di costruzione che contenga informazioni complete su tutti gli aspetti fondamentali della sicurezza e della tutela della salute.

• Il produttore deve rilasciare la dichiarazione di conformità e la marcatura CE delle macchine.

• La mancata messa a disposizione di un centro di vigilanza statale di una documentazione tecnica completa costituisce inadempimento alle prescrizioni della macchina. La conseguenza potrebbe essere un divieto di vendita pancomunitario.

 

Obiettivi di sicurezza per la costruzione e l'uso di macchine utensili a controllo numerico

1. Torni

1.1 Modalità di funzionamento normale

1.1.1 L'area di lavoro deve essere salvaguardata in modo che sia impossibile raggiungere o calpestare le zone pericolose di movimenti automatici, intenzionalmente o meno.

1.1.2 Il magazzino utensili deve essere protetto in modo che sia impossibile raggiungere o calpestare le zone pericolose dei movimenti automatici, intenzionalmente o meno.

1.1.3 Il magazzino pezzi deve essere protetto in modo che sia impossibile raggiungere o calpestare le zone pericolose dei movimenti automatici, intenzionalmente o meno.

1.1.4 La rimozione dei trucioli non deve provocare lesioni personali dovute ai trucioli o alle parti in movimento della macchina.

1.1.5 Devono essere evitate lesioni personali derivanti dall'accesso ai sistemi di azionamento.

1.1.6 Deve essere impedita la possibilità di raggiungere le zone pericolose dei trasportatori di trucioli in movimento.

1.1.7 Nessuna lesione personale agli operatori oa terzi deve derivare da pezzi lanciati o parti di essi.

Ad esempio, questo può verificarsi

• a causa di un serraggio insufficiente

• a causa di una forza di taglio inammissibile

• a causa di una velocità di rotazione inammissibile

• a causa della collisione con l'utensile o parti della macchina

• a causa della rottura del pezzo

• a causa di dispositivi di bloccaggio difettosi

• a causa di un'interruzione di corrente

 

1.1.8 Nessuna lesione personale deve derivare da dispositivi di bloccaggio del pezzo in lavorazione volanti.

1.1.9 Nessuna lesione personale deve derivare da schegge volanti.

1.1.10 Nessuna lesione personale deve derivare da strumenti volanti o loro parti.

Ad esempio, questo può verificarsi

• a causa di difetti materiali

• a causa di una forza di taglio inammissibile

• a causa di una collisione con il pezzo o con una parte della macchina

• a causa di bloccaggio o serraggio inadeguati

 

1.2 Modalità operative speciali

1.2.1 Cambio pezzo.

1.2.1.1 Il bloccaggio del pezzo deve essere effettuato in modo tale che nessuna parte del corpo possa rimanere intrappolata tra i dispositivi di bloccaggio in chiusura e il pezzo o tra la punta del manicotto che avanza e il pezzo.

1.2.1.2 Deve essere impedito l'avvio di un azionamento (mandrini, assi, manicotti, teste torrette o convogliatori di trucioli) come conseguenza di un comando difettoso o non valido.

1.2.1.3 Deve essere possibile manipolare il pezzo manualmente o con strumenti senza pericolo.

1.2.2 Cambio utensile nel portautensili o nella testa della torretta portautensili.

1.2.2.1 Il pericolo derivante dal comportamento difettoso del sistema o dall'inserimento di un comando non valido deve essere prevenuto.

1.2.3 Cambio utensile nel magazzino utensili.

1.2.3.1 I movimenti nel magazzino utensili risultanti da un comando difettoso o non valido devono essere impediti durante il cambio utensile.

1.2.3.2 Non deve essere possibile accedere ad altre parti mobili della macchina dalla stazione di carico degli utensili.

1.2.3.3 Durante l'ulteriore movimento del magazzino utensili o durante la ricerca non deve essere possibile accedere alle zone pericolose. Se avvenuti con i ripari per la normale modalità di funzionamento rimossi, questi movimenti possono essere solo del tipo designato ed essere eseguiti solo durante il periodo di tempo ordinato e solo quando è possibile garantire che nessuna parte del corpo si trovi in ​​queste zone di pericolo .

1.2.4 Controllo della misurazione.

1.2.4.1 L'accesso all'area di lavoro deve essere possibile solo dopo che tutti i movimenti sono stati arrestati.

1.2.4.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un comando non valido.

1.2.5 Installazione.

1.2.5.1 Se i movimenti vengono eseguiti durante l'allestimento con le protezioni per la normale modalità di funzionamento rimosse, l'operatore deve essere protetto con un altro mezzo.

1.2.5.2 Nessun movimento pericoloso o cambio di movimento deve essere avviato a seguito di un comando difettoso o di un comando non valido.

1.2.6 Programmazione.

1.2.6.1 Durante la programmazione non possono essere avviati movimenti che mettano in pericolo una persona nell'area di lavoro.

1.2.7 Difetto di produzione.

1.2.7.1 Deve essere impedito l'avviamento di un azionamento derivante da un comando difettoso su un setpoint di ingresso di comando non valido.

1.2.7.2 Nessun movimento o situazione pericolosa deve essere avviata dal movimento o dalla rimozione del pezzo in lavorazione o dei rifiuti.

1.2.7.3 Qualora i movimenti debbano avvenire con le protezioni per il normale modo operativo rimosso, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando è possibile garantire che nessuna parte del corpo si trova in queste zone di pericolo.

1.2.8 Risoluzione dei problemi.

1.2.8.1 Deve essere impedito l'accesso alle zone pericolose dei movimenti automatici.

1.2.8.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un'immissione di comando non valida.

1.2.8.3 Deve essere impedito un movimento della macchina in caso di manipolazione della parte difettosa.

1.2.8.4 Devono essere evitate lesioni personali derivanti dalla scheggiatura o dalla caduta di una parte della macchina.

1.2.8.5 Se, durante la risoluzione dei problemi, i movimenti devono avvenire con le protezioni per la normale modalità di funzionamento rimosse, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando può essere garantito che nessuna parte del corpo si trova in queste zone di pericolo.

1.2.9 Malfunzionamento e riparazione della macchina.

1.2.9.1 Deve essere impedito l'avviamento della macchina.

1.2.9.2 La manipolazione delle diverse parti della macchina deve essere possibile manualmente o con strumenti senza alcun pericolo.

1.2.9.3 Non deve essere possibile toccare le parti sotto tensione della macchina.

1.2.9.4 Lesioni personali non devono derivare dall'emissione di mezzi fluidi o gassosi.

 

2. Fresatrici

2.1 Modalità di funzionamento normale

2.1.1 L'area di lavoro deve essere salvaguardata in modo che sia impossibile raggiungere o calpestare le zone pericolose di movimenti automatici, intenzionalmente o meno.

2.1.2 La rimozione dei trucioli non deve provocare lesioni personali dovute ai trucioli o alle parti in movimento della macchina.

2.1.3 Devono essere evitate lesioni personali derivanti dall'accesso ai sistemi di azionamento.

Nessuna lesione personale agli operatori oa terzi deve derivare da pezzi lanciati o parti di essi.

Ad esempio, questo può verificarsi

• a causa di un serraggio insufficiente

• a causa di una forza di taglio inammissibile

• a causa della collisione con l'utensile o parti della macchina

• a causa della rottura del pezzo

• a causa di dispositivi di bloccaggio difettosi

• a causa di un'interruzione di corrente

 

2.1.4 Nessuna lesione personale deve derivare da dispositivi di bloccaggio del pezzo in lavorazione volanti.

2.1.5 Nessuna lesione personale deve derivare da schegge volanti.

2.1.6 Nessuna lesione personale deve derivare da strumenti volanti o loro parti.

Ad esempio, questo può verificarsi

• a causa di difetti materiali

• a causa della velocità di rotazione inammissibile

• a causa di una forza di taglio inammissibile

• a causa della collisione con il pezzo o la parte della macchina

• a causa di bloccaggio o serraggio inadeguati

• a causa di un'interruzione di corrente

 

Modalità operative speciali

2.2.1 Cambio pezzo.

2.2.1.1 In caso di utilizzo di dispositivi di bloccaggio azionati elettricamente, non deve essere possibile che parti del corpo rimangano intrappolate tra le parti di chiusura del dispositivo di bloccaggio e il pezzo.

2.2.1.2 L'avviamento di un azionamento (mandrino, asse) a seguito di un comando difettoso o di un comando non valido deve essere impedito.

2.2.1.3 La manipolazione del pezzo deve essere possibile manualmente o con strumenti senza alcun pericolo.

2.2.2 Cambio utensile.

2.2.2.1 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un comando non valido.

2.2.2.2 Non deve essere possibile che le dita rimangano intrappolate quando si inseriscono gli attrezzi.

2.2.3 Controllo della misurazione.

2.2.3.1 L'accesso all'area di lavoro deve essere possibile solo dopo che tutti i movimenti sono stati arrestati.

2.2.3.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un comando non valido.

2.2.4 Installazione.

2.2.4.1 Se i movimenti vengono eseguiti durante l'allestimento con le protezioni per la normale modalità di funzionamento rimosse, l'operatore deve essere protetto con un altro mezzo.

2.2.4.2 Nessun movimento pericoloso o cambio di movimento deve essere avviato a seguito di un comando difettoso o di un comando non valido.

2.2.5 Programmazione.

2.2.5.1 Durante la programmazione non devono essere avviati movimenti che mettano in pericolo una persona nell'area di lavoro.

2.2.6 Difetto di produzione.

2.2.6.1 Deve essere impedito l'avvio dell'azionamento derivante da un comando difettoso o da un input di comando non valido.

2.2.6.2 Nessun movimento o situazione pericolosa deve essere avviata dal movimento o dalla rimozione del pezzo in lavorazione o dei rifiuti.

2.2.6.3 Qualora i movimenti debbano avvenire con le protezioni per il normale modo operativo rimosso, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando è possibile garantire che nessuna parte del corpo si trova in queste zone di pericolo.

2.2.7 Risoluzione dei problemi.

2.2.7.1 Deve essere impedito l'accesso alle zone pericolose dei movimenti automatici.

2.2.7.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un'immissione di comando non valida.

2.2.7.3 Deve essere impedito qualsiasi movimento della macchina in caso di manipolazione della parte difettosa.

2.2.7.4 Devono essere evitate lesioni personali derivanti dalla scheggiatura o dalla caduta di una parte della macchina.

2.2.7.5 Se, durante la risoluzione dei problemi, i movimenti devono avvenire con le protezioni per la normale modalità di funzionamento rimosse, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando può essere garantito che nessuna parte del corpo si trova in queste zone di pericolo.

2.2.8 Malfunzionamento e riparazione della macchina.

2.2.8.1 L'avviamento della macchina deve essere impedito.

2.2.8.2 La manipolazione delle diverse parti della macchina deve essere possibile manualmente o con strumenti senza alcun pericolo.

2.2.8.3 Non deve essere possibile toccare le parti sotto tensione della macchina.

2.2.8.4 Lesioni personali non devono derivare dall'emissione di mezzi fluidi o gassosi.

 

3. Centri di lavoro

3.1 Modalità di funzionamento normale

3.1.1 L'area di lavoro deve essere salvaguardata in modo che sia impossibile raggiungere o calpestare le zone pericolose di movimenti automatici, intenzionalmente o meno.

3.1.2 Il magazzino utensili deve essere protetto in modo che sia impossibile raggiungere o calpestare le zone pericolose dei movimenti automatici.

3.1.3 Il magazzino pezzi deve essere protetto in modo che sia impossibile raggiungere o calpestare le zone pericolose dei movimenti automatici.

3.1.4 La rimozione dei trucioli non deve provocare lesioni personali dovute ai trucioli o alle parti in movimento della macchina.

3.1.5 Devono essere evitate lesioni personali derivanti dall'accesso ai sistemi di azionamento.

3.1.6 Deve essere impedita la possibilità di raggiungere le zone pericolose dei trasportatori di trucioli in movimento (trasportatori a coclea, ecc.).

3.1.7 Nessuna lesione personale agli operatori oa terzi deve derivare da pezzi lanciati o parti di essi.

Ad esempio, questo può verificarsi

• a causa di un serraggio insufficiente

• a causa di una forza di taglio inammissibile

• a causa della collisione con l'utensile o parti della macchina

• a causa della rottura del pezzo

• a causa di dispositivi di bloccaggio difettosi

• a causa del passaggio al pezzo sbagliato

• a causa di un'interruzione di corrente

 

3.1.8 Nessuna lesione personale deve derivare da dispositivi di bloccaggio del pezzo in lavorazione volanti.

3.1.9 Nessuna lesione personale deve derivare da schegge volanti.

3.1.10 Nessuna lesione personale deve derivare da strumenti volanti o loro parti.

Ad esempio, questo può verificarsi

• a causa di difetti materiali

• a causa della velocità di rotazione inammissibile

• a causa di una forza di taglio inammissibile

• a causa della collisione con il pezzo o la parte della macchina

• a causa di bloccaggio o serraggio inadeguati

• a causa della fuoriuscita dell'utensile dal cambio utensile

• a causa della selezione dello strumento sbagliato

• a causa di un'interruzione di corrente

 

3.2 Modalità operative speciali

3.2.1 Cambio pezzo.

3.2.1.1 In caso di utilizzo di dispositivi di bloccaggio azionati elettricamente, non deve essere possibile che parti del corpo rimangano intrappolate tra le parti di chiusura del dispositivo di bloccaggio e il pezzo.

3.2.1.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un comando non valido.

3.2.1.3 Deve essere possibile manipolare il pezzo manualmente o con strumenti senza alcun pericolo.

3.2.1.4 Se i pezzi vengono cambiati in una stazione di bloccaggio, da questa posizione non deve essere possibile raggiungere o entrare in sequenze di movimento automatiche della macchina o del magazzino pezzi. Nessun movimento deve essere avviato dal comando mentre una persona è presente nella zona di bloccaggio. L'inserimento automatico del pezzo serrato nella macchina o nel magazzino pezzi deve avvenire solo quando anche la stazione di bloccaggio è protetta con un sistema di protezione corrispondente a quello per il funzionamento normale.

3.2.2 Cambio utensile nel mandrino.

3.2.2.1 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un comando non valido.

3.2.2.2 Non deve essere possibile che le dita rimangano intrappolate quando si inseriscono gli attrezzi.

3.2.3 Cambio utensile nel magazzino utensili.

3.2.3.1 I movimenti nel magazzino utensili dovuti a comandi errati oa comandi non validi devono essere impediti durante il cambio utensile.

3.2.3.2 Non deve essere possibile accedere ad altre parti mobili della macchina dalla stazione di carico degli utensili.

3.2.3.3 Durante l'ulteriore movimento del magazzino utensili o durante la ricerca non deve essere possibile accedere alle zone pericolose. Se avvengono con le protezioni per la normale modalità di funzionamento rimosse, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando è possibile garantire che nessuna parte del corpo si trovi in ​​queste zone di pericolo .

3.2.4 Controllo della misurazione.

3.2.4.1 L'accesso all'area di lavoro deve essere possibile solo dopo che tutti i movimenti sono stati arrestati.

3.2.4.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un comando non valido.

3.2.5 Installazione.

3.2.5.1 Se i movimenti vengono eseguiti durante l'allestimento con le protezioni per la normale modalità di funzionamento rimosse, l'operatore deve essere protetto con un altro mezzo.

3.2.5.2 Non devono essere avviati movimenti o cambi di movimento pericolosi a seguito di un comando difettoso o di un comando non valido.

3.2.6 Programmazione.

3.2.6.1 Durante la programmazione non devono essere avviati movimenti che mettano in pericolo una persona nell'area di lavoro.

3.2.7 Difetto di produzione.

3.2.7.1 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un comando non valido.

3.2.7.2 Nessun movimento o situazione pericolosa deve essere avviata dal movimento o dalla rimozione del pezzo in lavorazione o dei rifiuti.

3.2.7.3 Qualora i movimenti debbano avvenire con le protezioni per il normale modo operativo rimosso, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando è possibile garantire che nessuna parte del corpo si trova in queste zone di pericolo.

3.2.8 Risoluzione dei problemi.

3.2.8.1 Deve essere impedito l'accesso alle zone pericolose dei movimenti automatici.

3.2.8.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un'immissione di comando non valida.

3.2.8.3 Deve essere impedito qualsiasi movimento della macchina in caso di manipolazione della parte difettosa.

3.2.8.4 Devono essere evitate lesioni personali derivanti dalla scheggiatura o dalla caduta di una parte della macchina.

3.2.8.5 Se, durante la risoluzione dei problemi, i movimenti devono avvenire con le protezioni per la normale modalità di funzionamento rimosse, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando può essere garantito che nessuna parte del corpo si trova in queste zone di pericolo.

3.2.9 Malfunzionamento e riparazione della macchina.

3.2.9.1 L'avviamento della macchina deve essere impedito.

3.2.9.2 La manipolazione delle diverse parti della macchina deve essere possibile manualmente o con strumenti senza alcun pericolo.

3.2.9.3 Non deve essere possibile toccare le parti sotto tensione della macchina.

3.2.9.4 Lesioni personali non devono derivare dall'emissione di mezzi fluidi o gassosi.

 

4. Rettificatrici

4.1 Modalità di funzionamento normale

4.1.1 L'area di lavoro deve essere salvaguardata in modo che sia impossibile raggiungere o calpestare le zone pericolose di movimenti automatici, intenzionalmente o meno.

4.1.2 Devono essere evitate lesioni personali derivanti dall'accesso ai sistemi di azionamento.

4.1.3 Nessuna lesione personale agli operatori oa terzi deve derivare da pezzi lanciati o parti di essi.

Ad esempio, questo può verificarsi

• a causa di un serraggio insufficiente

• a causa di una forza di taglio inammissibile

• a causa di una velocità di rotazione inammissibile

• a causa della collisione con l'utensile o parti della macchina

• a causa della rottura del pezzo

• a causa di dispositivi di bloccaggio difettosi

• a causa di un'interruzione di corrente

 

4.1.4 Nessuna lesione personale deve derivare da dispositivi di bloccaggio del pezzo in lavorazione volanti.

4.1.5 Nessuna lesione personale o incendio deve derivare da scintille.

4.1.6 Nessuna lesione personale deve derivare da parti volanti di mole.

Ad esempio, questo può verificarsi

• a causa di una velocità di rotazione inammissibile

• a causa di una forza di taglio inammissibile

• a causa di difetti materiali

• a causa della collisione con il pezzo o la parte della macchina

• a causa di un serraggio inadeguato (flange)

• a causa dell'uso di una mola errata

 

Modalità operative speciali

4.2.1 Cambio pezzo.

4.2.1.1 In caso di utilizzo di dispositivi di bloccaggio azionati elettricamente, non deve essere possibile che parti del corpo rimangano intrappolate tra le parti di chiusura del dispositivo di bloccaggio e il pezzo.

4.2.1.2 Deve essere impedito l'avvio di un azionamento di avanzamento dovuto a un comando difettoso oa un'immissione di comando non valida.

4.2.1.3 Le lesioni personali causate dalla mola rotante devono essere evitate durante la manipolazione del pezzo.

4.2.1.4 Lesioni personali derivanti dallo scoppio di una mola non devono essere possibili.

4.2.1.5 La manipolazione del pezzo deve essere possibile manualmente o con strumenti senza alcun pericolo.

4.2.2 Cambio utensile (cambio mola)

4.2.2.1 L'avvio di un azionamento di avanzamento dovuto a un comando difettoso oa un'immissione di comando non valida deve essere impedito.

4.2.2.2 Le lesioni personali causate dalla mola rotante non devono essere possibili durante le procedure di misurazione.

4.2.2.3 Lesioni personali derivanti dallo scoppio di una mola non devono essere possibili.

4.2.3 Controllo della misurazione.

4.2.3.1 Deve essere impedito l'avvio di un azionamento di avanzamento dovuto a un comando difettoso oa un'immissione di comando non valida.

4.2.3.2 Le lesioni personali causate dalla mola rotante non devono essere possibili durante le procedure di misurazione.

4.2.3.3 Lesioni personali derivanti dallo scoppio di una mola non devono essere possibili.

4.2.4. Impostare.

4.2.4.1 Se i movimenti vengono eseguiti durante l'allestimento con le protezioni per la normale modalità di funzionamento rimosse, l'operatore deve essere protetto con un altro mezzo.

4.2.4.2 Non devono essere avviati movimenti o cambi di movimento pericolosi a seguito di un comando difettoso o di un comando non valido.

4.2.5 Programmazione.

4.2.5.1 Durante la programmazione non devono essere avviati movimenti che mettano in pericolo una persona nell'area di lavoro.

4.2.6 Difetto di produzione.

4.2.6.1 Deve essere impedito l'avvio di un azionamento di avanzamento dovuto a un comando difettoso oa un'immissione di comando non valida.

4.2.6.2 Nessun movimento o situazione pericolosa deve essere avviata dal movimento o dalla rimozione del pezzo in lavorazione o dei rifiuti.

4.2.6.3 Qualora i movimenti debbano avvenire con le protezioni per il normale modo operativo rimosso, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando è possibile garantire che nessuna parte del corpo si trova in queste zone di pericolo.

4.2.6.4 Devono essere evitate lesioni personali causate dalla mola rotante.

4.2.6.5 Lesioni personali derivanti dallo scoppio di una mola non devono essere possibili.

4.2.7 Risoluzione dei problemi.

4.2.7.1 Deve essere impedito l'accesso alle zone pericolose dei movimenti automatici.

4.2.7.2 Deve essere impedito l'avvio di un azionamento a seguito di un comando difettoso o di un'immissione di comando non valida.

4.2.7.3 Deve essere impedito qualsiasi movimento della macchina in caso di manipolazione della parte difettosa.

4.2.7.4 Devono essere evitate lesioni personali derivanti dalla scheggiatura o dalla caduta di una parte della macchina.

4.2.7.5 Devono essere evitate lesioni personali causate dal contatto dell'operatore o dallo scoppio della mola rotante.

4.2.7.6 Se, durante la risoluzione dei problemi, i movimenti devono avvenire con le protezioni per la normale modalità di funzionamento rimosse, questi movimenti possono essere solo del tipo designato ed eseguiti solo per il periodo di tempo ordinato e solo quando può essere garantito che nessuna parte del corpo si trova in queste zone di pericolo.

4.2.8 Malfunzionamento e riparazione della macchina.

4.2.8.1 L'avviamento della macchina deve essere impedito.

4.2.8.2 La manipolazione delle diverse parti della macchina deve essere possibile manualmente o con strumenti senza alcun pericolo.

4.2.8.3 Non deve essere possibile toccare le parti sotto tensione della macchina.

4.2.8.4 Lesioni personali non devono derivare dall'emissione di mezzi fluidi o gassosi.

 

Di ritorno