È generalmente accettato che i sistemi di controllo debbano essere sicuri durante l'uso. Con questo in mente, i sistemi di controllo più moderni sono progettati come mostrato nella figura 1.
Figura 1. Progettazione generale dei sistemi di controllo
Il modo più semplice per rendere sicuro un sistema di controllo è costruire attorno ad esso un muro impenetrabile in modo da impedire l'accesso umano o l'interferenza nella zona pericolosa. Un tale sistema sarebbe molto sicuro, anche se poco pratico, poiché sarebbe impossibile accedervi per eseguire la maggior parte dei lavori di collaudo, riparazione e regolazione. Poiché l'accesso alle zone pericolose deve essere consentito in determinate condizioni, sono necessarie misure protettive diverse da muri, recinzioni e simili per facilitare la produzione, l'installazione, l'assistenza e la manutenzione.
Alcune di queste misure protettive possono essere parzialmente o totalmente integrate nei sistemi di controllo, come segue:
- Il movimento può essere interrotto immediatamente nel caso in cui qualcuno entri nella zona di pericolo, tramite i pulsanti di arresto di emergenza (ES).
- I comandi a pulsante consentono il movimento solo quando il pulsante è azionato.
- I comandi a doppia mano (DHC) consentono il movimento solo quando entrambe le mani sono impegnate nell'abbassare i due elementi di comando (assicurando così che le mani siano tenute lontane dalle zone di pericolo).
Questi tipi di misure protettive vengono attivate dagli operatori. Tuttavia, poiché gli esseri umani rappresentano spesso un punto debole nelle applicazioni, molte funzioni, come le seguenti, vengono eseguite automaticamente:
- I movimenti dei bracci del robot durante la manutenzione o il "teach-in" sono molto lenti. Tuttavia, la velocità è costantemente monitorata. Se, a causa di un guasto del sistema di controllo, la velocità dei bracci automatici del robot dovesse aumentare inaspettatamente durante il periodo di manutenzione o di apprendimento, il sistema di monitoraggio si attiverebbe e interromperebbe immediatamente il movimento.
- Viene fornita una barriera fotoelettrica per impedire l'accesso in una zona pericolosa. Se il raggio luminoso viene interrotto, la macchina si fermerà automaticamente.
Il normale funzionamento dei sistemi di controllo è il presupposto più importante per la produzione. Se una funzione di produzione viene interrotta a causa di un errore di controllo, è al massimo scomodo ma non pericoloso. Se una funzione rilevante per la sicurezza non viene eseguita, potrebbe verificarsi una perdita di produzione, danni alle apparecchiature, lesioni o addirittura la morte. Pertanto, le funzioni del sistema di controllo rilevanti per la sicurezza devono essere più affidabili e più sicure delle normali funzioni del sistema di controllo. Secondo la Direttiva del Consiglio Europeo 89/392/CEE (Linee guida macchine), i sistemi di controllo devono essere progettati e costruiti in modo che siano sicuri e affidabili.
I comandi sono costituiti da più componenti collegati tra loro in modo da svolgere una o più funzioni. I controlli sono suddivisi in canali. Un canale è la parte di un controllo che esegue una funzione specifica (ad es. avvio, arresto, arresto di emergenza). Fisicamente, il canale è creato da una stringa di componenti (transistor, diodi, relè, gate, ecc.) attraverso i quali, da un componente all'altro, le informazioni (principalmente elettriche) che rappresentano quella funzione vengono trasferite dall'ingresso all'uscita.
Nella progettazione dei canali di controllo per le funzioni rilevanti per la sicurezza (quelle funzioni che coinvolgono le persone), devono essere soddisfatti i seguenti requisiti:
- I componenti utilizzati nei canali di controllo con funzioni rilevanti per la sicurezza devono essere in grado di resistere ai rigori del normale utilizzo. In genere, devono essere sufficientemente affidabili.
- Errori nella logica non devono causare situazioni pericolose. In genere, il canale rilevante per la sicurezza deve essere sufficientemente resistente ai guasti.
- Influenze esterne (fattori) non dovrebbero portare a guasti temporanei o permanenti nei canali rilevanti per la sicurezza.
L’affidabilità
L’affidabilità è la capacità di un canale o componente di controllo di eseguire una funzione richiesta in condizioni specificate per un dato periodo di tempo senza fallire. (La probabilità per componenti specifici o canali di controllo può essere calcolata utilizzando metodi adeguati.) L'affidabilità deve essere sempre specificata per un valore temporale specifico. In generale, l'affidabilità può essere espressa dalla formula in figura 2.
Figura 2. Formula di affidabilità
Affidabilità di sistemi complessi
I sistemi sono costruiti da componenti. Se si conoscono le affidabilità dei componenti, è possibile calcolare l'affidabilità del sistema nel suo insieme. In tali casi, si applica quanto segue:
Sistemi seriali
La totale affidabilità Rbimbo di un sistema seriale costituito da N componenti della stessa affidabilità RC è calcolato come in figura 3.
Figura 3. Grafico di affidabilità dei componenti collegati in serie
L'affidabilità totale è inferiore all'affidabilità del componente meno affidabile. All'aumentare del numero di componenti collegati in serie, l'affidabilità totale della catena diminuisce in modo significativo.
Sistemi paralleli
La totale affidabilità Rbimbo di un sistema parallelo costituito da N componenti della stessa affidabilità RC è calcolato come in figura 4.
Figura 4. Grafico di affidabilità dei componenti collegati in parallelo
L'affidabilità totale può essere notevolmente migliorata attraverso il collegamento in parallelo di due o più componenti.
La figura 5 illustra un esempio pratico. Si noti che il circuito spegnerà il motore in modo più affidabile. Anche se il relè A o B non riesce ad aprire il suo contatto, il motore sarà comunque spento.
Figura 5. Esempio pratico di figura 4
Calcolare l'affidabilità totale di un canale è semplice se tutte le affidabilità dei componenti necessari sono note e disponibili. Nel caso di componenti complessi (circuiti integrati, microprocessori, ecc.) il calcolo dell'affidabilità totale è difficile o impossibile se le informazioni necessarie non sono pubblicate dal produttore.
Sicurezza
Quando i professionisti parlano di sicurezza e chiedono macchine sicure, intendono la sicurezza dell'intera macchina o sistema. Questa sicurezza è, tuttavia, troppo generica e non sufficientemente definita per il progettista dei controlli. La seguente definizione di sicurezza può essere pratico e utilizzabile per i progettisti di circuiti di controllo: la sicurezza è la capacità di un sistema di controllo di eseguire la funzione richiesta entro i limiti prescritti, per una data durata, anche quando si verificano guasti previsti. Di conseguenza, durante la progettazione deve essere chiarito quanto "sicuro" deve essere il canale relativo alla sicurezza. (Il progettista può sviluppare un canale che sia sicuro contro il primo guasto, contro un guasto qualsiasi, contro due guasti, ecc.) Inoltre, un canale che svolge una funzione utilizzata per prevenire gli incidenti può essere essenzialmente affidabile, ma non ha per essere inevitabilmente al sicuro contro i fallimenti. Questo può essere meglio spiegato dai seguenti esempi:
esempio 1
L'esempio illustrato nella figura 6 è un canale di controllo rilevante per la sicurezza che esegue la funzione di sicurezza richiesta. Il primo componente può essere un interruttore che monitora, ad esempio, la posizione di una porta di accesso a un'area pericolosa. L'ultimo componente è un motore che aziona parti meccaniche in movimento all'interno della zona pericolosa.
Figura 6. Un canale di controllo rilevante per la sicurezza che esegue la funzione di sicurezza richiesta
La funzione di sicurezza richiesta in questo caso è duplice: se la porta è chiusa, il motore può funzionare. Se la porta è aperta, il motore deve essere spento. Conoscere le attendibilità R1 a R6, è possibile calcolare l'affidabilità Rpresto. I progettisti dovrebbero utilizzare componenti affidabili al fine di mantenere un'affidabilità sufficientemente elevata dell'intero sistema di controllo (vale a dire, la probabilità che questa funzione possa ancora essere svolta tra, diciamo, anche 20 anni dovrebbe essere presa in considerazione nella progettazione). Di conseguenza, i progettisti devono svolgere due compiti: (1) la circuiteria deve svolgere la funzione richiesta e (2) l'affidabilità dei componenti e dell'intero canale di controllo deve essere adeguata.
Occorre ora porsi la seguente domanda: il suddetto canale svolgerà le funzioni di sicurezza richieste anche se si verifica un guasto nel sistema (ad esempio, se un contatto del relè si blocca o un componente non funziona correttamente)? La risposta è no". Il motivo è che un singolo canale di controllo costituito solo da componenti collegati in serie e funzionante con segnali statici non è sicuro contro un guasto. Il canale può avere solo una certa affidabilità, che garantisce la probabilità che la funzione venga svolta. In tali situazioni, la sicurezza è sempre intesa come relativo al fallimento.
esempio 2
Se un canale di controllo deve essere sia affidabile che sicuro, il design deve essere modificato come nella figura 7. L'esempio illustrato è un canale di controllo rilevante per la sicurezza costituito da due sottocanali completamente separati.
Figura 7. Un canale di controllo rilevante per la sicurezza con due sottocanali completamente separati
Questo progetto è sicuro contro il primo guasto (e possibili ulteriori guasti nello stesso sottocanale), ma non è sicuro contro due guasti che possono verificarsi in due diversi sottocanali (contemporaneamente o in momenti diversi) perché non esiste un circuito di rilevamento dei guasti. Di conseguenza, inizialmente entrambi i sottocanali funzionano con un'elevata affidabilità (vedi sistema parallelo), ma dopo il primo guasto funzionerà solo un sottocanale e l'affidabilità diminuisce. Se si verifica un secondo guasto nel sottocanale ancora in funzione, entrambi si guastano e la funzione di sicurezza non viene più eseguita.
esempio 3
L'esempio illustrato nella figura 8 è un canale di controllo rilevante per la sicurezza costituito da due sottocanali completamente separati che si controllano a vicenda.
Figura 8. Un canale di controllo rilevante per la sicurezza con due sottocanali completamente separati che si monitorano a vicenda
Tale progetto è a prova di guasto perché dopo ogni guasto, solo un sottocanale non sarà funzionante, mentre l'altro sottocanale rimane disponibile e svolgerà la funzione di sicurezza. Inoltre, il design ha un circuito di rilevamento dei guasti. Se, a causa di un guasto, entrambi i sottocanali non funzionano allo stesso modo, questa condizione verrà rilevata dalla circuiteria “or esclusivo”, con la conseguenza che la macchina verrà automaticamente spenta. Questo è uno dei modi migliori per progettare i controlli delle macchine: progettare sottocanali rilevanti per la sicurezza. Sono al sicuro contro un guasto e allo stesso tempo forniscono un'affidabilità tale da ridurre al minimo le possibilità che si verifichino due guasti contemporaneamente.
Ridondanza
È evidente che esistono vari metodi con cui un progettista può migliorare l'affidabilità e/o la sicurezza (contro i guasti). Gli esempi precedenti illustrano come una funzione (ovvero, porta chiusa, il motore può funzionare; porta aperta, il motore deve essere arrestato) può essere realizzata con varie soluzioni. Alcuni metodi sono molto semplici (un sottocanale) e altri più complicati (due sottocanali con supervisione reciproca). (Vedi figura 9.)
Figura 9. Affidabilità dei sistemi ridondanti con o senza rilevamento dei guasti
C'è una certa ridondanza nei circuiti e/o nei componenti complessi rispetto a quelli semplici. Ridondanza può essere definita come segue: (1) La ridondanza è la presenza di più mezzi (componenti, canali, fattori di sicurezza più elevati, test aggiuntivi e così via) di quelli realmente necessari per il semplice adempimento della funzione desiderata; (2) la ridondanza ovviamente non “migliora” la funzione, che comunque viene svolta. La ridondanza migliora solo l'affidabilità e/o la sicurezza.
Alcuni professionisti della sicurezza ritengono che la ridondanza sia solo il raddoppio o il triplo, e così via, del sistema. Si tratta di un'interpretazione molto limitata, poiché la ridondanza può essere interpretata in modo molto più ampio e flessibile. La ridondanza può essere inclusa non solo nell'hardware; potrebbe essere incluso anche nel software. Anche il miglioramento del fattore di sicurezza (ad esempio, una corda più forte invece di una più debole) può essere considerato una forma di ridondanza.
entropia
entropia, un termine che si trova soprattutto in termodinamica e astronomia, può essere definito come segue: Tutto tende al decadimento. Pertanto, è assolutamente certo che tutti i componenti, sottosistemi o sistemi, indipendentemente dalla tecnologia in uso, prima o poi falliranno. Ciò significa che non esistono sistemi, sottosistemi o componenti affidabili e/o sicuri al 100%. Tutti sono semplicemente più o meno affidabili e sicuri, a seconda della complessità della struttura. I fallimenti che inevitabilmente si verificano prima o dopo dimostrano l'azione dell'entropia.
L'unico mezzo a disposizione dei progettisti per contrastare l'entropia è la ridondanza, che si ottiene (a) introducendo maggiore affidabilità nei componenti e (b) fornendo maggiore sicurezza in tutta l'architettura del circuito. Solo aumentando sufficientemente la probabilità che la funzione richiesta venga eseguita per il periodo di tempo richiesto, i progettisti possono in qualche misura difendersi dall'entropia.
Valutazione del rischio
Maggiore è il rischio potenziale, maggiore è l'affidabilità e/o la sicurezza (contro i guasti) richiesta (e viceversa). Ciò è illustrato dai seguenti due casi:
Caso 1
L'accesso allo stampo fissato in una pressa ad iniezione è protetto da una porta. Se la porta è chiusa, la macchina può funzionare, e se la porta è aperta, tutti i movimenti pericolosi devono essere fermati. In nessun caso (nemmeno in caso di guasto del canale di sicurezza) possono verificarsi movimenti, soprattutto quelli che azionano l'utensile.
Caso 2
L'accesso a una linea di assemblaggio a controllo automatico che assembla piccoli componenti in plastica sotto pressione pneumatica è protetto da una porta. Se questa porta viene aperta, la linea dovrà essere interrotta.
Nel caso 1, se il sistema di controllo di supervisione della porta dovesse guastarsi, potrebbe verificarsi un grave infortunio se lo strumento viene chiuso inaspettatamente. Nel caso 2, se il sistema di controllo di supervisione della porta si guasta, possono verificarsi solo lesioni lievi o danni insignificanti.
È ovvio che nel primo caso deve essere introdotta molta più ridondanza per ottenere l'affidabilità e/o la sicurezza (contro i guasti) necessarie per proteggere da rischi estremamente elevati. Infatti, secondo la norma europea EN 201, il sistema di controllo di supervisione della porta della pressa ad iniezione deve avere tre canali; di cui due elettriche e reciprocamente supervisionate e una delle quali in gran parte dotata di circuiti idraulici e di collaudo. Tutte e tre queste funzioni di supervisione si riferiscono alla stessa porta.
Viceversa, in applicazioni come quella descritta nel Caso 2, un solo canale attivato da un interruttore ad azione positiva è adeguato al rischio.
Categorie di controllo
Poiché tutte le considerazioni di cui sopra sono generalmente basate sulla teoria dell'informazione e di conseguenza sono valide per tutte le tecnologie, non importa se il sistema di controllo è basato su componenti elettronici, elettromeccanici, meccanici, idraulici o pneumatici (o una combinazione di essi) , o su qualche altra tecnologia. L'inventiva del progettista da un lato e le questioni economiche dall'altro sono i fattori principali che influenzano un numero quasi infinito di soluzioni su come realizzare canali rilevanti per la sicurezza.
Per evitare confusione, è utile stabilire determinati criteri di ordinamento. Le strutture di canale più tipiche utilizzate nei controlli macchina per l'esecuzione di funzioni relative alla sicurezza sono classificate in base a:
- problemi di
- comportamento in caso di fallimento
- tempo di rivelazione del fallimento.
Le loro combinazioni (non sono mostrate tutte le combinazioni possibili) sono illustrate nella tabella 1.
Tabella 1. Alcune possibili combinazioni di strutture circuitali nei controlli macchina per funzioni legate alla sicurezza
Criteri (domande) |
Strategia di base |
|||||
Aumentando l'affidabilità (il verificarsi del guasto è spostato in un futuro forse lontano?) |
Con un'adeguata struttura del circuito (architettura) il guasto sarà almeno rilevato (Cat. 2) o l'effetto del guasto sul canale sarà eliminato (Cat. 3) o il guasto verrà rivelato immediatamente (Cat. 4) |
|||||
Categorie |
||||||
Questa soluzione è fondamentalmente sbagliata |
B |
1 |
2 |
3 |
4 |
|
I componenti del circuito possono sopportare le influenze previste? sono costruiti secondo lo stato dell'arte? |
Non |
Si |
Si |
Si |
Si |
Si |
Sono stati utilizzati componenti e/o metodi ben collaudati? |
Non |
Non |
Si |
Si |
Si |
Si |
È possibile rilevare automaticamente un guasto? |
Non |
Non |
Non |
Si |
Si |
Si |
Un guasto impedisce l'esecuzione della funzione relativa alla sicurezza? |
Si |
Si |
Si |
Si |
Non |
Non |
Quando verrà rilevato il guasto? |
Mai |
Mai |
Mai |
Early (più tardi alla fine dell'intervallo che non è più lungo di un ciclo macchina) |
Immediatamente (quando il segnale perde dinamica |
|
Nei prodotti di consumo |
Da utilizzare nelle macchine |
La categoria applicabile a una macchina specifica e al suo sistema di controllo relativo alla sicurezza è per lo più specificata nelle nuove norme europee (EN), a meno che l'autorità nazionale, l'utente e il fabbricante non concordino reciprocamente sull'applicazione di un'altra categoria. Il progettista sviluppa quindi un sistema di controllo che soddisfi i requisiti. Ad esempio, le considerazioni che regolano la progettazione di un canale di controllo possono includere quanto segue:
- I componenti devono resistere alle influenze previste. (SI NO)
- La loro costruzione dovrebbe essere conforme agli standard più moderni. (SI NO)
- Vengono utilizzati componenti e metodi collaudati. (SI NO)
- Fallimento deve essere rilevato. (SI NO)
- La funzione di sicurezza verrà eseguita anche in caso di guasto? (SI NO)
- Quando verrà rilevato il guasto? (MAI, PRESTO, IMMEDIATAMENTE)
Questo processo è reversibile. Utilizzando le stesse domande, si può decidere a quale categoria appartiene un canale di controllo esistente, precedentemente sviluppato.
Esempi di categoria
Categoria B
I componenti del canale di controllo utilizzati principalmente nei prodotti di consumo devono resistere alle influenze previste ed essere progettati secondo lo stato dell'arte. Un interruttore ben progettato può servire da esempio.
Categoria 1
L'uso di componenti e metodi collaudati è tipico della Categoria 1. Un esempio di Categoria 1 è un interruttore con azione positiva (ovvero, richiede l'apertura forzata dei contatti). Questo interruttore è progettato con parti robuste ed è attivato da forze relativamente elevate, raggiungendo così un'affidabilità estremamente elevata solo nell'apertura del contatto. Nonostante i contatti incollati o addirittura saldati, questi interruttori si apriranno. (Nota: componenti come transistor e diodi non sono considerati componenti collaudati.) La figura 10 servirà come illustrazione di un controllo di categoria 1.
Figura 10. Un interruttore con azione positiva
Questo canale utilizza l'interruttore S con azione positiva. Il contattore K è supervisionato dalla spia L. L'operatore viene avvisato che i contatti normalmente aperti (NA) si innestano tramite la spia L. Il contattore K ha i contatti a guida forzata. (Nota: i relè o contattori con guida forzata dei contatti hanno, rispetto ai normali relè o contattori, una gabbia speciale in materiale isolante in modo che se i contatti normalmente chiusi (NC) sono chiusi, tutti i contatti NO devono essere aperti e viceversa viceversa. Ciò significa che utilizzando contatti NC è possibile verificare che i contatti di lavoro non siano incollati o saldati insieme.)
Categoria 2
La categoria 2 prevede il rilevamento automatico dei guasti. Il rilevamento automatico dei guasti deve essere generato prima di ogni movimento pericoloso. Solo se il test è positivo si può eseguire il movimento; in caso contrario la macchina verrà arrestata. I sistemi di rilevamento automatico dei guasti vengono utilizzati per le barriere fotoelettriche per dimostrare che funzionano ancora. Il principio è illustrato nella figura 1.
Figura 11. Circuito che include un rilevatore di guasti
Questo sistema di controllo viene testato regolarmente (o occasionalmente) iniettando un impulso all'ingresso. In un sistema correttamente funzionante questo impulso verrà quindi trasferito all'uscita e confrontato con un impulso proveniente da un generatore di test. Quando sono presenti entrambi gli impulsi, il sistema ovviamente funziona. Altrimenti, se non c'è impulso in uscita, il sistema è guasto.
Categoria 3
Il circuito è stato precedentemente descritto nell'Esempio 3 nella sezione Sicurezza di questo articolo, figura 8.
Il requisito, ovvero il rilevamento automatico dei guasti e la capacità di eseguire la funzione di sicurezza anche se si è verificato un guasto ovunque, può essere soddisfatto da strutture di controllo a due canali e dalla supervisione reciproca dei due canali.
Solo per i controlli della macchina, i guasti pericolosi devono essere esaminati. Va notato che ci sono due tipi di fallimento:
- Non pericoloso i guasti sono quelli che, dopo il loro verificarsi, provocano uno “stato sicuro” della macchina provvedendo allo spegnimento del motore.
- Pericoloso i guasti sono quelli che, dopo il loro verificarsi, provocano uno “stato non sicuro” della macchina, in quanto il motore non può essere spento o il motore inizia a muoversi inaspettatamente.
Categoria 4
La categoria 4 prevede tipicamente l'applicazione di un segnale dinamico, che cambia continuamente sull'ingresso. La presenza di un segnale dinamico sui mezzi di uscita running ("1"), e l'assenza di un segnale dinamico significa Stop ("0").
Per tali circuiti è tipico che dopo il guasto di qualsiasi componente il segnale dinamico non sarà più disponibile sull'uscita. (Nota: il potenziale statico sull'uscita è irrilevante.) Tali circuiti possono essere chiamati "fail-safe". Tutti i guasti verranno comunicati immediatamente, non dopo la prima modifica (come nei circuiti di Categoria 3).
Ulteriori commenti sulle categorie di controllo
La tabella 1 è stata sviluppata per i normali controlli macchina e mostra solo le strutture circuitali di base; secondo la direttiva macchine dovrebbe essere calcolato assumendo che si verifichi un solo guasto in un ciclo macchina. Questo è il motivo per cui la funzione di sicurezza non deve essere eseguita nel caso di due guasti coincidenti. Si presume che un guasto venga rilevato entro un ciclo macchina. La macchina verrà fermata e quindi riparata. Il sistema di controllo quindi si riavvia, completamente operativo, senza guasti.
Il primo intento del progettista dovrebbe essere quello di non consentire guasti "permanenti", che non verrebbero rilevati durante un ciclo in quanto potrebbero successivamente essere combinati con guasti che si verificano di nuovo (accumulo di guasti). Tali combinazioni (un guasto permanente e un nuovo guasto) possono causare un malfunzionamento anche dei circuiti di Categoria 3.
Nonostante queste tattiche, è possibile che due guasti indipendenti si verifichino contemporaneamente all'interno dello stesso ciclo macchina. È solo molto improbabile, soprattutto se sono stati utilizzati componenti altamente affidabili. Per le applicazioni ad altissimo rischio, devono essere utilizzati tre o più sottocanali. Questa filosofia si basa sul fatto che il tempo medio tra guasti è molto più lungo del ciclo macchina.
Ciò non significa, tuttavia, che la tabella non possa essere ulteriormente ampliata. La Tabella 1 è fondamentalmente e strutturalmente molto simile alla Tabella 2 utilizzata nella EN 954-1. Tuttavia, non tenta di includere troppi criteri di ordinamento. I requisiti sono definiti secondo le rigorose leggi della logica, in modo che ci si possano aspettare solo risposte chiare (SI o NO). Ciò consente una valutazione, un ordinamento e una classificazione più precisi dei circuiti sottoposti (canali relativi alla sicurezza) e, ultimo ma non meno importante, un miglioramento significativo della riproducibilità della valutazione.
L'ideale sarebbe classificare i rischi in vari livelli di rischio e quindi stabilire un legame preciso tra livelli e categorie di rischio, il tutto indipendentemente dalla tecnologia in uso. Tuttavia, questo non è del tutto possibile. Subito dopo la creazione delle categorie è diventato chiaro che, anche a parità di tecnologia, a varie domande non veniva data una risposta sufficiente. Cos'è meglio: un componente di Categoria 1 molto affidabile e ben progettato o un sistema che soddisfa i requisiti della Categoria 3 con scarsa affidabilità?
Per spiegare questo dilemma bisogna distinguere tra due qualità: affidabilità e sicurezza (contro i guasti). Non sono paragonabili, poiché entrambe queste qualità hanno caratteristiche diverse:
- Il componente con la massima affidabilità ha la spiacevole caratteristica che in caso di guasto (anche se altamente improbabile) la funzione cesserà di svolgere.
- I sistemi di categoria 3, in cui anche in caso di un guasto la funzione verrà eseguita, non sono sicuri contro due guasti contemporaneamente (ciò che può essere importante è se sono stati utilizzati componenti sufficientemente affidabili).
Considerando quanto sopra, potrebbe essere che la soluzione migliore (dal punto di vista dell'alto rischio) sia quella di utilizzare componenti altamente affidabili e configurarli in modo che il circuito sia sicuro contro almeno un guasto (preferibilmente più). È chiaro che una tale soluzione non è la più economica. In pratica, il processo di ottimizzazione è principalmente la conseguenza di tutte queste influenze e considerazioni.
L'esperienza con l'uso pratico delle categorie mostra che raramente è possibile progettare un sistema di controllo che può utilizzare solo una categoria in tutto. La combinazione di due o anche tre parti, ciascuna di una categoria diversa, è tipica, come illustrato nell'esempio seguente:
Molte barriere fotoelettriche di sicurezza sono progettate nella categoria 4, in cui un canale funziona con un segnale dinamico. Alla fine di questo sistema ci sono solitamente due sottocanali supervisionati reciprocamente che lavorano con segnali statici. (Ciò soddisfa i requisiti per la Categoria 3.)
Secondo EN 50100, tali barriere fotoelettriche sono classificate come Dispositivi di protezione elettrosensibili di tipo 4, sebbene siano composti da due parti. Sfortunatamente, non c'è accordo su come denominare i sistemi di controllo costituiti da due o più parti, ciascuna parte di un'altra categoria.
Sistemi elettronici programmabili (PES)
I principi utilizzati per creare la tabella 1 possono, ovviamente con alcune restrizioni, essere generalmente applicati anche ai PES.
Sistema solo PES
Utilizzando i PES per il controllo, le informazioni vengono trasferite dal sensore all'attivatore attraverso un gran numero di componenti. Oltre a ciò, passa anche "attraverso" il software. (Vedi figura 12).
Figura 12. Un circuito del sistema PES
Sebbene i PES moderni siano molto affidabili, l'affidabilità non è così elevata come potrebbe essere richiesta per l'elaborazione delle funzioni di sicurezza. Oltre a ciò, i normali sistemi PES non sono abbastanza sicuri, poiché non svolgeranno la funzione relativa alla sicurezza in caso di guasto. Pertanto, l'utilizzo di PES per l'elaborazione delle funzioni di sicurezza senza misure aggiuntive non è consentito.
Applicazioni a rischio molto basso: sistemi con un PES e misure aggiuntive
Quando si utilizza un singolo PES per il controllo, il sistema è costituito dalle seguenti parti principali:
Parte di input
L'affidabilità di un sensore e dell'ingresso di un PES può essere migliorata raddoppiandoli. Tale configurazione di input a doppio sistema può essere ulteriormente supervisionata dal software per verificare se entrambi i sottosistemi stanno fornendo le stesse informazioni. In questo modo è possibile rilevare i guasti nella parte di ingresso. Questa è quasi la stessa filosofia richiesta per la Categoria 3. Tuttavia, poiché la supervisione viene eseguita dal software e solo una volta, questa può essere denominata 3- (o non affidabile come 3).
Parte di mezzo
Sebbene questa parte non possa essere ben raddoppiata, può essere testata. All'accensione (o durante il funzionamento) è possibile eseguire un controllo dell'intero set di istruzioni. Con gli stessi intervalli, la memoria può essere controllata anche da opportuni schemi di bit. Se tali controlli vengono condotti senza errori, entrambe le parti, CPU e memoria, funzionano ovviamente correttamente. La parte centrale presenta alcune caratteristiche tipiche della Categoria 4 (segnale dinamico) ed altre tipiche della Categoria 2 (test eseguiti regolarmente ad intervalli adeguati). Il problema è che questi test, nonostante la loro ampiezza, non possono essere veramente completi, in quanto il sistema one-PES intrinsecamente non li consente.
Parte di uscita
Simile a un input, anche l'output (inclusi gli attivatori) può essere raddoppiato. Entrambi i sottosistemi possono essere supervisionati rispetto allo stesso risultato. I guasti verranno rilevati e la funzione di sicurezza verrà eseguita. Tuttavia, ci sono gli stessi punti deboli della parte di input. Di conseguenza, in questo caso viene scelta la categoria 3.
In figura 13 la stessa funzione è riportata ai relè A e B. I contatti di controllo a e b, quindi informa due sistemi di input se entrambi i relè stanno eseguendo lo stesso lavoro (a meno che non si sia verificato un guasto in uno dei canali). La supervisione viene eseguita nuovamente dal software.
Figura 13. Un circuito PES con un sistema di rilevamento dei guasti
L'intero sistema può essere descritto come Categoria 3-/4/2/3- se fatto correttamente ed estesamente. Tuttavia, i punti deboli di tali sistemi come sopra descritti non possono essere completamente eliminati. Infatti, i PES migliorati sono effettivamente utilizzati per funzioni legate alla sicurezza solo dove i rischi sono piuttosto bassi (Hölscher e Rader 1984).
Applicazioni a basso e medio rischio con un PES
Oggi quasi tutte le macchine sono dotate di un'unità di controllo PES. Per risolvere il problema dell'insufficiente affidabilità e di solito insufficiente sicurezza contro i guasti, vengono comunemente utilizzati i seguenti metodi di progettazione:
- In macchine relativamente semplici come gli ascensori, le funzioni sono divise in due gruppi: (1) le funzioni che non sono legate alla sicurezza sono elaborate dal PES; (2) le funzioni relative alla sicurezza sono combinate in una catena (circuito di sicurezza) ed elaborate al di fuori del PES (vedere figura 14).
Figura 14. Stato dell'arte per la categoria di fermata 0
- Il metodo sopra indicato non è adatto a macchine più complesse. Uno dei motivi è che tali soluzioni di solito non sono abbastanza sicure. Per le applicazioni a rischio medio, le soluzioni devono soddisfare i requisiti per la categoria 3. Idee generali su come possono apparire tali progetti sono presentate nella figura 15 e nella figura 16.
Figura 15. Stato dell'arte per la categoria di arresto 1
Figura 16. Stato dell'arte per la categoria di fermata 2
Applicazioni ad alto rischio: sistemi con due (o più) PES
A parte la complessità e il costo, non ci sono altri fattori che impedirebbero ai progettisti di utilizzare sistemi PES completamente raddoppiati come Siemens Simatic S5-115F, 3B6 Typ CAR-MIL e così via. Questi in genere includono due PES identici con software omogeneo e presuppongono l'uso di PES "ben collaudati" e compilatori "ben collaudati" (un PES o un compilatore ben collaudato può essere considerato uno che in molte applicazioni pratiche nell'arco di 3 o più anni ha dimostrato che i fallimenti sistematici sono stati ovviamente eliminati). Sebbene questi sistemi PES raddoppiati non abbiano i punti deboli dei sistemi PES singoli, ciò non significa che i sistemi PES raddoppiati risolvano tutti i problemi. (Vedi figura 17).
Figura 17. Sistema sofisticato con due PES
Fallimenti sistematici
I guasti sistematici possono derivare da errori nelle specifiche, nella progettazione e da altre cause e possono essere presenti sia nell'hardware che nel software. I sistemi Double-PES sono adatti per l'uso in applicazioni legate alla sicurezza. Tali configurazioni consentono il rilevamento di guasti hardware casuali. Per mezzo della diversità dell'hardware, come l'uso di due tipi diversi o prodotti di due diversi produttori, potrebbero essere rilevati guasti hardware sistematici (è altamente improbabile che si verifichi un guasto sistematico hardware identico in entrambi i PES).
Software
Il software è un nuovo elemento nelle considerazioni sulla sicurezza. Il software è corretto o errato (rispetto ai guasti). Una volta corretto, il software non può diventare immediatamente errato (rispetto all'hardware). Gli obiettivi sono eliminare tutti gli errori nel software o almeno identificarli.
Ci sono vari modi per raggiungere questo obiettivo. Uno è il verifica del programma (una seconda persona tenta di scoprire gli errori in un test successivo). Un'altra possibilità è diversità del software, in cui due diversi programmi, scritti da due programmatori, affrontano lo stesso problema. Se i risultati sono identici (entro certi limiti), si può presumere che entrambe le parti del programma siano corrette. Se i risultati sono diversi, si presume che siano presenti errori. (NB, Il architettura dell'hardware naturalmente deve essere considerato anche.)
In breve
Quando si utilizzano gli SPI, generalmente devono essere prese in considerazione le stesse seguenti considerazioni di base (come descritto nelle sezioni precedenti).
- Un sistema di controllo senza alcuna ridondanza può essere assegnato alla Categoria B. Un sistema di controllo con misure aggiuntive può essere di Categoria 1 o anche superiore, ma non superiore a 2.
- Un sistema di controllo in due parti con confronto reciproco dei risultati può essere assegnato alla Categoria 3. Un sistema di controllo in due parti con confronto reciproco dei risultati e maggiore o minore diversità può essere assegnato alla Categoria 3 ed è adatto per applicazioni a rischio più elevato.
Un fattore nuovo è che per il sistema con un PES, anche il software dovrebbe essere valutato dal punto di vista della correttezza. Il software, se corretto, è affidabile al 100%. In questa fase di sviluppo tecnologico, probabilmente non verranno utilizzate le migliori soluzioni tecniche possibili e conosciute, poiché i fattori limitanti sono ancora economici. Inoltre, vari gruppi di esperti continuano a sviluppare gli standard per le applicazioni di sicurezza dei PES (ad es. EC, EWICS). Sebbene esistano già diverse norme (VDE0801, IEC65A e così via), la materia è talmente ampia e complessa che nessuna di esse può essere considerata definitiva.