Progettazione dei componenti per soddisfare gli standard di sicurezza funzionale

La sicurezza è una priorità assoluta nelle applicazioni industriali per proteggere i dipendenti e le attrezzature da lesioni e danni. Le operazioni di saldatura, taglio e pressatura, gli assi ad alta velocità e quelli che manipolano pezzi o sostanze pericolose rappresentano il pericolo maggiore. Negli Stati Uniti, gli operatori degli impianti devono soddisfare le normative OSHA (Occupational Safety and Health Administration) e predisporre attrezzature sicure, procedure operative e protocolli di formazione documentati. Questi sistemi dovrebbero essere integrati da analisi specifiche per l'impianto, al fine di individuare metodi pragmatici per migliorare il benessere dei lavoratori e la longevità delle attrezzature. Inoltre, le macchine automatizzate devono soddisfare i requisiti di sicurezza funzionale attraverso azioni o correzioni automatiche in caso di condizioni o guasti potenzialmente o sicuramente pericolosi.

Figura 1: Le torrette luminose oggi utilizzano i LED per garantire efficienza e visibilità. Alcuni aumentano la sicurezza con cicalini integrati che emettono un allarme a 100 dB in caso di violazione della sicurezza. (Immagine per gentile concessione di Menics)

I sistemi di sicurezza funzionale comprendono elettronica sotto forma di sensori, I/O, controlli, interruttori, componenti elettromeccanici, componenti fluidodinamici e software che rilevano le condizioni di pericolo e modificano lo stato della macchina per evitare l'insorgere di situazioni pericolose. Nata nell'Unione Europea, oggi la progettazione e le normative sulla sicurezza funzionale si applicano ai fornitori, ai costruttori di macchine e agli utenti finali in tutto il mondo. La norma europea armonizzata (EN) e lo standard stabilito da IEC (International Electrotechnical Commission) EN/IEC 62061 - elencati nella Direttiva Macchine 2006/42/CE - e lo standard ISO (International Organization for Standardization) EN/ISO 13849-1 sono i più applicati.

Le norme ISO 13849-1 e IEC 62061 possono fare riferimento incrociato reciproco e gli OEM e gli utenti finali sono liberi di utilizzare l'una o l'altra. L'unica avvertenza è che la sicurezza funzionale si riferisce alle macchine e ai controlli e non ai dispositivi o ai componenti... anche se questi ultimi possono offrire funzionalità che supportano il rispetto di un determinato grado di sicurezza.

La norma EN/IEC 62061 dettaglia i requisiti e le raccomandazioni sui livelli di integrità della sicurezza per la progettazione, l'integrazione e la convalida di SREC installati in modo permanente (non portatili) su macchine o impianti, costituiti da controlli elettrici, elettronici e programmabili legati alla sicurezza. I livelli di integrità della sicurezza (SIL) della norma EN/IEC 62061 classificano la sicurezza funzionale di un sistema da 1 (il più basilare) a 4 (il più integrato e sofisticato), con SIL3 il più alto possibile per le macchine. I rischi che determinano il SIL richiesto includono la regolarità dell'esposizione al rischio, la gravità della potenziale lesione, la probabilità di incidenza e la probabilità che le manovre evasive dell'operatore della macchina possano contribuire a evitare il pericolo.

Tabella 1: I livelli SIL richiesti dipendono dalla gravità delle lesioni in caso di una determinata condizione non sicura e dalla probabilità che tale condizione si verifichi. (Tabella per gentile concessione di IEC)

La norma EN/ISO 13849-1:2005, invece, dettaglia i requisiti e le raccomandazioni basati sulle SRP/CS - componenti dei sistemi di controllo legati alla sicurezza. I livelli di prestazione SRP/CS consentono di quantificare le capacità di sicurezza della macchina, indipendentemente dai componenti secondari. Lo standard impiega i ben noti livelli di prestazione (PL) della sicurezza funzionale, che vanno da "a" (il più basilare) a "e" (il più integrato e sofisticato). I rischi che determinano i PL richiesti includono quelli applicabili ai SIL, nonché le frequenze e le durate di esposizione ripetuta al pericolo della macchina. Inoltre, una valutazione PL completa comprende un numero di categoria (per indicare l'architettura complessiva del sistema) e il tempo medio fino al guasto pericoloso o MTTFd.

Figura 2: Il livello di sicurezza funzionale appropriato per una determinata installazione dipende da variabili qualitative, valori quantitativi e risultati dell'analisi software. (Immagine per gentile concessione di Design World)

Il rispetto delle norme IEC 61508 e IEC 62061 comporta la verifica dei controlli di sicurezza (e la convalida delle modalità della macchina, dei criteri di stato e delle correzioni) per confermare la classificazione di sicurezza funzionale della macchina. Le norme EN ISO 13849-1 e 2 richiedono inoltre prove documentate (statiche e dinamiche) per confermare la perfetta integrazione del controllo di sicurezza.

Componenti di sicurezza attivati dall'operatore

Molti componenti di sicurezza sono progettati per ricevere un input dal personale dell'impianto e non attraverso una sezione o un asse intermedio di una macchina o di una protezione. Questi includono tappetini di sicurezza tattili, barriere fotoelettriche, console e interfacce uomo-macchina (HMI), lucchetti tattili dei macchinari e (solo per le emergenze) pulsanti di arresto a fungo rosso. I componenti di sicurezza rivolti al personale comprendono anche involucri (che proteggono i componenti alloggiati secondo le classificazioni NEMA), nonché le schermature delle macchine e le canaline - elementi di sicurezza semplici ma affidabili per proteggere il personale che deve lavorare in prossimità (e talvolta all'interno) delle macchine e dei loro pannelli di alimentazione e controllo.

Gli interruttori a fune che circondano le sezioni pericolose della macchina consentono agli operatori di attivare gli arresti di emergenza con un rapido strattone. Particolarmente diffusi in prossimità di macchine aperte (impossibili da proteggere) e di nastri trasportatori non protetti, questi elementi di sicurezza si differenziano dai sezionatori che rimuovono la tensione dai circuiti e proteggono le celle di lavoro pericolose per tenere lontano il personale. Altre soluzioni includono bordi (strisce) di sicurezza installate attorno alle aperture delle macchine utensili (in particolare quelle che eseguono operazioni di taglio o pressatura) e tappetini di sicurezza da pavimento che - tramite relè di sicurezza specializzati - attivano le risposte di sicurezza al rilevamento di un operatore che calpesta o sosta in piedi sulla superficie.

Un po' più sofisticate sono le già citate barriere fotoelettriche. Queste includono un emettitore di raggi fotoelettrici che, se vengono interrotti sul piano di rilevamento durante il tragitto verso un ricevitore, arrestano rapidamente i processi pericolosi. Sono più costose di altre opzioni, ma sono giustificate quando gli operatori interagiscono spesso con una sezione della macchina. Un altro sofisticato componente di sicurezza è la consolle di sicurezza a due mani. In genere richiede l'attivazione simultanea di interruttori separati per avviare o mantenere in funzione della macchina.

Prima di fidarsi che proteggano il personale e le apparecchiature dell'impianto, tutti i componenti di sicurezza attivati dall'operatore (e la logica di sicurezza o i controlli in cui si integrano) devono essere verificati. Ad esempio, le norme di prova IEC 61508 e IEC 62061 richiedono che un interruttore di arresto di emergenza che utilizza relè ridondanti funzioni se un operatore fa scattare il primo canale tra la logica e i dispositivi di campo... e che funzioni anche sul secondo canale tra di essi. Tali funzioni di arresto di emergenza ridondanti vengono convalidate separatamente durante la messa in funzione della macchina.

Interruttori di sicurezza automatici, sensori e protezioni

Figura 3: Gli scanner laser sono un tipo di componente di sicurezza senza contatto, noto soprattutto per aiutare gli AGV a navigare nelle strutture. Tuttavia, le loro applicazioni sono numerose e talvolta possono rappresentare un'alternativa alle tende luminose. (Immagine per gentile concessione di IDEC)

Oltre ai componenti di sicurezza attivati dal personale, vi sono quelli per le funzioni automatiche delle macchine.

Blocchi incorporati con fermi e interruttori

Interruttori e interblocchi sono elementi essenziali sui perimetri esterni delle celle di lavoro delle macchine. Gli interruttori di finecorsa di sicurezza hanno contatti che servono a verificare automaticamente le posizioni o i movimenti degli elementi della macchina. Invece, gli interruttori di sicurezza con funzioni più sofisticate, detti interblocchi di sicurezza, utilizzano meccanismi di interblocco a linguetta o a cerniera come protezioni anti-manomissione della macchina, con contatti a commutazione a comando positivo (a doppia verifica NA e NC). Gli interruttori di interblocco con chiave prigioniera, le chiavi meccaniche e le serrature tengono chiuse le porte degli spazi di lavoro delle macchine finché l'accesso non è sicuro. Sempre più diffusi sono però gli interruttori di sicurezza magnetici e RFID senza contatto che monitorano la posizione (aperta o chiusa) delle porte di una zona di lavoro e impediscono l'accesso dell'operatore durante i processi pericolosi.

Sicurezza incorporata con interruttori di circuito e sezionatori elettrici

I componenti di sicurezza attivati dallo stato della macchina comprendono anche quelli che garantiscono la sicurezza elettrica. Gli interruttori di circuito (come i fusibili) proteggono dagli effetti dannosi e pericolosi delle correnti di sovraccarico sui circuiti di rete, di derivazione e di segnale. Alcune installazioni includono isolatori per la separazione galvanica tra i dispositivi di campo e i controlli per garantire il funzionamento a sicurezza intrinseca. Tutti i progetti per la sicurezza elettrica sono completati da componenti di protezione contro le sovratensioni che impediscono ai picchi di tensione di danneggiare i componenti elettrici ed elettronici dell'automazione coinvolti nell'alimentazione della rete e degli azionamenti e/o nella distribuzione dei segnali di retroazione e di controllo.

Sicurezza meccanica incorporata con freni

I freni che si qualificano come freni di sicurezza sono anche chiamati freni a prova di guasto o a sicurezza intrinseca. Questi si impostano su uno stato di arresto (in genere per bloccare o trattenere un asse di movimento) anche se l'alimentazione elettrica o fluida viene a mancare o viene rimossa. Tutti si basano su un'azione meccanica a molla o di altro tipo per questo funzionamento a prova di guasto.

Un esempio su tutti: i freni a frizione a molla con rilascio pneumatico servono spesso come freni di sicurezza nelle applicazioni di automazione azionate da servomotori. Tutti devono avere una valutazione che certifichi la conformità alla norma ISO 13849-1, in genere rilasciata dall'organizzazione internazionale di test sui prodotti Intertek Group. Grazie al loro bloccaggio meccanico, non consumano energia elettrica durante l'arresto, il che garantisce la massima affidabilità per le prestazioni di sicurezza ed evita il surriscaldamento associato ad altre modalità di arresto basate sull'elettricità. La durata è valutata in milioni di cicli prima che si verifichi un guasto per cause comuni (prevedibili) in una percentuale di tutti i componenti della serie. Laddove la funzionalità IIoT è utile, per monitorare lo stato operativo i freni a sicurezza intrinseca possono anche includere la diagnostica e la retroazione dei sensori.

I freni con i più alti indici di sicurezza funzionale incorporano molle che bloccano meccanicamente gli assi della macchina tramite superfici di attrito che interagiscono con elementi fissi all'interno dell'alloggiamento del freno. Gli standard di sicurezza richiedono anche l'inclusione di sensori per confermare lo stato dei freni.

Relè di sicurezza e altri controlli di sicurezza

Figura 4: Le apparecchiature semplici che necessitano di una pochi I/O di sicurezza possono utilizzare in modo economico i relè di sicurezza elettromeccanici come questo in esempio. (Immagine per gentile concessione di Omron Automation and Safety)

Le funzioni di interruttori, sensori e protezioni di sicurezza sono supportate da relè di sicurezza e altri controlli. Tutti hanno in comune la capacità, se necessario, di portare la macchina in uno stato di sicurezza attraverso la rimozione dell'energia elettrica o del fluido oppure di rallentare o bloccare una macchina ancora alimentata in una condizione di sicurezza.

Relè per la sicurezza cablata

Un'opzione per il controllo di sicurezza è rappresentata dai moduli relè di sicurezza. Questi impiegano componenti elettronici con protezione dai cortocircuiti e dalle sovratensioni e relè complementari. I relè elettromeccanici cablati sono utilizzati da decenni; si collegano semplicemente ai controlli automatizzati e, in combinazione con l'arresto di emergenza o le barriere fotoelettriche, scollegano elettricamente le sottosezioni della macchina all'occorrenza. Gli svantaggi includono la necessità di un cablaggio esteso in loco e la mancanza di riconfigurazione. I relè di sicurezza più avanzati presentano I/O e un design modulare per facilitare l'integrazione flessibile con sensori, controlli macchina e reti di automazione.

Controller per la sicurezza programmabile

Un'altra opzione per la sicurezza che si qualifica a prova di guasto è l'integrazione di controller di sicurezza dedicati. I controller di questo tipo sono più adatti dei relè per i sistemi di automazione complessi, in quanto possono servire array di I/O più grandi e funzioni PLC. L'unica avvertenza è che questi controller di sicurezza autonomi richiedono una programmazione aggiuntiva e la formazione del personale. Tuttavia, la loro elettronica digitale offre funzioni di automazione completamente configurabili tramite software.

Figura 5: I controller di sicurezza possono unificare più funzioni di sicurezza per installazioni di sicurezza flessibili e riconfigurabili. Nella cella di lavoro qui illustrata, il primo circuito di sicurezza comprende una barriera fotoelettrica che, segnalando uno stato di interruzione, apre un interruttore di circuito per arrestare la piattaforma girevole. Il secondo circuito di sicurezza integra controlli che consentono al robot di funzionare normalmente se un pezzo entra nella cella di lavoro quando la piattaforma girevole è ferma. Altrimenti, questo circuito apre un interruttore per disattivare il robot. Il terzo circuito di sicurezza comprende un arresto di emergenza che apre tutti gli interruttori e arresta la piattaforma girevole e il robot. (Immagine per gentile concessione di Panasonic Industrial Automation Sales)

I tecnici possono definire le zone che necessitano di copertura di sicurezza e modificarne le impostazioni senza dover ricablare l'intera cella di lavoro. (Questo a sua volta riduce i costi di cablaggio e di manodopera.) Di solito, le installazioni basate su controller di sicurezza supportano anche l'espansione della rete e la connettività IIoT in base all'evoluzione delle operazioni.

Sicurezza integrata sui controlli industriali di sicurezza

Una terza opzione per il controllo di sicurezza a sicurezza intrinseca, sempre più comune nei macchinari sofisticati, è rappresentata dai PLC di sicurezza integrati, dai controller di automazione programmabili (PAC) e da altri controlli basati su PC. Alcuni di questi componenti elettronici possono assumere funzioni di sicurezza oltre alle funzioni quotidiane della macchina. Il risultato è un controllo programmabile e quindi flessibile sia delle apparecchiature automatiche sia delle funzioni di sicurezza richieste dal loro funzionamento.

Conclusione

Una sicurezza sufficiente della macchina si basa su componenti di retroazione e di controllo in grado di fornire protezioni commisurate ai rischi di una determinata applicazione. La sicurezza delle macchine richiede anche un'adeguata integrazione, documentazione e convalida dei componenti. Quest'ultimo aspetto garantisce il corretto funzionamento dei circuiti di sicurezza per tutte le modalità di funzionamento della macchina, anche in caso di guasti.

Le norme IEC 61508 e 62061 sul ciclo di vita della sicurezza definiscono le modalità di corretta esecuzione dell'integrazione della sicurezza, dalla valutazione iniziale del rischio e dalla progettazione alla verifica reale delle prestazioni di un sistema installato da parte dell'OEM e da parte o per l'utente finale una volta installata la macchina. Quest'ultimo mette le macchine "alla prova" con test delle normali sequenze di funzionamento, rallentamenti, arresti e routine di ripristino.