Lunedi, 04 aprile 2011 18: 20

Principi per la progettazione di sistemi di controllo sicuri

Vota questo gioco
(2 voti )

È generalmente accettato che i sistemi di controllo debbano essere sicuri durante l'uso. Con questo in mente, i sistemi di controllo più moderni sono progettati come mostrato nella figura 1.

Figura 1. Progettazione generale dei sistemi di controllo

SAF062F1

Il modo più semplice per rendere sicuro un sistema di controllo è costruire attorno ad esso un muro impenetrabile in modo da impedire l'accesso umano o l'interferenza nella zona pericolosa. Un tale sistema sarebbe molto sicuro, anche se poco pratico, poiché sarebbe impossibile accedervi per eseguire la maggior parte dei lavori di collaudo, riparazione e regolazione. Poiché l'accesso alle zone pericolose deve essere consentito in determinate condizioni, sono necessarie misure protettive diverse da muri, recinzioni e simili per facilitare la produzione, l'installazione, l'assistenza e la manutenzione.

 

Alcune di queste misure protettive possono essere parzialmente o totalmente integrate nei sistemi di controllo, come segue:

  • Il movimento può essere interrotto immediatamente nel caso in cui qualcuno entri nella zona di pericolo, tramite i pulsanti di arresto di emergenza (ES).
  • I comandi a pulsante consentono il movimento solo quando il pulsante è azionato.
  • I comandi a doppia mano (DHC) consentono il movimento solo quando entrambe le mani sono impegnate nell'abbassare i due elementi di comando (assicurando così che le mani siano tenute lontane dalle zone di pericolo).

 

Questi tipi di misure protettive vengono attivate dagli operatori. Tuttavia, poiché gli esseri umani rappresentano spesso un punto debole nelle applicazioni, molte funzioni, come le seguenti, vengono eseguite automaticamente:

  • I movimenti dei bracci del robot durante la manutenzione o il "teach-in" sono molto lenti. Tuttavia, la velocità è costantemente monitorata. Se, a causa di un guasto del sistema di controllo, la velocità dei bracci automatici del robot dovesse aumentare inaspettatamente durante il periodo di manutenzione o di apprendimento, il sistema di monitoraggio si attiverebbe e interromperebbe immediatamente il movimento.
  • Viene fornita una barriera fotoelettrica per impedire l'accesso in una zona pericolosa. Se il raggio luminoso viene interrotto, la macchina si fermerà automaticamente.

 

Il normale funzionamento dei sistemi di controllo è il presupposto più importante per la produzione. Se una funzione di produzione viene interrotta a causa di un errore di controllo, è al massimo scomodo ma non pericoloso. Se una funzione rilevante per la sicurezza non viene eseguita, potrebbe verificarsi una perdita di produzione, danni alle apparecchiature, lesioni o addirittura la morte. Pertanto, le funzioni del sistema di controllo rilevanti per la sicurezza devono essere più affidabili e più sicure delle normali funzioni del sistema di controllo. Secondo la Direttiva del Consiglio Europeo 89/392/CEE (Linee guida macchine), i sistemi di controllo devono essere progettati e costruiti in modo che siano sicuri e affidabili.

I comandi sono costituiti da più componenti collegati tra loro in modo da svolgere una o più funzioni. I controlli sono suddivisi in canali. Un canale è la parte di un controllo che esegue una funzione specifica (ad es. avvio, arresto, arresto di emergenza). Fisicamente, il canale è creato da una stringa di componenti (transistor, diodi, relè, gate, ecc.) attraverso i quali, da un componente all'altro, le informazioni (principalmente elettriche) che rappresentano quella funzione vengono trasferite dall'ingresso all'uscita.

Nella progettazione dei canali di controllo per le funzioni rilevanti per la sicurezza (quelle funzioni che coinvolgono le persone), devono essere soddisfatti i seguenti requisiti:

  • I componenti utilizzati nei canali di controllo con funzioni rilevanti per la sicurezza devono essere in grado di resistere ai rigori del normale utilizzo. In genere, devono essere sufficientemente affidabili.
  • Errori nella logica non devono causare situazioni pericolose. In genere, il canale rilevante per la sicurezza deve essere sufficientemente resistente ai guasti.
  • Influenze esterne (fattori) non dovrebbero portare a guasti temporanei o permanenti nei canali rilevanti per la sicurezza.

 

L’affidabilità

L’affidabilità è la capacità di un canale o componente di controllo di eseguire una funzione richiesta in condizioni specificate per un dato periodo di tempo senza fallire. (La probabilità per componenti specifici o canali di controllo può essere calcolata utilizzando metodi adeguati.) L'affidabilità deve essere sempre specificata per un valore temporale specifico. In generale, l'affidabilità può essere espressa dalla formula in figura 2.

Figura 2. Formula di affidabilità

SAF062F2

Affidabilità di sistemi complessi

I sistemi sono costruiti da componenti. Se si conoscono le affidabilità dei componenti, è possibile calcolare l'affidabilità del sistema nel suo insieme. In tali casi, si applica quanto segue:

Sistemi seriali

La totale affidabilità Rbimbo di un sistema seriale costituito da N componenti della stessa affidabilità RC è calcolato come in figura 3.

Figura 3. Grafico di affidabilità dei componenti collegati in serie

SAF062F3

L'affidabilità totale è inferiore all'affidabilità del componente meno affidabile. All'aumentare del numero di componenti collegati in serie, l'affidabilità totale della catena diminuisce in modo significativo.

Sistemi paralleli

La totale affidabilità Rbimbo di un sistema parallelo costituito da N componenti della stessa affidabilità RC è calcolato come in figura 4.

Figura 4. Grafico di affidabilità dei componenti collegati in parallelo

SAF062F4

L'affidabilità totale può essere notevolmente migliorata attraverso il collegamento in parallelo di due o più componenti.

La figura 5 illustra un esempio pratico. Si noti che il circuito spegnerà il motore in modo più affidabile. Anche se il relè A o B non riesce ad aprire il suo contatto, il motore sarà comunque spento.

Figura 5. Esempio pratico di figura 4

SAF062F5

Calcolare l'affidabilità totale di un canale è semplice se tutte le affidabilità dei componenti necessari sono note e disponibili. Nel caso di componenti complessi (circuiti integrati, microprocessori, ecc.) il calcolo dell'affidabilità totale è difficile o impossibile se le informazioni necessarie non sono pubblicate dal produttore.

Sicurezza

Quando i professionisti parlano di sicurezza e chiedono macchine sicure, intendono la sicurezza dell'intera macchina o sistema. Questa sicurezza è, tuttavia, troppo generica e non sufficientemente definita per il progettista dei controlli. La seguente definizione di sicurezza può essere pratico e utilizzabile per i progettisti di circuiti di controllo: la sicurezza è la capacità di un sistema di controllo di eseguire la funzione richiesta entro i limiti prescritti, per una data durata, anche quando si verificano guasti previsti. Di conseguenza, durante la progettazione deve essere chiarito quanto "sicuro" deve essere il canale relativo alla sicurezza. (Il progettista può sviluppare un canale che sia sicuro contro il primo guasto, contro un guasto qualsiasi, contro due guasti, ecc.) Inoltre, un canale che svolge una funzione utilizzata per prevenire gli incidenti può essere essenzialmente affidabile, ma non ha per essere inevitabilmente al sicuro contro i fallimenti. Questo può essere meglio spiegato dai seguenti esempi:

esempio 1

L'esempio illustrato nella figura 6 è un canale di controllo rilevante per la sicurezza che esegue la funzione di sicurezza richiesta. Il primo componente può essere un interruttore che monitora, ad esempio, la posizione di una porta di accesso a un'area pericolosa. L'ultimo componente è un motore che aziona parti meccaniche in movimento all'interno della zona pericolosa.

Figura 6. Un canale di controllo rilevante per la sicurezza che esegue la funzione di sicurezza richiesta

SAF062F6

La funzione di sicurezza richiesta in questo caso è duplice: se la porta è chiusa, il motore può funzionare. Se la porta è aperta, il motore deve essere spento. Conoscere le attendibilità R1 a R6, è possibile calcolare l'affidabilità Rpresto. I progettisti dovrebbero utilizzare componenti affidabili al fine di mantenere un'affidabilità sufficientemente elevata dell'intero sistema di controllo (vale a dire, la probabilità che questa funzione possa ancora essere svolta tra, diciamo, anche 20 anni dovrebbe essere presa in considerazione nella progettazione). Di conseguenza, i progettisti devono svolgere due compiti: (1) la circuiteria deve svolgere la funzione richiesta e (2) l'affidabilità dei componenti e dell'intero canale di controllo deve essere adeguata.

Occorre ora porsi la seguente domanda: il suddetto canale svolgerà le funzioni di sicurezza richieste anche se si verifica un guasto nel sistema (ad esempio, se un contatto del relè si blocca o un componente non funziona correttamente)? La risposta è no". Il motivo è che un singolo canale di controllo costituito solo da componenti collegati in serie e funzionante con segnali statici non è sicuro contro un guasto. Il canale può avere solo una certa affidabilità, che garantisce la probabilità che la funzione venga svolta. In tali situazioni, la sicurezza è sempre intesa come relativo al fallimento.

esempio 2

Se un canale di controllo deve essere sia affidabile che sicuro, il design deve essere modificato come nella figura 7. L'esempio illustrato è un canale di controllo rilevante per la sicurezza costituito da due sottocanali completamente separati.

Figura 7. Un canale di controllo rilevante per la sicurezza con due sottocanali completamente separati

SAF062F7

Questo progetto è sicuro contro il primo guasto (e possibili ulteriori guasti nello stesso sottocanale), ma non è sicuro contro due guasti che possono verificarsi in due diversi sottocanali (contemporaneamente o in momenti diversi) perché non esiste un circuito di rilevamento dei guasti. Di conseguenza, inizialmente entrambi i sottocanali funzionano con un'elevata affidabilità (vedi sistema parallelo), ma dopo il primo guasto funzionerà solo un sottocanale e l'affidabilità diminuisce. Se si verifica un secondo guasto nel sottocanale ancora in funzione, entrambi si guastano e la funzione di sicurezza non viene più eseguita.

esempio 3

L'esempio illustrato nella figura 8 è un canale di controllo rilevante per la sicurezza costituito da due sottocanali completamente separati che si controllano a vicenda.

Figura 8. Un canale di controllo rilevante per la sicurezza con due sottocanali completamente separati che si monitorano a vicenda

SAF062F8

Tale progetto è a prova di guasto perché dopo ogni guasto, solo un sottocanale non sarà funzionante, mentre l'altro sottocanale rimane disponibile e svolgerà la funzione di sicurezza. Inoltre, il design ha un circuito di rilevamento dei guasti. Se, a causa di un guasto, entrambi i sottocanali non funzionano allo stesso modo, questa condizione verrà rilevata dalla circuiteria “or esclusivo”, con la conseguenza che la macchina verrà automaticamente spenta. Questo è uno dei modi migliori per progettare i controlli delle macchine: progettare sottocanali rilevanti per la sicurezza. Sono al sicuro contro un guasto e allo stesso tempo forniscono un'affidabilità tale da ridurre al minimo le possibilità che si verifichino due guasti contemporaneamente.

Ridondanza

È evidente che esistono vari metodi con cui un progettista può migliorare l'affidabilità e/o la sicurezza (contro i guasti). Gli esempi precedenti illustrano come una funzione (ovvero, porta chiusa, il motore può funzionare; porta aperta, il motore deve essere arrestato) può essere realizzata con varie soluzioni. Alcuni metodi sono molto semplici (un sottocanale) e altri più complicati (due sottocanali con supervisione reciproca). (Vedi figura 9.)

Figura 9. Affidabilità dei sistemi ridondanti con o senza rilevamento dei guasti

SAF062F9

C'è una certa ridondanza nei circuiti e/o nei componenti complessi rispetto a quelli semplici. Ridondanza può essere definita come segue: (1) La ridondanza è la presenza di più mezzi (componenti, canali, fattori di sicurezza più elevati, test aggiuntivi e così via) di quelli realmente necessari per il semplice adempimento della funzione desiderata; (2) la ridondanza ovviamente non “migliora” la funzione, che comunque viene svolta. La ridondanza migliora solo l'affidabilità e/o la sicurezza.

Alcuni professionisti della sicurezza ritengono che la ridondanza sia solo il raddoppio o il triplo, e così via, del sistema. Si tratta di un'interpretazione molto limitata, poiché la ridondanza può essere interpretata in modo molto più ampio e flessibile. La ridondanza può essere inclusa non solo nell'hardware; potrebbe essere incluso anche nel software. Anche il miglioramento del fattore di sicurezza (ad esempio, una corda più forte invece di una più debole) può essere considerato una forma di ridondanza.

entropia

entropia, un termine che si trova soprattutto in termodinamica e astronomia, può essere definito come segue: Tutto tende al decadimento. Pertanto, è assolutamente certo che tutti i componenti, sottosistemi o sistemi, indipendentemente dalla tecnologia in uso, prima o poi falliranno. Ciò significa che non esistono sistemi, sottosistemi o componenti affidabili e/o sicuri al 100%. Tutti sono semplicemente più o meno affidabili e sicuri, a seconda della complessità della struttura. I fallimenti che inevitabilmente si verificano prima o dopo dimostrano l'azione dell'entropia.

L'unico mezzo a disposizione dei progettisti per contrastare l'entropia è la ridondanza, che si ottiene (a) introducendo maggiore affidabilità nei componenti e (b) fornendo maggiore sicurezza in tutta l'architettura del circuito. Solo aumentando sufficientemente la probabilità che la funzione richiesta venga eseguita per il periodo di tempo richiesto, i progettisti possono in qualche misura difendersi dall'entropia.

Valutazione del rischio

Maggiore è il rischio potenziale, maggiore è l'affidabilità e/o la sicurezza (contro i guasti) richiesta (e viceversa). Ciò è illustrato dai seguenti due casi:

Caso 1

L'accesso allo stampo fissato in una pressa ad iniezione è protetto da una porta. Se la porta è chiusa, la macchina può funzionare, e se la porta è aperta, tutti i movimenti pericolosi devono essere fermati. In nessun caso (nemmeno in caso di guasto del canale di sicurezza) possono verificarsi movimenti, soprattutto quelli che azionano l'utensile.

Caso 2

L'accesso a una linea di assemblaggio a controllo automatico che assembla piccoli componenti in plastica sotto pressione pneumatica è protetto da una porta. Se questa porta viene aperta, la linea dovrà essere interrotta.

Nel caso 1, se il sistema di controllo di supervisione della porta dovesse guastarsi, potrebbe verificarsi un grave infortunio se lo strumento viene chiuso inaspettatamente. Nel caso 2, se il sistema di controllo di supervisione della porta si guasta, possono verificarsi solo lesioni lievi o danni insignificanti.

È ovvio che nel primo caso deve essere introdotta molta più ridondanza per ottenere l'affidabilità e/o la sicurezza (contro i guasti) necessarie per proteggere da rischi estremamente elevati. Infatti, secondo la norma europea EN 201, il sistema di controllo di supervisione della porta della pressa ad iniezione deve avere tre canali; di cui due elettriche e reciprocamente supervisionate e una delle quali in gran parte dotata di circuiti idraulici e di collaudo. Tutte e tre queste funzioni di supervisione si riferiscono alla stessa porta.

Viceversa, in applicazioni come quella descritta nel Caso 2, un solo canale attivato da un interruttore ad azione positiva è adeguato al rischio.

Categorie di controllo

Poiché tutte le considerazioni di cui sopra sono generalmente basate sulla teoria dell'informazione e di conseguenza sono valide per tutte le tecnologie, non importa se il sistema di controllo è basato su componenti elettronici, elettromeccanici, meccanici, idraulici o pneumatici (o una combinazione di essi) , o su qualche altra tecnologia. L'inventiva del progettista da un lato e le questioni economiche dall'altro sono i fattori principali che influenzano un numero quasi infinito di soluzioni su come realizzare canali rilevanti per la sicurezza.

Per evitare confusione, è utile stabilire determinati criteri di ordinamento. Le strutture di canale più tipiche utilizzate nei controlli macchina per l'esecuzione di funzioni relative alla sicurezza sono classificate in base a:

  • problemi di
  • comportamento in caso di fallimento
  • tempo di rivelazione del fallimento.

 

Le loro combinazioni (non sono mostrate tutte le combinazioni possibili) sono illustrate nella tabella 1.

Tabella 1. Alcune possibili combinazioni di strutture circuitali nei controlli macchina per funzioni legate alla sicurezza

Criteri (domande)

Strategia di base

 

Aumentando l'affidabilità (il verificarsi del guasto è spostato in un futuro forse lontano?)

Con un'adeguata struttura del circuito (architettura) il guasto sarà almeno rilevato (Cat. 2) o l'effetto del guasto sul canale sarà eliminato (Cat. 3) o il guasto verrà rivelato immediatamente (Cat. 4)

 

Categorie

 

Questa soluzione è fondamentalmente sbagliata

B

1

2

3

4

I componenti del circuito possono sopportare le influenze previste? sono costruiti secondo lo stato dell'arte?

Non

Si

Si

Si

Si

Si

Sono stati utilizzati componenti e/o metodi ben collaudati?

Non

Non

Si

Si

Si

Si

È possibile rilevare automaticamente un guasto?

Non

Non

Non

Si

Si

Si

Un guasto impedisce l'esecuzione della funzione relativa alla sicurezza?

Si

Si

Si

Si

Non

Non

Quando verrà rilevato il guasto?

Mai

Mai

Mai

Early (più tardi alla fine dell'intervallo che non è più lungo di un ciclo macchina)

Immediatamente (quando il segnale perde dinamica
carattere)

   

Nei prodotti di consumo

Da utilizzare nelle macchine

 

La categoria applicabile a una macchina specifica e al suo sistema di controllo relativo alla sicurezza è per lo più specificata nelle nuove norme europee (EN), a meno che l'autorità nazionale, l'utente e il fabbricante non concordino reciprocamente sull'applicazione di un'altra categoria. Il progettista sviluppa quindi un sistema di controllo che soddisfi i requisiti. Ad esempio, le considerazioni che regolano la progettazione di un canale di controllo possono includere quanto segue:

  • I componenti devono resistere alle influenze previste. (SI NO)
  • La loro costruzione dovrebbe essere conforme agli standard più moderni. (SI NO)
  • Vengono utilizzati componenti e metodi collaudati. (SI NO)
  • Fallimento deve essere rilevato. (SI NO)
  • La funzione di sicurezza verrà eseguita anche in caso di guasto? (SI NO)
  • Quando verrà rilevato il guasto? (MAI, PRESTO, IMMEDIATAMENTE)

 

Questo processo è reversibile. Utilizzando le stesse domande, si può decidere a quale categoria appartiene un canale di controllo esistente, precedentemente sviluppato.

Esempi di categoria

Categoria B

I componenti del canale di controllo utilizzati principalmente nei prodotti di consumo devono resistere alle influenze previste ed essere progettati secondo lo stato dell'arte. Un interruttore ben progettato può servire da esempio.

Categoria 1

L'uso di componenti e metodi collaudati è tipico della Categoria 1. Un esempio di Categoria 1 è un interruttore con azione positiva (ovvero, richiede l'apertura forzata dei contatti). Questo interruttore è progettato con parti robuste ed è attivato da forze relativamente elevate, raggiungendo così un'affidabilità estremamente elevata solo nell'apertura del contatto. Nonostante i contatti incollati o addirittura saldati, questi interruttori si apriranno. (Nota: componenti come transistor e diodi non sono considerati componenti collaudati.) La figura 10 servirà come illustrazione di un controllo di categoria 1.

Figura 10. Un interruttore con azione positiva

SAF62F10

Questo canale utilizza l'interruttore S con azione positiva. Il contattore K è supervisionato dalla spia L. L'operatore viene avvisato che i contatti normalmente aperti (NA) si innestano tramite la spia L. Il contattore K ha i contatti a guida forzata. (Nota: i relè o contattori con guida forzata dei contatti hanno, rispetto ai normali relè o contattori, una gabbia speciale in materiale isolante in modo che se i contatti normalmente chiusi (NC) sono chiusi, tutti i contatti NO devono essere aperti e viceversa viceversa. Ciò significa che utilizzando contatti NC è possibile verificare che i contatti di lavoro non siano incollati o saldati insieme.)

Categoria 2

La categoria 2 prevede il rilevamento automatico dei guasti. Il rilevamento automatico dei guasti deve essere generato prima di ogni movimento pericoloso. Solo se il test è positivo si può eseguire il movimento; in caso contrario la macchina verrà arrestata. I sistemi di rilevamento automatico dei guasti vengono utilizzati per le barriere fotoelettriche per dimostrare che funzionano ancora. Il principio è illustrato nella figura 1.

Figura 11. Circuito che include un rilevatore di guasti

SAF62F11

Questo sistema di controllo viene testato regolarmente (o occasionalmente) iniettando un impulso all'ingresso. In un sistema correttamente funzionante questo impulso verrà quindi trasferito all'uscita e confrontato con un impulso proveniente da un generatore di test. Quando sono presenti entrambi gli impulsi, il sistema ovviamente funziona. Altrimenti, se non c'è impulso in uscita, il sistema è guasto.

Categoria 3

Il circuito è stato precedentemente descritto nell'Esempio 3 nella sezione Sicurezza di questo articolo, figura 8.

Il requisito, ovvero il rilevamento automatico dei guasti e la capacità di eseguire la funzione di sicurezza anche se si è verificato un guasto ovunque, può essere soddisfatto da strutture di controllo a due canali e dalla supervisione reciproca dei due canali.

Solo per i controlli della macchina, i guasti pericolosi devono essere esaminati. Va notato che ci sono due tipi di fallimento:

  • Non pericoloso i guasti sono quelli che, dopo il loro verificarsi, provocano uno “stato sicuro” della macchina provvedendo allo spegnimento del motore.
  • Pericoloso i guasti sono quelli che, dopo il loro verificarsi, provocano uno “stato non sicuro” della macchina, in quanto il motore non può essere spento o il motore inizia a muoversi inaspettatamente.

Categoria 4

La categoria 4 prevede tipicamente l'applicazione di un segnale dinamico, che cambia continuamente sull'ingresso. La presenza di un segnale dinamico sui mezzi di uscita running ("1"), e l'assenza di un segnale dinamico significa Stop ("0").

Per tali circuiti è tipico che dopo il guasto di qualsiasi componente il segnale dinamico non sarà più disponibile sull'uscita. (Nota: il potenziale statico sull'uscita è irrilevante.) Tali circuiti possono essere chiamati "fail-safe". Tutti i guasti verranno comunicati immediatamente, non dopo la prima modifica (come nei circuiti di Categoria 3).

Ulteriori commenti sulle categorie di controllo

La tabella 1 è stata sviluppata per i normali controlli macchina e mostra solo le strutture circuitali di base; secondo la direttiva macchine dovrebbe essere calcolato assumendo che si verifichi un solo guasto in un ciclo macchina. Questo è il motivo per cui la funzione di sicurezza non deve essere eseguita nel caso di due guasti coincidenti. Si presume che un guasto venga rilevato entro un ciclo macchina. La macchina verrà fermata e quindi riparata. Il sistema di controllo quindi si riavvia, completamente operativo, senza guasti.

Il primo intento del progettista dovrebbe essere quello di non consentire guasti "permanenti", che non verrebbero rilevati durante un ciclo in quanto potrebbero successivamente essere combinati con guasti che si verificano di nuovo (accumulo di guasti). Tali combinazioni (un guasto permanente e un nuovo guasto) possono causare un malfunzionamento anche dei circuiti di Categoria 3.

Nonostante queste tattiche, è possibile che due guasti indipendenti si verifichino contemporaneamente all'interno dello stesso ciclo macchina. È solo molto improbabile, soprattutto se sono stati utilizzati componenti altamente affidabili. Per le applicazioni ad altissimo rischio, devono essere utilizzati tre o più sottocanali. Questa filosofia si basa sul fatto che il tempo medio tra guasti è molto più lungo del ciclo macchina.

Ciò non significa, tuttavia, che la tabella non possa essere ulteriormente ampliata. La Tabella 1 è fondamentalmente e strutturalmente molto simile alla Tabella 2 utilizzata nella EN 954-1. Tuttavia, non tenta di includere troppi criteri di ordinamento. I requisiti sono definiti secondo le rigorose leggi della logica, in modo che ci si possano aspettare solo risposte chiare (SI o NO). Ciò consente una valutazione, un ordinamento e una classificazione più precisi dei circuiti sottoposti (canali relativi alla sicurezza) e, ultimo ma non meno importante, un miglioramento significativo della riproducibilità della valutazione.

L'ideale sarebbe classificare i rischi in vari livelli di rischio e quindi stabilire un legame preciso tra livelli e categorie di rischio, il tutto indipendentemente dalla tecnologia in uso. Tuttavia, questo non è del tutto possibile. Subito dopo la creazione delle categorie è diventato chiaro che, anche a parità di tecnologia, a varie domande non veniva data una risposta sufficiente. Cos'è meglio: un componente di Categoria 1 molto affidabile e ben progettato o un sistema che soddisfa i requisiti della Categoria 3 con scarsa affidabilità?

Per spiegare questo dilemma bisogna distinguere tra due qualità: affidabilità e sicurezza (contro i guasti). Non sono paragonabili, poiché entrambe queste qualità hanno caratteristiche diverse:

  • Il componente con la massima affidabilità ha la spiacevole caratteristica che in caso di guasto (anche se altamente improbabile) la funzione cesserà di svolgere.
  • I sistemi di categoria 3, in cui anche in caso di un guasto la funzione verrà eseguita, non sono sicuri contro due guasti contemporaneamente (ciò che può essere importante è se sono stati utilizzati componenti sufficientemente affidabili).

Considerando quanto sopra, potrebbe essere che la soluzione migliore (dal punto di vista dell'alto rischio) sia quella di utilizzare componenti altamente affidabili e configurarli in modo che il circuito sia sicuro contro almeno un guasto (preferibilmente più). È chiaro che una tale soluzione non è la più economica. In pratica, il processo di ottimizzazione è principalmente la conseguenza di tutte queste influenze e considerazioni.

L'esperienza con l'uso pratico delle categorie mostra che raramente è possibile progettare un sistema di controllo che può utilizzare solo una categoria in tutto. La combinazione di due o anche tre parti, ciascuna di una categoria diversa, è tipica, come illustrato nell'esempio seguente:

Molte barriere fotoelettriche di sicurezza sono progettate nella categoria 4, in cui un canale funziona con un segnale dinamico. Alla fine di questo sistema ci sono solitamente due sottocanali supervisionati reciprocamente che lavorano con segnali statici. (Ciò soddisfa i requisiti per la Categoria 3.)

Secondo EN 50100, tali barriere fotoelettriche sono classificate come Dispositivi di protezione elettrosensibili di tipo 4, sebbene siano composti da due parti. Sfortunatamente, non c'è accordo su come denominare i sistemi di controllo costituiti da due o più parti, ciascuna parte di un'altra categoria.

Sistemi elettronici programmabili (PES)

I principi utilizzati per creare la tabella 1 possono, ovviamente con alcune restrizioni, essere generalmente applicati anche ai PES.

Sistema solo PES

Utilizzando i PES per il controllo, le informazioni vengono trasferite dal sensore all'attivatore attraverso un gran numero di componenti. Oltre a ciò, passa anche "attraverso" il software. (Vedi figura 12).

Figura 12. Un circuito del sistema PES

SAF62F14

Sebbene i PES moderni siano molto affidabili, l'affidabilità non è così elevata come potrebbe essere richiesta per l'elaborazione delle funzioni di sicurezza. Oltre a ciò, i normali sistemi PES non sono abbastanza sicuri, poiché non svolgeranno la funzione relativa alla sicurezza in caso di guasto. Pertanto, l'utilizzo di PES per l'elaborazione delle funzioni di sicurezza senza misure aggiuntive non è consentito.

Applicazioni a rischio molto basso: sistemi con un PES e misure aggiuntive

Quando si utilizza un singolo PES per il controllo, il sistema è costituito dalle seguenti parti principali:

Parte di input

L'affidabilità di un sensore e dell'ingresso di un PES può essere migliorata raddoppiandoli. Tale configurazione di input a doppio sistema può essere ulteriormente supervisionata dal software per verificare se entrambi i sottosistemi stanno fornendo le stesse informazioni. In questo modo è possibile rilevare i guasti nella parte di ingresso. Questa è quasi la stessa filosofia richiesta per la Categoria 3. Tuttavia, poiché la supervisione viene eseguita dal software e solo una volta, questa può essere denominata 3- (o non affidabile come 3).

Parte di mezzo

Sebbene questa parte non possa essere ben raddoppiata, può essere testata. All'accensione (o durante il funzionamento) è possibile eseguire un controllo dell'intero set di istruzioni. Con gli stessi intervalli, la memoria può essere controllata anche da opportuni schemi di bit. Se tali controlli vengono condotti senza errori, entrambe le parti, CPU e memoria, funzionano ovviamente correttamente. La parte centrale presenta alcune caratteristiche tipiche della Categoria 4 (segnale dinamico) ed altre tipiche della Categoria 2 (test eseguiti regolarmente ad intervalli adeguati). Il problema è che questi test, nonostante la loro ampiezza, non possono essere veramente completi, in quanto il sistema one-PES intrinsecamente non li consente.

Parte di uscita

Simile a un input, anche l'output (inclusi gli attivatori) può essere raddoppiato. Entrambi i sottosistemi possono essere supervisionati rispetto allo stesso risultato. I guasti verranno rilevati e la funzione di sicurezza verrà eseguita. Tuttavia, ci sono gli stessi punti deboli della parte di input. Di conseguenza, in questo caso viene scelta la categoria 3.

In figura 13 la stessa funzione è riportata ai relè A e B. I contatti di controllo a e b, quindi informa due sistemi di input se entrambi i relè stanno eseguendo lo stesso lavoro (a meno che non si sia verificato un guasto in uno dei canali). La supervisione viene eseguita nuovamente dal software.

Figura 13. Un circuito PES con un sistema di rilevamento dei guasti

SAF62F13

L'intero sistema può essere descritto come Categoria 3-/4/2/3- se fatto correttamente ed estesamente. Tuttavia, i punti deboli di tali sistemi come sopra descritti non possono essere completamente eliminati. Infatti, i PES migliorati sono effettivamente utilizzati per funzioni legate alla sicurezza solo dove i rischi sono piuttosto bassi (Hölscher e Rader 1984).

Applicazioni a basso e medio rischio con un PES

Oggi quasi tutte le macchine sono dotate di un'unità di controllo PES. Per risolvere il problema dell'insufficiente affidabilità e di solito insufficiente sicurezza contro i guasti, vengono comunemente utilizzati i seguenti metodi di progettazione:

  • In macchine relativamente semplici come gli ascensori, le funzioni sono divise in due gruppi: (1) le funzioni che non sono legate alla sicurezza sono elaborate dal PES; (2) le funzioni relative alla sicurezza sono combinate in una catena (circuito di sicurezza) ed elaborate al di fuori del PES (vedere figura 14).

 

Figura 14. Stato dell'arte per la categoria di fermata 0

SAF62F15

  • Il metodo sopra indicato non è adatto a macchine più complesse. Uno dei motivi è che tali soluzioni di solito non sono abbastanza sicure. Per le applicazioni a rischio medio, le soluzioni devono soddisfare i requisiti per la categoria 3. Idee generali su come possono apparire tali progetti sono presentate nella figura 15 e nella figura 16.

 

Figura 15. Stato dell'arte per la categoria di arresto 1

SAF62F16

 

Figura 16. Stato dell'arte per la categoria di fermata 2

SAF62F17

Applicazioni ad alto rischio: sistemi con due (o più) PES

A parte la complessità e il costo, non ci sono altri fattori che impedirebbero ai progettisti di utilizzare sistemi PES completamente raddoppiati come Siemens Simatic S5-115F, 3B6 Typ CAR-MIL e così via. Questi in genere includono due PES identici con software omogeneo e presuppongono l'uso di PES "ben collaudati" e compilatori "ben collaudati" (un PES o un compilatore ben collaudato può essere considerato uno che in molte applicazioni pratiche nell'arco di 3 o più anni ha dimostrato che i fallimenti sistematici sono stati ovviamente eliminati). Sebbene questi sistemi PES raddoppiati non abbiano i punti deboli dei sistemi PES singoli, ciò non significa che i sistemi PES raddoppiati risolvano tutti i problemi. (Vedi figura 17).

Figura 17. Sistema sofisticato con due PES

SAF62F18

Fallimenti sistematici

I guasti sistematici possono derivare da errori nelle specifiche, nella progettazione e da altre cause e possono essere presenti sia nell'hardware che nel software. I sistemi Double-PES sono adatti per l'uso in applicazioni legate alla sicurezza. Tali configurazioni consentono il rilevamento di guasti hardware casuali. Per mezzo della diversità dell'hardware, come l'uso di due tipi diversi o prodotti di due diversi produttori, potrebbero essere rilevati guasti hardware sistematici (è altamente improbabile che si verifichi un guasto sistematico hardware identico in entrambi i PES).

Software

Il software è un nuovo elemento nelle considerazioni sulla sicurezza. Il software è corretto o errato (rispetto ai guasti). Una volta corretto, il software non può diventare immediatamente errato (rispetto all'hardware). Gli obiettivi sono eliminare tutti gli errori nel software o almeno identificarli.

Ci sono vari modi per raggiungere questo obiettivo. Uno è il verifica del programma (una seconda persona tenta di scoprire gli errori in un test successivo). Un'altra possibilità è diversità del software, in cui due diversi programmi, scritti da due programmatori, affrontano lo stesso problema. Se i risultati sono identici (entro certi limiti), si può presumere che entrambe le parti del programma siano corrette. Se i risultati sono diversi, si presume che siano presenti errori. (NB, Il architettura dell'hardware naturalmente deve essere considerato anche.)

In breve

Quando si utilizzano gli SPI, generalmente devono essere prese in considerazione le stesse seguenti considerazioni di base (come descritto nelle sezioni precedenti).

  • Un sistema di controllo senza alcuna ridondanza può essere assegnato alla Categoria B. Un sistema di controllo con misure aggiuntive può essere di Categoria 1 o anche superiore, ma non superiore a 2.
  • Un sistema di controllo in due parti con confronto reciproco dei risultati può essere assegnato alla Categoria 3. Un sistema di controllo in due parti con confronto reciproco dei risultati e maggiore o minore diversità può essere assegnato alla Categoria 3 ed è adatto per applicazioni a rischio più elevato.

Un fattore nuovo è che per il sistema con un PES, anche il software dovrebbe essere valutato dal punto di vista della correttezza. Il software, se corretto, è affidabile al 100%. In questa fase di sviluppo tecnologico, probabilmente non verranno utilizzate le migliori soluzioni tecniche possibili e conosciute, poiché i fattori limitanti sono ancora economici. Inoltre, vari gruppi di esperti continuano a sviluppare gli standard per le applicazioni di sicurezza dei PES (ad es. EC, EWICS). Sebbene esistano già diverse norme (VDE0801, IEC65A e così via), la materia è talmente ampia e complessa che nessuna di esse può essere considerata definitiva.

 

Di ritorno

Leggi 12087 volte Ultima modifica mercoledì 31 agosto 2011 16:05

" DISCLAIMER: L'ILO non si assume alcuna responsabilità per i contenuti presentati su questo portale Web presentati in una lingua diversa dall'inglese, che è la lingua utilizzata per la produzione iniziale e la revisione tra pari del contenuto originale. Alcune statistiche non sono state aggiornate da allora la produzione della 4a edizione dell'Enciclopedia (1998)."

Contenuti

Riferimenti per applicazioni di sicurezza

Arteau, J, A Lan e JF Corveil. 1994. Uso di linee di vita orizzontali nella costruzione di strutture in acciaio. Atti dell'International Fall Protection Symposium, San Diego, California (27–28 ottobre 1994). Toronto: Società internazionale per la protezione anticaduta.

Backström, T. 1996. Rischio di incidenti e protezione della sicurezza nella produzione automatizzata. Tesi di dottorato. Arbete och Halsa 1996:7. Solna: Istituto nazionale per la vita lavorativa.

Backström, T e L Harms-Ringdahl. 1984. Uno studio statistico sui sistemi di controllo e sugli infortuni sul lavoro. J Occupa acc. 6:201–210.

Backström, T e M Döös. 1994. Difetti tecnici alla base degli incidenti nella produzione automatizzata. In Advances in Agile Manufacturing, a cura di PT Kidd e W Karwowski. Amsterdam: stampa IOS.

—. 1995. Un confronto degli infortuni sul lavoro nelle industrie con la tecnologia di produzione avanzata. Int J Hum Factors Manufac. 5(3). 267–282.

—. In stampa. La genesi tecnica dei guasti alle macchine che portano agli infortuni sul lavoro. Int J Ind Ergonomia.

—. Accettato per la pubblicazione. Frequenze assolute e relative di incidenti di automazione in diversi tipi di apparecchiature e per diversi gruppi professionali. Ris. J Saf.

Bainbridge, L. 1983. Ironie dell'automazione. Automatica 19:775–779.

Bell, ricerca e sviluppo Reinert. 1992. Concetti di rischio e integrità del sistema per i sistemi di controllo relativi alla sicurezza. Saf Sci 15:283–308.

Bouchard, P. 1991. Échafaudages. Guida serie 4. Montreal: CSST.

Ufficio per gli affari nazionali. 1975. Standard di salute e sicurezza sul lavoro. Strutture di protezione antiribaltamento per attrezzature per la movimentazione di materiali e trattori, sezioni 1926, 1928. Washington, DC: Bureau of National Affairs.

Corbett, JM. 1988. Ergonomia nello sviluppo dell'AMT incentrato sull'uomo. Ergonomia applicata 19:35–39.

Culver, C e C Connolly. 1994. Prevenire le cadute mortali nella costruzione. Saf Salute settembre 1994: 72-75.

Deutsche Industrie Normen (DIN). 1990. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben. DIN V VDE 0801. Berlino: Beuth Verlag.

—. 1994. Grundsätze für Rechner in Systemen mit Sicherheitsauffgaben Änderung A 1. DIN V VDE 0801/A1. Berlino: Beuth Verlag.

—. 1995a. Sicherheit von Maschinen—Druckempfindliche Schutzeinrichtungen [Sicurezza del macchinario—Dispositivi di protezione sensibili alla pressione]. DIN prEN 1760. Berlino: Beuth Verlag.

—. 1995 b. Rangier-Warneinrichtungen—Anforderungen und Prüfung [Veicoli commerciali—rilevamento ostacoli durante la retromarcia—requisiti e test]. Norma DIN 75031. Febbraio 1995.

Döös, M e T Backström. 1993. Descrizione degli incidenti nella movimentazione automatizzata dei materiali. In Ergonomics of Materials Handling and Information Processing at Work, a cura di WS Marras, W Karwowski, JL Smith e L Pacholski. Varsavia: Taylor e Francis.

—. 1994. I disturbi della produzione come rischio infortunistico. In Advances in Agile Manufacturing, a cura di PT Kidd e W Karwowski. Amsterdam: stampa IOS.

Comunità Economica Europea (CEE). 1974, 1977, 1979, 1982, 1987. Direttive del Consiglio relative alle strutture di protezione in caso di capovolgimento dei trattori agricoli e forestali a ruote. Bruxelles: CEE.

—. 1991. Direttiva del Consiglio sul ravvicinamento delle legislazioni degli Stati membri relative alle macchine. (91/368/CEE) Lussemburgo: CEE.

Etherton, JR e ML Myers. 1990. Ricerca sulla sicurezza delle macchine al NIOSH e direzioni future. Int J Ind Erg 6:163–174.

Freund, E, F Dierks e J Rossmann. 1993. Unterschungen zum Arbeitsschutz bei Mobilen Rototern und Mehrrobotersystemen [Test di sicurezza sul lavoro di robot mobili e sistemi di robot multipli]. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Goble, W. 1992. Valutazione dell'affidabilità del sistema di controllo. New York: Società degli strumenti d'America.

Goodstein, LP, HB Anderson e SE Olsen (a cura di). 1988. Compiti, errori e modelli mentali. Londra: Taylor e Francesco.

Gryfe, CI. 1988. Cause e prevenzione delle cadute. Al Simposio Internazionale sulla Protezione Anticaduta. Orlando: Società internazionale per la protezione anticaduta.

Dirigente per la salute e la sicurezza. 1989. Statistiche sulla salute e sulla sicurezza 1986–87. Impiegare Gaz 97(2).

Heinrich, HW, D Peterson e N Roos. 1980. Prevenzione degli infortuni sul lavoro. 5a ed. New York: McGraw Hill.

Hollnagel, E e D Woods. 1983. Ingegneria dei sistemi cognitivi: vino nuovo in bottiglie nuove. Int J Uomo Macchina Stud 18:583–600.

Hölscher, H e J Rader. 1984. Microcomputer in der Sicherheitstechnik. Renania: Verlag TgV-Reinland.

Hörte, S-Å e P Lindberg. 1989. Diffusione e implementazione di tecnologie di produzione avanzate in Svezia. Documento di lavoro n. 198:16. Istituto di Innovazione e Tecnologia.

Commissione elettrotecnica internazionale (IEC). 1992. 122 Progetto di norma: software per computer nell'applicazione di sistemi relativi alla sicurezza industriale. CEI 65 (Sec). Ginevra: CEI.

—. 1993. 123 Progetto di norma: sicurezza funzionale dei sistemi elettrici/elettronici/programmabili; Aspetti generici. Parte 1, Requisiti generali Ginevra: IEC.

Organizzazione Internazionale del Lavoro (ILO). 1965. Sicurezza e salute nel lavoro agricolo. Ginevra: OIL.

—. 1969. Sicurezza e salute nel lavoro forestale. Ginevra: OIL.

—. 1976. Costruzione e funzionamento sicuri dei trattori. Un codice di condotta dell'ILO. Ginevra: OIL.

Organizzazione internazionale per la standardizzazione (ISO). 1981. Trattori Gommati Agricoli e Forestali. Strutture Protettive. Metodo di prova statica e condizioni di accettazione. ISO 5700. Ginevra: ISO.

—. 1990. Standard di gestione della qualità e garanzia della qualità: linee guida per l'applicazione della norma ISO 9001 allo sviluppo, fornitura e manutenzione del software. ISO 9000-3. Ginevra: ISO.

—. 1991. Sistemi di automazione industriale - Sicurezza dei sistemi di produzione integrati - Requisiti di base (CD 11161). TC 184/WG 4. Ginevra: ISO.

—. 1994. Veicoli commerciali—Dispositivo di rilevamento degli ostacoli durante la retromarcia—Requisiti e test. Rapporto tecnico TR 12155. Ginevra: ISO.

Johnson, B. 1989. Progettazione e analisi di sistemi digitali a tolleranza d'errore. New York: Addison Wesley.

Kidd, P. 1994. Produzione automatizzata basata sulle competenze. In Organizzazione e gestione dei sistemi di produzione avanzati, a cura di W Karwowski e G Salvendy. New York: Wiley.

Knowlton, R.E. 1986. Un'introduzione agli studi sui rischi e sull'operabilità: l'approccio alla parola guida. Vancouver, BC: Chimica.

Kuivanen, R. 1990. L'impatto sulla sicurezza dei disturbi nei sistemi di produzione flessibili. In Ergonomics of Hybrid Automated Systems II, a cura di W Karwowski e M Rahimi. Amsterdam: Elsevier.

Laeser, RP, WI McLaughlin e DM Wolff. 1987. Fernsteurerung und Fehlerkontrolle von Voyager 2. Spektrum der Wissenshaft (1):S. 60–70.

Lan, A, J Arteau e JF Corbeil. 1994. Protezione contro le cadute da cartelloni pubblicitari fuori terra. Simposio internazionale sulla protezione anticaduta, San Diego, California, 27–28 ottobre 1994. Atti Società internazionale per la protezione anticaduta.

Langer, HJ e W Kurfürst. 1985. Einsatz von Sensoren zur Absicherung des Rückraumes von Großfahrzeugen [Utilizzo di sensori per proteggere l'area dietro veicoli di grandi dimensioni]. FB 605. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Levenson, NG. 1986. Sicurezza del software: perché, cosa e come. ACM Computer Surveys (2):S. 129–163.

Mc Manus, Tennessee. Nd Spazi Confinati. Manoscritto.

Microsonic GmbH. 1996. Comunicazione aziendale. Dortmund, Germania: Microsonic.

Mester, U, T Herwig, G Dönges, B Brodbeck, HD Bredow, M Behrens e U Ahrens. 1980. Gefahrenschutz durch passive Infrarot-Sensoren (II) [Protezione contro i pericoli mediante sensori a infrarossi]. FB 243. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Mohan, D e R Patel. 1992. Progettazione di attrezzature agricole più sicure: applicazione dell'ergonomia e dell'epidemiologia. Int J Ind Erg 10:301–310.

Associazione nazionale per la protezione antincendio (NFPA). 1993. NFPA 306: Controllo dei rischi di gas sulle navi. Quincy, Massachusetts: NFPA.

Istituto nazionale per la sicurezza e la salute sul lavoro (NIOSH). 1994. Morti dei lavoratori in spazi ristretti. Cincinnati, Ohio, USA: DHHS/PHS/CDCP/NIOSH Pub. N. 94-103. NIOSH.

Neumann, PG. 1987. I N migliori (o peggiori) casi di rischio informatico. Sistema IEEE T Man Cyb. New York: S.11–13.

—. 1994. Rischi illustrativi per il pubblico nell'uso di sistemi informatici e tecnologie correlate. Software Engin Note SIGSOFT 19, No. 1:16–29.

Amministrazione per la sicurezza e la salute sul lavoro (OSHA). 1988. Decessi sul lavoro selezionati relativi a saldatura e taglio come trovati nei rapporti di indagini su incidenti mortali / catastrofe dell'OSHA. Washington, DC: OSHA.

Organizzazione per la cooperazione e lo sviluppo economico (OCSE). 1987. Codici standard per il collaudo ufficiale dei trattori agricoli. Parigi: OCSE.

Organisme Professionel de Prévention du bâtiment et des travaux publics (OPPBTP). 1984. Les équipements individuels de protection contro les chutes de hauteur. Boulogne-Bilancourt, Francia: OPPBTP.

Rasmussen, J. 1983. Abilità, regole e conoscenza: agenda, segni e simboli e altre distinzioni nei modelli di performance umana. Transazioni IEEE su sistemi, uomo e cibernetica. SMC13(3): 257–266.

Motivo, J. 1990. Errore umano. New York: Pressa dell'Università di Cambridge.

Reese, CD e GR Mills. 1986. Epidemiologia del trauma delle vittime di spazi confinati e la sua applicazione all'intervento/prevenzione ora. In La natura mutevole del lavoro e della forza lavoro. Cincinnati, Ohio: NIOSH.

Reinert, D e G Reuss. 1991. Sicherheitstechnische Beurteilung und Prüfung mikroprozessorgesteuerter
Sicherheitseinrichtungen. In BIA Handbuch. Sicherheitstechnisches Informations- und Arbeitsblatt 310222. Bielefeld: Erich Schmidt Verlag.

Società degli ingegneri automobilistici (SAE). 1974. Protezione dell'operatore per attrezzature industriali. Norma SAE j1042. Warrendale, Stati Uniti: SAE.

—. 1975. Criteri di prestazione per la protezione dal ribaltamento. Pratica raccomandata SAE. Norma SAE j1040a. Warrendale, Stati Uniti: SAE.

Schreiber, P. 1990. Entwicklungsstand bei Rückraumwarneinrichtungen [Stato di sviluppo dei dispositivi di segnalazione della zona posteriore]. Technische Überwachung, n. 4, aprile, S. 161.

Schreiber, P e K Kuhn. 1995. Informationstechnologie in der Fertigungstechnik [Tecnologia dell'informazione nella tecnica di produzione, serie dell'Istituto federale per la sicurezza e la salute sul lavoro]. FB 717. Dortmund: Schriftenreihe der Bundesanstalt für Arbeitsschutz.

Sheridan, T. 1987. Controllo di supervisione. In Handbook of Human Factors, a cura di G. Salvendy. New York: Wiley.

Springfeldt, B. 1993. Effetti delle norme e misure di sicurezza sul lavoro con particolare riguardo agli infortuni. Vantaggi delle soluzioni funzionanti automaticamente. Stoccolma: The Royal Institute of Technology, Department of Work Science.

Sugimoto, N. 1987. Soggetti e problemi della tecnologia della sicurezza dei robot. In Sicurezza e salute sul lavoro nell'automazione e nella robotica, a cura di K Noto. Londra: Taylor e Francesco. 175.

Sulowski, AC (a cura di). 1991. Fondamenti di protezione anticaduta. Toronto, Canada: Società internazionale per la protezione anticaduta.

Wehner, T. 1992. Sicherheit als Fehlerfreundlichkeit. Opladen: Westdeutscher Verlag.

Zimolong, B e L Duda. 1992. Strategie di riduzione dell'errore umano nei sistemi di produzione avanzati. In Human-robot Interaction, a cura di M Rahimi e W Karwowski. Londra: Taylor e Francesco.