tecnica di manovra industriale - siemens global website · manuale applicativo tecnica di manovra...

Manuale applicativo

Tecnica di manovra industrialeSIRIUS Safety Integrated

10/2013Edizione

Answers for industry.

Safety Integrated Application Manual

___________________

___________________

___________________

___________________

___________ ___________________

Tecnica di manovra industriale

SIRIUS Safety Integrated Application Manual

Manuale applicativo

10/2013 A5E33346617001A/RS-AA/001

Introduzione 1

Tecnica di sicurezza - Generalità

2

Esempi applicativi 3

Prescrizioni e norme 4

Specifica e design di sistemi di comando per macchine rilevanti per la sicurezza

5

Service & Support 6

Siemens AG Industry Sector Postfach 48 48 90026 NÜRNBERG GERMANIA

3ZX1012-0SK11-1AF1 Ⓟ 10/2013 Con riserva di eventuali modifiche tecniche

Copyright © Siemens AG 2013. Tutti i diritti riservati

Avvertenze di legge Concetto di segnaletica di avvertimento

Questo manuale contiene delle norme di sicurezza che devono essere rispettate per salvaguardare l'incolumità personale e per evitare danni materiali. Le indicazioni da rispettare per garantire la sicurezza personale sono evidenziate da un simbolo a forma di triangolo mentre quelle per evitare danni materiali non sono precedute dal triangolo. Gli avvisi di pericolo sono rappresentati come segue e segnalano in ordine descrescente i diversi livelli di rischio.

PERICOLO questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi lesioni fisiche.

AVVERTENZA

il simbolo indica che la mancata osservanza delle relative misure di sicurezza può causare la morte o gravi lesioni fisiche.

CAUTELA indica che la mancata osservanza delle relative misure di sicurezza può causare lesioni fisiche non gravi.

ATTENZIONE indica che la mancata osservanza delle relative misure di sicurezza può causare danni materiali.

Nel caso in cui ci siano più livelli di rischio l'avviso di pericolo segnala sempre quello più elevato. Se in un avviso di pericolo si richiama l'attenzione con il triangolo sul rischio di lesioni alle persone, può anche essere contemporaneamente segnalato il rischio di possibili danni materiali.

Personale qualificato Il prodotto/sistema oggetto di questa documentazione può essere adoperato solo da personale qualificato per il rispettivo compito assegnato nel rispetto della documentazione relativa al compito, specialmente delle avvertenze di sicurezza e delle precauzioni in essa contenute. Il personale qualificato, in virtù della sua formazione ed esperienza, è in grado di riconoscere i rischi legati all'impiego di questi prodotti/sistemi e di evitare possibili pericoli.

Uso conforme alle prescrizioni di prodotti Siemens Si prega di tener presente quanto segue:

AVVERTENZA I prodotti Siemens devono essere utilizzati solo per i casi d’impiego previsti nel catalogo e nella rispettiva documentazione tecnica. Qualora vengano impiegati prodotti o componenti di terzi, questi devono essere consigliati oppure approvati da Siemens. Il funzionamento corretto e sicuro dei prodotti presuppone un trasporto, un magazzinaggio, un’installazione, un montaggio, una messa in servizio, un utilizzo e una manutenzione appropriati e a regola d’arte. Devono essere rispettate le condizioni ambientali consentite. Devono essere osservate le avvertenze contenute nella rispettiva documentazione.

Marchio di prodotto Tutti i nomi di prodotto contrassegnati con ® sono marchi registrati della Siemens AG. Gli altri nomi di prodotto citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi può violare i diritti dei proprietari.

Esclusione di responsabilità Abbiamo controllato che il contenuto di questa documentazione corrisponda all'hardware e al software descritti. Non potendo comunque escludere eventuali differenze, non possiamo garantire una concordanza perfetta. Il contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche vengono inserite nelle successive edizioni.

Safety Integrated Application Manual Manuale applicativo, 10/2013, A5E33346617001A/RS-AA/001 5

Indice del contenuto

1 Introduzione.................................................................................................................... 9

2 Tecnica di sicurezza - Generalità........................................................................................ 11

2.1 Generalità .......................................................................................................................... 11

2.2 Concetti di base ................................................................................................................. 16

3 Esempi applicativi .......................................................................................................... 21

3.1 Introduzione ....................................................................................................................... 21

3.2 Arresto in caso di emergenza .............................................................................................. 24 3.2.1 Introduzione ....................................................................................................................... 24 3.2.2 Disinserzione di arresto di emergenza fino a SIL 1 o PL c con un dispositivo di sicurezza ....... 26 3.2.3 Disinserzione di arresto di emergenza fino a SIL 1 o PL c con un sistema di sicurezza

modulare ........................................................................................................................... 28 3.2.4 Disinserzione di arresto di emergenza fino a SIL 3 o PL e con un dispositivo di sicurezza ....... 30 3.2.5 Disinserzione di arresto di emergenza fino a SIL 3 o PL e con un sistema di sicurezza

modulare ........................................................................................................................... 32 3.2.6 Disinserzione di arresto di emergenza tramite AS-i fino a SIL 3 o PL e con un sistema di

sicurezza modulare ............................................................................................................ 34 3.2.7 Ulteriori esempi applicativi e FAQ ........................................................................................ 36

3.3 Sorveglianza di porta/riparo di protezione ............................................................................ 37 3.3.1 Introduzione ....................................................................................................................... 37 3.3.2 Sorveglianza di porta/riparo di protezione fino a SIL 1 o PL c con un dispositivo di

sicurezza ........................................................................................................................... 44 3.3.3 Sorveglianza di porta/riparo di protezione fino a SIL 1 o PL c con un sistema di sicurezza

modulare ........................................................................................................................... 46 3.3.4 Sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un dispositivo di

sicurezza ........................................................................................................................... 48 3.3.5 Sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un sistema di sicurezza

modulare ........................................................................................................................... 50 3.3.6 Sorveglianza di porta/riparo di protezione tramite AS-i fino a SIL 3 o PL e con un sistema

di sicurezza modulare......................................................................................................... 52 3.3.7 Sorveglianza di porta/riparo di protezione mediante interruttore RFID fino a SIL 3 o PL e

con un dispositivo di sicurezza ............................................................................................ 54 3.3.8 Sorveglianza di porta/riparo di protezione mediante interruttore RFID fino a SIL 3 o PL e

con un sistema di sicurezza modulare ................................................................................. 56 3.3.9 Sorveglianza di porta/riparo di protezione con blocco di ritenuta fino a SIL 2 o PL d

mediante un dispositivo di sicurezza .................................................................................... 58 3.3.10 Sorveglianza di porta/riparo di protezione con blocco di ritenuta fino a SIL 2 o PL d

mediante un sistema di sicurezza modulare ......................................................................... 60 3.3.11 Ulteriori esempi applicativi e FAQ ........................................................................................ 62

3.4 Sorveglianza di aree pericolose aperte ................................................................................ 63 3.4.1 Introduzione ....................................................................................................................... 63 3.4.2 Sorveglianza di accesso con una barriera ottica fino a SIL 3 o PL e mediante un

dispositivo di sicurezza ....................................................................................................... 64


Safety Integrated Application Manual 6 Manuale applicativo, 10/2013, A5E33346617001A/RS-AA/001

3.4.3 Sorveglianza di accesso con una barriera ottica fino a SIL 3 o PL e mediante un sistema di sicurezza modulare ........................................................................................................ 66

3.4.4 Sorveglianza di accesso con un tappeto sensibile di sicurezza fino a SIL 3 o PL e mediante un dispositivo di sicurezza ................................................................................... 68

3.4.5 Sorveglianza di accesso con un tappeto sensibile di sicurezza fino a SIL 3 o PL e mediante un sistema di sicurezza modulare......................................................................... 70

3.4.6 Sorveglianza di area con un Laser Scanner fino a SIL 2 o PL d mediante un dispositivo di sicurezza ........................................................................................................................... 72

3.4.7 Sorveglianza di accesso con un Laser Scanner fino a SIL 2 o PL d mediante un sistema di sicurezza modulare ........................................................................................................ 74

3.4.8 Ulteriori esempi applicativi e FAQ ....................................................................................... 76

3.5 Sorveglianza di velocità sicura e stato di fermo sicuro .......................................................... 77 3.5.1 Introduzione ...................................................................................................................... 77 3.5.2 Sorveglianza di velocità sicura fino a SIL 2 o PL d con un dispositivo di sicurezza e relè di

controllo velocità ................................................................................................................ 78 3.5.3 Sorveglianza di velocità sicura fino a SIL 3 o PL e con un dispositivo di controllo velocità ....... 82 3.5.4 Sorveglianza di stato di fermo sicuro con blocco di ritenuta per porta/riparo di protezione

fino a SIL 3 o PL e mediante un sistema di sicurezza modulare ............................................ 84 3.5.5 Sorveglianza di velocità sicura, porta/riparo di protezione e blocco di ritenuta fino a SIL 2

o PL d con un sistema di sicurezza modulare e un relè di controllo velocità ........................... 86 3.5.6 Sorveglianza di velocità sicura, porta/riparo di protezione e blocco di ritenuta fino a SIL 3

o PL e con un dispositivo di controllo velocità ...................................................................... 90 3.5.7 Ulteriori esempi applicativi e FAQ ....................................................................................... 92

3.6 Comando sicuro ................................................................................................................ 93 3.6.1 Introduzione ...................................................................................................................... 93 3.6.2 Comando a due mani fino a SIL 1 o PL c con un dispositivo di sicurezza ............................... 94 3.6.3 Comando a due mani fino a SIL 3 o PL e con un sistema di sicurezza modulare .................... 96 3.6.4 Ulteriori esempi applicativi e FAQ ....................................................................................... 98

3.7 Tipiche combinazioni di più funzioni di sicurezza .................................................................. 99 3.7.1 Introduzione ...................................................................................................................... 99 3.7.2 Sorveglianza di arresto di emergenza e sorveglianza di porta/riparo di protezione fino a

SIL 3 o PL e con un dispositivo di sicurezza ...................................................................... 100 3.7.3 Sorveglianza di arresto di emergenza e sorveglianza di porta/riparo di protezione fino a

SIL 3 o PL e con un sistema di sicurezza modulare ............................................................ 102 3.7.4 Disinserzione di arresto di emergenza di più motori fino a SIL 3 o PL e con un dispositivo

di sicurezza ..................................................................................................................... 104 3.7.5 Collegamento in cascata di dispositivi di sicurezza fino a SIL 3 o PL e ................................ 106

4 Prescrizioni e norme ......................................................................................................109

4.1 Prescrizioni e norme nell'Unione Europea (UE) .................................................................. 109 4.1.1 Sicurezza delle macchine in Europa .................................................................................. 109 4.1.1.1 Fondamenti giuridici ......................................................................................................... 109 4.1.1.2 Procedura di conformità CE .............................................................................................. 112

4.2 Prescrizioni e norme al di fuori dell'Unione Europea (UE) ................................................... 119 4.2.1 Prescrizioni e norme al di fuori dell'Unione Europea (UE) - Panoramica............................... 119 4.2.2 Requisiti di legge negli USA.............................................................................................. 119 4.2.3 Requisiti di legge in Brasile ............................................................................................... 120 4.2.4 Requisiti di legge in Australia ............................................................................................ 120



5 Specifica e design di sistemi di comando per macchine rilevanti per la sicurezza ...........................121

5.1 Parti relative alla sicurezza per il comando di macchine ...................................................... 121 5.1.1 Quattro elementi di rischio ................................................................................................ 121

5.2 Specifica dei requisiti di sicurezza ..................................................................................... 126

5.3 Sviluppo e realizzazione del sistema di comando (rilevante per la sicurezza) secondo IEC 62061 .............................................................................................................................. 127

5.3.1 Filosofia / Teoria .............................................................................................................. 127 5.3.2 Processo di sviluppo di un sistema di comando relativo alla sicurezza SRECS..................... 129 5.3.3 Design di sistema per una funzione di sicurezza ................................................................ 133 5.3.4 Realizzazione del sistema di comando rilevante per la sicurezza......................................... 134 5.3.4.1 Safety Performance raggiunta ........................................................................................... 137 5.3.5 Integrazione di sistema per tutte le funzioni di sicurezza ..................................................... 138 5.3.6 Sviluppo e realizzazione di sottosistemi ............................................................................. 138

5.4 Sviluppo e realizzazione della parte relativa alla sicurezza di un sistema di comando secondo IEC 13849-1 ....................................................................................................... 144

5.4.1 Sviluppo e realizzazione di categorie ................................................................................. 148

6 Service & Support .........................................................................................................155

6.1 Service & Support ............................................................................................................ 155

Indice analitico .............................................................................................................157


Introduzione 1

Scopo della documentazione Questa documentazione informa sulle esigenze di sicurezza fondamentali nell'industria manifatturiera. Essa mostra, sulla base dei prodotti SIRIUS Safety Integrated, semplici esempi circuitali per la realizzazione di funzioni di sicurezza nei vari settori applicativi:

● Arresto in caso di emergenza

● Sorveglianza di porta/riparo di protezione

● Sorveglianza di velocità/stato di fermo

● Sorveglianza di aree pericolose aperte

● Comando sicuro

● Tipiche combinazioni di funzioni di sicurezza

In correlazione ai semplici esempi circuitali si trovano dettagliate informazioni di chiarimento su prescrizioni e norme nonché specifiche e design di parti di comandi rilevanti per la sicurezza.

Destinatari Questa documentazione contiene informazioni per i seguenti destinatari:

● Responsabili decisionali

● Tecnologi

● Progettisti

Conoscenze necessarie Per comprendere questa documentazione è necessario avere nozioni di base generali sui seguenti argomenti:

● Tecnica di manovra a bassa tensione

● Tecnica circuitale digitale

● Tecnica di automazione

Introduzione


Garanzia e responsabilità

Nota

Gli esempi applicativi non sono vincolanti e non hanno alcuna pretesa di completezza per quanto riguarda configurazione ed equipaggiamento o altre eventualità. Gli esempi applicativi non rappresentano soluzioni personalizzate, ma intendono solo essere di ausilio per la risoluzione di compiti tipici. L'utente stesso è responsabile del corretto funzionamento dei prodotti descritti. Gli esempi applicativi non esonerano dall'obbligo di cautela nell'impiego, nell'installazione, nell'esercizio e nella manutenzione. Ci riserviamo il diritto di apportare modifiche a questi esempi applicativi in qualsiasi momento senza preavviso. In caso di discordanze tra i suggerimenti contenuti in questi esempi applicativi e in altre pubblicazioni Siemens, ad es. cataloghi, fa fede il contenuto dell'altra documentazione.

Non possiamo dare alcuna garanzia riguardo alle informazioni contenute in questa documentazione.

È esclusa ogni nostra responsabilità, qualsiasi sia il motivo giuridico, per danni causati dall'utilizzo di esempi applicativi descritti in questa documentazione, di avvertenze, programmi, dati di progettazione e prestazionali etc.

L'esclusione non vale in caso di danni intenzionali o per negligenza alla vita, al corpo o alla salute oppure in caso di altri danni, se questi derivano da comportamenti sbagliati intenzionali o per negligenza.

La diffusione o la riproduzione di questi esempi applicativi o di relativi estratti non è consentita, salvo in caso di esplicita autorizzazione di Siemens Industry Sector.

Edizioni Finora sono state pubblicate le seguenti edizioni di questa documentazione. Le modifiche si riferiscono sempre all'edizione immediatamente precedente:

Edizione Nota / modifica 09/2013 Prima edizione 10/2013 Piccoli miglioramenti redazionali, link web difettoso riparato


Tecnica di sicurezza - Generalità 2 2.1 Generalità

Finalità della tecnica di sicurezza La finalità della tecnica di sicurezza consiste nel ridurre al minimo, quanto più possibile, il pericolo per gli uomini e l'ambiente mediante provvedimenti costruttivi ed equipaggiamenti tecnici, senza per questo limitare oltre lo stretto necessario la produzione industriale, l'impiego di macchine o la produzione di prodotti chimici. Un codice di regolamentazione armonizzato a livello internazionale assicura che in tutti i Paesi sia rispettato il medesimo grado di protezione per le persone e l'ambiente ed allo stesso tempo si evitino disparità nella competitività tra le aziende nel commercio internazionale a causa di differenti requisiti di sicurezza.

Leggi locali Per i costruttori di macchine e impianti è importante sapere che valgono sempre le leggi e le regole del luogo di funzionamento della macchina o dell'impianto. Ad esempio, il sistema di comando di una macchina destinata a funzionare negli USA deve soddisfare i requisiti di legge locali anche se il costruttore della macchina risiede nell'UE. Anche se i concetti tecnici, con i quali è ottenuta la sicurezza, soggiaciono a vincoli tecnici di legge, è tuttavia importante considerare se sussistono particolari disposizioni legislative con determinate prescrizioni o restrizioni.

Sicurezza funzionale Dal punto di vista del bene da proteggere, la sicurezza è indivisibile. Siccome le cause di situazioni pericolose e di conseguenza anche i provvedimenti tecnici per evitarle possono essere molto differenti, si distinguono diversi tipi di sicurezza, ad es. specificando di volta in volta la causa di possibili situazioni pericolose. Si parla pertanto di "sicurezza elettrica", se la protezione da situazioni pericolose è legata all'elettricità o di "sicurezza funzionale" se la sicurezza dipende dalla correttezza della funzione.

Per ottenere la sicurezza funzionale di una macchina o di un impianto, è necessario che le parti rilevanti per la sicurezza dei dispositivi di protezione e dei dispositivi di comando funzionino correttamente e in caso di errore mantengano o mettano l'impianto in uno stato sicuro.

A questo scopo è necessario l'impiego di una tecnica particolarmente qualificata in grado di soddisfare i requisiti descritti nelle norme pertinenti. I requisiti necessari per il raggiungimento della sicurezza funzionale si basano sui seguenti obiettivi fondamentali:

● Prevenzione di guasti sistematici

● Controllo di errori sistematici

● Controllo di errori o avarie casuali

Tecnica di sicurezza - Generalità 2.1 Generalità


Il criterio di valutazione della sicurezza funzionale ottenuta è la probabilità di avarie pericolose, la tolleranza agli errori e la qualità, con cui deve essere garantita l'esclusione di errori sistematici. Ciò è espresso nelle norme mediante differenti concetti.

● In IEC 62061: "Safety Integrity Level" (SIL)

● In ISO 13849-1: "Performance Level" (PL)

Finalità delle norme Dalla responsabilità, che ricade su costruttori e gestori di dispositivi tecnici per la sicurezza, risulta l'esigenza di conferire a impianti, macchine e dispositivi tecnici il massimo grado di sicurezza possibile secondo lo stato della tecnica. A questo scopo i partner economici definiscono in norme lo stato della tecnica riguardo a tutti gli aspetti rilevanti per la sicurezza. Con la conformità alle norme di volta in volta pertinenti può essere assicurato il raggiungimento dello stato della tecnica e pertanto l'adempimento del dovere di diligenza da parte del realizzatore di un impianto oppure del costruttore di una macchina o di una apparecchiatura.

Dettagli su prescrizioni e norme si trovano nel capitolo Prescrizioni e norme (Pagina 109).

Nota Nessuna pretesa di completezza

Le norme, le direttive e le leggi riportate in questo manuale rappresentano solo una selezione volta ad illustrare importanti obiettivi e principi. La lista non ha alcuna pretesa di completezza.

Funzioni relative alla sicurezza Le funzioni relative alla sicurezza comprendono funzioni classiche e più complesse.

Funzioni classiche:

● Arresto

● Operazioni in caso di emergenza

● Esclusione di avviamento involontario

Funzioni più complesse:

● Interblocchi dipendenti da stato

● Limitazione di velocità

● Limitazione di posizione

● Arresto controllato

● Fermo controllato tra l'altro



Arresto (Categorie di arresto dell'EN 60204-1) Per l'arresto di una macchina sono definite in EN 60204-1 (VDE 0113 Parte 1) tre Categorie di arresto, che descrivono la sequenza di comando per l'arresto indipendentemente da una situazione di emergenza:

Categoria di arresto Significato

0 Arresto non controllato mediante l'immediata disinserzione dell'energia per gli elementi di azionamento della macchina

1 Arresto controllato; l'alimentazione di energia viene interrotta solo dopo il raggiungimento dello stato di fermo.

2 Arresto controllato, con il quale resta mantenuta l'alimentazione di energia nello stato di fermo.

Nota

Con la disinserzione viene interrotta solo l'alimentazione di energia che può causare un movimento. Non avviene una disinserzione con scollegamento della tensione.

Operazione in caso di emergenza EN 60204-1 / 11.98 ha stabilito e definito le seguenti possibili operazioni per casi di emergenza (EN 60204-1 Appendice D). I concetti tra parentesi corrispondono a quanto definito nella stesura finale dell'edizione 5.0 di IEC 60204-1.

Una operazione in caso di emergenza comprende singolarmente o in combinazione:

● Arresto in caso di emergenza (arresto di emergenza)

● Avvio in caso di emergenza (avvio di emergenza)

● Disinserzione in caso di emergenza (OFF di emergenza)

● Inserzione in caso di emergenza (ON di emergenza)

Queste funzioni vengono attivate, secondo EN 60204-1 e secondo ISO 13850, esclusivamente mediante un'azione deliberatamente intenzionale dell'uomo. Nel seguito si prenderanno in considerazione solo "Disinserzione in caso di emergenza" e "Arresto in caso di emergenza". Quest'ultimo corrisponde pienamente all'omonimo concetto espresso nella Direttiva Macchine UE (Emergency Stop in inglese). Per motivi di semplificazione saranno utilizzati nel seguito i concetti alternativi "OFF di emergenza" e "Arresto di emergenza".



OFF di emergenza Una operazione in caso di emergenza, che è finalizzata a disinserire l'alimentazione di energia elettrica ad una intera installazione o ad una sua parte se c'è un rischio di shock elettrico o un altro rischio di natura elettrica (da EN 60204-1 Appendice D).

Aspetti funzionali per la disinserzione in caso di emergenza sono definiti in IEC 60364-4-46 (corrisponde in modo identico a HD 384-4-46 e VDE 0100 Parte 460). Una disinserzione in caso di emergenza va prevista se

● la protezione contro il contatto diretto (ad es. con linee di contatto, elementi collettori, apparecchi di manovra in aree operative elettriche) dipende solo da distanza oppure ostacoli;

● c'è la possibilità di altri pericoli o danni dovuti all'energia elettrica.

Inoltre in 9.2.5.4.3 di EN 60204-1 si afferma: Una disinserzione in caso di emergenza si esegue mediante scollegamento della macchina dall'alimentazione, con il risultato di un arresto di Categoria 0.

Se per una macchina non è consentito l'arresto di Categoria 0, può essere necessario prevedere un'altra protezione ad es. contro il contatto diretto, cosicché non è necessaria una disinserzione in caso di emergenza.

Ciò significa che l'OFF di emergenza va utilizzato laddove l'analisi dei rischi evidenzia un pericolo dipendente dalla tensione / dall'energia elettrica e risulta pertanto necessaria una disinserzione immediata e completa della tensione elettrica.

Arresto di emergenza Una operazione in caso di emergenza, che è finalizzata ad arrestare un processo o un movimento, che comporta pericolo (da EN 60204-1 Appendice D). Inoltre in 9.2.5.4.2 di EN 60204-1 si afferma:

Oltre ai requisiti per l'arresto (vedi 9.2.5.3 di EN 60204-1) valgono i seguenti requisiti per l'arresto in caso di emergenza:

● Esso deve avere priorità rispetto a tutte le altre funzioni e operazioni in tutti i modi di funzionamento

● L'energia agli elementi di azionamento della macchina, che possono causare una situazione o situazioni di pericolo, deve essere disinserita il più rapidamente possibile senza creare altri pericoli (ad es. mediante dispositivi di arresto meccanici, che non richiedono alcuna alimentazione esterna, mediante frenatura in controcorrente con Categoria di arresto 1).

● Il reset non deve attivare il riavvio.

L'arresto in caso di emergenza deve avvenire come un arresto di Categoria 0 o di Categoria 1 (vedi 9.2.2 di EN 60204-1). La Categoria per l'arresto in caso di emergenza deve essere definito sulla base della valutazione del rischio per la macchina.

I dispositivi per l'arresto di emergenza devono essere presenti in ogni postazione di comando nonché in altri luoghi, dove può essere necessaria l'attivazione di un arresto in caso di emergenza.



Per soddisfare gli obiettivi di protezione dell'EN 60204-1, valgono i seguenti requisiti:

● In caso di commutazione dei contatti, anche con un solo breve comando, è necessario il blocco positivo dell'apparecchio di comando.

● Non deve essere possibile il riavvio della macchina da una postazione di comando principale distante, senza che sia stato prima eliminato il pericolo. Il dispositivo di arresto di emergenza deve essere sbloccato "sul posto" mediante una operazione intenzionale.

Funzione di sicurezza Una funzione di sicurezza descrive la reazione di una macchina / un impianto al verificarsi di un determinato evento (ad es. apertura di una porta/un riparo di protezione). L'esecuzione della(e) funzione(i) di sicurezza avviene mediante un sistema di comando orientato alla sicurezza. Questo comprende di regola tre sottosistemi: il rilevamento, l'analisi e la reazione.

Rilevamento (sensori):

● Il riconoscimento di una richiesta d'intervento di sicurezza, ad es.: viene azionato l'arresto di emergenza oppure un sensore per la sorveglianza di un'area pericolosa (griglia ottica, Laser Scanner, etc.).

Analisi (unità di controllo):

● Il riconoscimento di una richiesta d'intervento di sicurezza e la sicura attivazione della reazione, ad es. disinserzione dei circuiti di abilitazione.

● La sorveglianza del corretto funzionamento di sensori e attuatori.

● L'attivazione di una reazione ad errori riconosciuti.

Reazione (attuatori):

● Disinserzione del pericolo secondo il comando dell'unità di controllo.

Tecnica di sicurezza - Generalità 2.2 Concetti di base


2.2 Concetti di base

Ridondanza Per la ridondanza vengono impiegati più componenti per la stessa funzione, cosicché una funzione difettosa di un componente viene sostituita da un altro componente o da altri componenti. La struttura ridondante consente di ridurre la probabilità di un errore funzionale dovuto a singoli componenti difettosi. Questo requisito è necessario per raggiungere un Safety Integrity Level SILCL 3 secondo IEC 62061, SIL 3 secondo IEC 61508 e PL e (Cat. 4) secondo ISO 13849-1 (eventualmente necessario anche per SIL 2 / PL d).

La forma più semplice di ridondanza è la struttura a due canali. La struttura a due canali provvede affinché la funzione di sicurezza continui ad essere garantita in caso di guasto di un circuito. In una struttura di sistema ridondante anche i sottosistemi Rilevamento e Reazione devono essere realizzati a due canali.

Nota

Tutti i dispositivi di sicurezza SIRIUS che soddisfano SILCL 3 secondo IEC 62061, SIL 3 secondo IEC 61508 e PL e (Cat. 4) secondo ISO 13849-1 hanno una struttura ridondante sia della logica interna sia dei circuiti di uscita.

Riconoscimento di cortocircuito trasversale Il riconoscimento di cortocircuito trasversale è una funzione di diagnostica di una unità di controllo, nella quale vengono riconosciuti mediante rilevamento o lettura a due canali anche cortocircuiti e cortocircuiti trasversali tra i canali d'ingresso (circuiti dei sensori). Ad esempio, un cortocircuito trasversale può verificarsi in seguito allo schiacciamento di una guaina, con la conseguenza, in caso di apparecchi senza riconoscimento di cortocircuito trasversale, che ad es. un circuito di arresto di emergenza a due canali non attiva alcuna disinserzione anche se solo un contatto di riposo è difettoso (disinserzione con il secondo errore).

Circuito di abilitazione Un circuito di abilitazione rende disponibile un segnale di uscita di sicurezza. I circuiti di abilitazione agiscono verso l'esterno generalmente come contatti di lavoro (dal punto di vista funzionale, tuttavia, viene sempre considerata l'apertura sicura). Per SIL 3 / PL e è possibile impiegare un singolo circuito di abilitazione, strutturato in modo ridondante all'interno del dispositivo di sicurezza. Nota: Le vie di corrente di abilitazione possono essere impiegate anche per scopi di segnalazione.

Circuito di retroazione Un circuito di retroazione serve per la sorveglianza di attuatori comandati (ad es. relè o contattori di potenza) con contatti a guida forzata o contatti speculari. I circuiti di abilitazione possono essere attivati solo con circuito di retroazione chiuso.

Se si utilizza un tracciato di arresto ridondante, deve essere analizzato il circuito di retroazione di entrambi gli attuatori. È anche necessario che questi siano collegati in serie.



Avvio automatico L'avvio automatico di un apparecchio avviene senza consenso manuale ma dopo la verifica dell'immagine degli ingressi e il test positivo dell'unità di controllo. Questa funzione è chiamata anche funzionamento dinamico e non è consentita per i dispositivi di arresto di emergenza. I dispositivi di protezione per zone pericolose non accessibili (ad es. interruttore di posizione, griglia ottica, tappeto sensibile di sicurezza) possono operare con l'avvio automatico se non ne deriva alcun pericolo.

Avvio sorvegliato Con un avvio sorvegliato la macchina viene avviata azionando il pulsante START, dopo la verifica dell'immagine degli ingressi e il test positivo dell'unità di controllo. L'avvio sorvegliato analizza il cambio di segnale del pulsante START. In questo modo non è possibile aggirato il comando del pulsante START. Per PL e (ISO 13849-1) e SIL 3 (IEC 62061), con l'arresto di emergenza è necessario impiegare l'avvio sorvegliato. Per altri sensori/altre funzioni di sicurezza la necessità del comando di avvio sorvegliato dipende dalla valutazione del rischio.

Avvio manuale L'avvio manuale di un apparecchio avviene azionando il pulsante START dopo la verifica dell'immagine degli ingressi e dopo il test positivo del dispositivo di sicurezza. Con l'avvio manuale non c'è verifica del funzionamento corretto del pulsante START; per l'avvio è sufficiente un fronte positivo del pulsante START.

Nota

L'avvio manuale non è consentito per dispositivi di arresto di emergenza.

Comando a due mani / Sincronismo L'azionamento sincrono di sensori è una forma speciale della contemporaneità di sensori. Qui non è solo necessario che i contatti dei sensori 1 e 2 commutino nello stato di chiusura "in qualsiasi intervallo di tempo", bensì che vengano anche chiusi entro 0,5 s. Il requisito di sincronismo dei sensori è di particolare importanza per i comandi a due mani di presse. In questo modo si deve garantire che la pressa si attivi solo se i sensori vengono azionati contemporaneamente con entrambe le mani. Per l'operatore si riduce così al minimo il rischio di introdurre una mano nella pressa.



Collegamento di attuatori

Nota

Per raggiungere i Performance Level / Safety Integrity Level citati negli esempi seguenti, è necessario sorvegliare gli attuatori evidenziati nel circuito di retroazione del rispettivo dispositivo di sicurezza.

Nota

In caso di utilizzatori capacitivi e induttivi è consigliabile una circuitazione di protezione adeguata. In questo modo è possibile sopprimere i disturbi elettromagnetici e allungare la durata di vita dei contatti.

Circuitazione degli attuatori fino a PL c / Cat. 2 secondo ISO 13849-1 o SILCL 1 secondo IEC 62061

Figura 2-1 PL c / Cat. 2 secondo ISO 13849-1 o SILCL 1 secondo IEC 62061



Circuitazione degli attuatori fino a PL e / Cat. 4 secondo ISO 13849-1 o SILCL 3 secondo IEC 62061

Figura 2-2 PL e / Cat. 4 secondo ISO 13849-1 o SILCL 3 secondo IEC 62061

AVVERTENZA

È possibile raggiungere il livello PL e / Cat. 4 secondo ISO 13849-1 o SILCL 3 secondo IEC 62061 solo con la posa sicura da cortocircuito trasversale/cortocircuito verso P dei cavi di comando dall'uscita di apparecchi di manovra (ad es. 14) verso i relè/contattori di comando (Q1 e Q2) (ad es. come cavo con guaina separato o in una propria canalina per cavi).

Possono sussistere limitazioni riguardo al livello di sicurezza raggiungibile con singoli apparecchi di comando; osservare a questo proposito i dati nei rispettivi manuali degli apparecchi.

Circuitazione degli attuatori fino a PL e / Cat. 4 secondo ISO 13849-1 o SILCL 3 secondo IEC 62061

Figura 2-3 PL e / Cat. 4 secondo ISO 13849-1 o SILCL 3 secondo IEC 62061



Collegamento in serie di sensori

Collegamento in serie di pulsanti di arresto di emergenza

Un collegamento in serie di pulsanti di arresto di emergenza è possibile fino al massimo livello di sicurezza SILCL 3 secondo IEC 62061, SIL 3 secondo IEC 61508 e PL e (Cat. 4) secondo ISO 13849-1, poiché si presuppone che venga azionato sempre soltanto un arresto di emergenza. In questo modo è garantita la possibilità di individuare errori / difetti. Vedere il capitolo "Arresto in caso di emergenza" - Introduzione (Pagina 24).

Collegamento in serie di interruttori di posizione

In linea di principio è possibile collegare in serie gli interruttori di posizione se si può escludere che più porte/ripari di protezione vengano regolarmente aperti contemporaneamente (altrimenti non può avvenire alcuna individuazione di errore).

Per i livelli di sicurezza SILCL 3 secondo IEC 62061, SIL 3 secondo IEC 61508 e PL e (Cat. 4) secondo ISO 13849-1 essi non devono essere tuttavia mai collegati in serie, poiché ogni errore pericoloso deve essere sempre individuato (indipendentemente dal personale operativo).

Vedere il capitolo "Sorveglianza di porta/riparo di protezione" - Introduzione (Pagina 37)".

Collegamento in serie di un pulsante di arresto di emergenza e di un apparecchio di sorveglianza di porta/riparo di protezione.

In linea di principio è possibile collegare in serie un pulsante di arresto di emergenza e un interruttore di posizione, se si può escludere che entrambi vengano regolarmente aperti/azionati contemporaneamente (altrimenti non può avvenire alcuna individuazione di errore). Per i livelli di sicurezza SILCL 3 secondo IEC 62061, SIL 3 secondo IEC 61508 e PL e (Cat. 4) secondo ISO 13849-1 essi non devono essere tuttavia mai collegati in serie, poiché ogni errore pericoloso deve essere sempre individuato (indipendentemente dal personale operativo).

Vedere il capitolo "Tipiche combinazioni di funzioni di sicurezza" - Introduzione (Pagina 99).

Dettagli su prescrizioni e norme Dettagli su prescrizioni e norme nonché su specifica e design di parti di comandi rilevanti per la sicurezza si trovano alla fine del manuale.


Esempi applicativi 3 3.1 Introduzione

Se ci sono persone in vicinanza di macchine (come ad es. nell'industria manifatturiera), queste devono essere adeguatamente protette mediante equipaggiamenti tecnici. Ne risulta una molteplicità di funzioni di sicurezza, che devono servire proprio a questo scopo. La realizzazione di alcune delle funzioni di sicurezza più importanti è illustrata nei seguenti capitoli sulla base di esempi applicativi di facile comprensione. Gli esempi sono suddivisi secondo il tipo della funzione di sicurezza da realizzare:

● Arresto in caso di emergenza

● Sorveglianza di porta/riparo di protezione

● Sorveglianza di aree pericolose aperte

● Sorveglianza di velocità/stato di fermo

● Comando sicuro

● Tipiche combinazioni di funzioni di sicurezza

Esempi applicativi 3.1 Introduzione


Gestione degli esempi applicativi La gestione degli esempi applicativi è assai semplice grazie alla loro struttura uniforme. All'inizio di ogni esempio viene descritta brevemente l'applicazione. Segue la struttura della funzione di sicurezza sulla base di semplici rappresentazioni d'insieme.

I segnali dei sensori e il comando degli attuatori sono evidenziati da linee blu, mentre il circuito di retroazione per la sorveglianza degli attuatori è rappresentata da una linea tratteggiata.

Figura 3-1 Rappresentazione di esempio: struttura di una funzione di sicurezza

Viene data spiegazione del preciso principio funzionale e del massimo livello di protezione raggiungibile in SIL secondo IEC 62061 nonché in PL secondo ISO 13849-1.

Rappresentazione del massimo livello di protezione raggiungibile

Idoneità fino a SIL 1 / PL c Idoneità fino a SIL 2 / PL d Idoneità fino a SIL 3 / PL e

Alcuni esempi applicativi comprendono più funzioni di sicurezza. La rappresentazione descrive poi il livello di sicurezza raggiunto della funzione di sicurezza citata nel titolo. Il livello di sicurezza raggiunto delle funzioni di sicurezza addizionali viene poi spiegato nel testo.

Esempi applicativi 3.1 Introduzione


Nota

Il livello di sicurezza raggiunto dipende di volta in volta dall'implementazione degli esempi applicativi. In particolare le supposizioni fatte ad es. riguardo alla frequenza di commutazione o alle esclusioni di errori devono essere verificate o tenute in considerazione.

Sono riportati i componenti di sicurezza impiegati per la semplice riproduzione dell'applicazione.

La funzionalità è stata testata con i componenti hardware specificati. Possono anche essere impiegati prodotti analoghi che si discostano da quelli riportati in questa lista. In un simile caso può essere necessario modificare il cablaggio dei componenti hardware (ad es. altra assegnazione dei collegamenti).

Alla fine di un esempio si trova un link Internet, sotto il quale si può accedere ad informazioni di approfondimento sul rispettivo esempio applicativo. Ciò riguarda ad es.:

● Schemi di cablaggio

● I file di progetto in caso d'impiego del sistema di sicurezza modulare

● Dati CAx dei componenti hardware impiegati

Un calcolo dettagliato della sicurezza con tutti i valori caratteristici può essere desunto dal file di progetto SET o dal report SET. Per l'utilizzo del file è necessario un login (http://www.siemens.com/safety-evaluation-tool).

Il file di cestino acquisti CAx con tutte le documentazioni sui componenti hardware impiegati può essere comodamente scaricato con pochi clic Hotspot-Text (http://www.siemens.com/cax).

La parametrizzazione dei dispositivi di sicurezza avviene tramite DIP switch. Le relative impostazioni si trovano negli schemi circuitali.

Nota

Dettagli su prescrizioni e norme nonché su specifica e design di parti di comandi rilevanti per la sicurezza si trovano alla fine del manuale.

http://www.siemens.com/safety-evaluation-tool

http://www.siemens.com/cax

Esempi applicativi 3.2 Arresto in caso di emergenza


3.2 Arresto in caso di emergenza

3.2.1 Introduzione Il pulsante di arresto di emergenza rappresenta un componente assai diffuso per la protezione di uomini, impianti e ambiente da pericoli e per attivare un arresto in caso di emergenza. In questo capitolo vengono descritte applicazioni con funzioni di sicurezza tipiche di questa area d'impiego.

Applicazione tipica Il pulsante di arresto di emergenza con il suo contatto ad apertura positiva viene sorvegliato da una unità di controllo. Se viene attivato l'arresto di emergenza, l'unità di controllo comanda tramite le uscite sicure gli attuatori a valle conformemente alla Categoria di arresto 0 secondo EN 60204-1. Prima della reinserzione o della conferma della disinserzione di emergenza mediante il pulsante START viene verificato se i contatti del pulsante di arresto di emergenza sono chiusi e gli attuatori sono stati disinseriti.

Nota • I cavi dei sensori vanno posati protetti; i sensori impiegati devono essere esclusivamente

sensori di sicurezza con contatti ad apertura positiva. • Dispositivi, aspetti funzionali e linee guida di configurazione riguardo all'arresto di

emergenza si trovano nell'EN ISO 13850. Bisogna inoltre osservare la norma EN 60204-1.

• "Arresto di emergenza" non è un mezzo per la riduzione del rischio. • "Arresto di emergenza" è una "funzione di sicurezza addizionale" (se viene attivato

"Arresto di emergenza", il motore deve essere disinserito).



Condizioni per il collegamento in serie I pulsanti di arresto di emergenza possono essere collegati in serie fino a PL e / Cat. 4 (secondo ISO 13849-1) o SIL 3 (secondo IEC 62061) solo se si può escludere un malfunzionamento e la pressione contemporanea dei pulsanti di arresto di emergenza.

Se più pulsanti di arresto di emergenza sono collegati elettricamente in serie, allora ogni disinserzione di sicurezza tramite un pulsante di arresto di emergenza rappresenta una singola funzione di sicurezza addizionale. Se vengono impiegati pulsanti di arresto di emergenza di uguale esecuzione costruttiva, è sufficiente considerare una funzione di sicurezza addizionale come rappresentativa di tutte le funzioni di sicurezza addizionali.

Vedere anche Spiegazioni sul collegamento in serie di pulsanti di arresto di emergenza (http://support.automation.siemens.com/WW/view/it/35444028)

http://support.automation.siemens.com/WW/view/it/35444028



3.2.2 Disinserzione di arresto di emergenza fino a SIL 1 o PL c con un dispositivo di sicurezza

Impiego Disinserzione di arresto di emergenza ad un canale di un motore mediante un dispositivo di sicurezza 3SK1 e contattore di potenza.

Struttura

Figura 3-2 Disinserzione di arresto di emergenza fino a SIL 1 o PL c con un dispositivo di sicurezza



Funzionamento Il dispositivo di sicurezza sorveglia il pulsante di arresto di emergenza. All'azionamento del pulsante di arresto di emergenza, il dispositivo di sicurezza apre i circuiti di abilitazione e disinserisce il contattore di potenza in sicurezza. Se il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione è chiuso, è possibile la reinserzione con il pulsante START.

Componenti di sicurezza

Pulsante di arresto di emergenza

Dispositivo di sicurezza Contattore

3SB3

(http://www.siemens.com/sirius-commanding)

3SK1 (http://www.siemens.com/safety-

relays)

3RT20 (http://www.siemens.com/sirius-

switching)

Vedere anche Schema circuitale e calcolo SET (http://support.automation.siemens.com/WW/view/it/73134129)

http://www.siemens.com/sirius-commanding


http://www.siemens.com/safety-relays


http://www.siemens.com/sirius-switching





3.2.3 Disinserzione di arresto di emergenza fino a SIL 1 o PL c con un sistema di sicurezza modulare

Impiego Disinserzione di arresto di emergenza ad un canale di un motore mediante un sistema di sicurezza modulare parametrizzabile 3RK3 e contattore di potenza.

Struttura

Figura 3-3 Disinserzione di arresto di emergenza fino a SIL 1 o PL c con un sistema di sicurezza

modulare



Funzionamento Il sistema di sicurezza modulare sorveglia il pulsante di arresto di emergenza. All'azionamento del pulsante di arresto di emergenza, il sistema di sicurezza modulare apre i circuiti di abilitazione e disinserisce il contattore di potenza in sicurezza. Se il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione è chiuso, è possibile la reinserzione con il pulsante START.



Sistema di sicurezza modulare Contattore

3SB3


3RK3 (http://www.siemens.com/sirius-

mss)


switching)

Vedere anche Schema circuitale, progetto MSS e calcolo SET (http://support.automation.siemens.com/WW/view/it/69064058)



http://www.siemens.com/sirius-mss







3.2.4 Disinserzione di arresto di emergenza fino a SIL 3 o PL e con un dispositivo di sicurezza

Impiego Disinserzione di arresto di emergenza a due canali di un motore mediante un dispositivo di sicurezza 3SK1 e contattori di potenza.

Struttura

Figura 3-4 Disinserzione di arresto di emergenza fino a SIL 3 o PL e con un dispositivo di sicurezza



Funzionamento Il dispositivo di sicurezza sorveglia il pulsante di arresto di emergenza a due canali. All'azionamento del pulsante di arresto di emergenza, il dispositivo di sicurezza apre i circuiti di abilitazione e disinserisce i contattori di potenza in sicurezza. Se il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione è chiuso, è possibile la reinserzione con il pulsante START.




3SB3 (a 2 canali)



relays)

2 x 3RT20 (http://www.siemens.com/sirius

-switching)











3.2.5 Disinserzione di arresto di emergenza fino a SIL 3 o PL e con un sistema di sicurezza modulare

Impiego Disinserzione di arresto di emergenza a due canali di un motore mediante un sistema di sicurezza modulare parametrizzabile 3RK3 e contattori di potenza.

Struttura

Figura 3-5 Disinserzione di arresto di emergenza fino a SIL 3 o PL e con un sistema di sicurezza

modulare



Funzionamento Il sistema di sicurezza modulare sorveglia il pulsante di arresto di emergenza a due canali. All'azionamento del pulsante di arresto di emergenza, il sistema di sicurezza modulare apre i circuiti di abilitazione e disinserisce i contattori di potenza in sicurezza. Se il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione è chiuso, è possibile la reinserzione con il pulsante START.




3SB3 (a 2 canali)



mss)

2 x 3RT20 (http://www.siemens.com/sirius-

switching)











3.2.6 Disinserzione di arresto di emergenza tramite AS-i fino a SIL 3 o PL e con un sistema di sicurezza modulare

Impiego Sorveglianza di più pulsanti di arresto di emergenza tramite AS-i con un sistema di sicurezza modulare 3RK3.

Struttura

Figura 3-6 Disinserzione di arresto di emergenza tramite AS-i fino a SIL 3 o PL e con un sistema di

sicurezza modulare



Funzionamento Il sistema di sicurezza modulare sorveglia ciascuno dei pulsanti di arresto di emergenza a due canali collegati all'AS-i. All'azionamento di uno dei pulsanti di arresto di emergenza, il sistema di sicurezza modulare apre i circuiti di abilitazione e disinserisce i contattori di potenza in sicurezza. Se il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione è chiuso, è possibile la reinserzione con il pulsante START.




3SB3 (a 2 canali)



mss)


switching)

Nota

Oltre ai componenti di sicurezza, per il funzionamento di una rete AS-i sono necessari una rete AS-i, un master AS-i e un alimentatore da rete AS-i.

Vedere anche Progetto MSS e calcolo SET (http://support.automation.siemens.com/WW/view/it/73133559)










3.2.7 Ulteriori esempi applicativi e FAQ Ulteriori esempi applicativi e FAQ sul tema "Arresto in caso di emergenza" si trovano all'indirizzo Siemens Support (http://support.automation.siemens.com/WW/view/en/73133556).

http://support.automation.siemens.com/WW/view/en/73133556

Esempi applicativi 3.3 Sorveglianza di porta/riparo di protezione


3.3 Sorveglianza di porta/riparo di protezione

3.3.1 Introduzione In questo capitolo sono descritte applicazioni con ripari sotto forma di una porta/un riparo di protezione. La soluzione impiegata più spesso per impianti e macchine è la delimitazione delle aree pericolose con ripari o serrande di accesso, che assicurano separazione meccanica. Lo scopo è quello di sorvegliare l'accesso non autorizzato a determinate aree dell'impianto come pure di impedire una funzione pericolosa della macchina, se il riparo di protezione non è chiuso. La sorveglianza del riparo di protezione può avvenire sia con interruttori di posizione o di sicurezza meccanici sia con interruttori di sicurezza senza contatto su base magnetica o RFID.

Spesso in combinazione con una sorveglianza di porta/riparo di protezione viene realizzato anche un blocco di ritenuta. I dispositivi di interblocco con blocco di ritenuta servono per proteggere aree pericolose da intrusioni involontarie. Ciò in generale per due motivi:

1. Per la protezione dell'uomo da movimenti pericolosi di macchine funzionanti, da temperature elevate etc. Qui valgono le linee guida ISO 14119 o EN 1088 per la configurazione e la scelta di dispositivi di interblocco. Esse prescrivono che l'area pericolosa possa essere accessibile solo dopo l'arresto in stato di fermo del movimento pericoloso della macchina.

2. Un blocco di ritenuta può essere opportuno per la sicurezza del processo. È questo il caso in cui il pericolo viene escluso dopo l'apertura del riparo di protezione, ma ne possono derivare danni alla macchina o al pezzo in lavorazione. Qui la macchina viene pilotata in una posizione di fermo controllata prima che l'accesso venga abilitato.



Interruttori di posizione Gli interruttori di posizione vengono normalmente applicati come interruttori ad azionamento forzato a porte/ripari di protezione. Se il riparo di protezione viene aperto, l'interruttore di posizione viene azionato ed apre in modo affidabile (vedi apertura positiva).

Interruttori di sicurezza meccanici (con azionatore separato) Contrariamente agli interruttori di posizione, gli interruttori di sicurezza non possono essere facilmente aggirati. L'interruttore di sicurezza può essere azionato soltanto con il rispettivo azionatore codificato.

Interruttori di sicurezza meccanici (interruttori a cerniera) Gli interruttori a cerniera vengono impiegati quando, per motivi di sicurezza, deve essere sorvegliata la posizione di porte/ripari di protezione girevoli.

Interruttori di sicurezza meccanici (con blocco di ritenuta) Gli interruttori di sicurezza con blocco di ritenuta sono speciali dispositivi di sicurezza, che impediscono un'apertura accidentale o intenzionale di porte/ripari di protezione, griglie di protezione o altre barriere per tutto il tempo in cui sussiste uno stato di pericolo. (Ad es. con movimenti di arresto della macchina successivi alla sua disinserzione). Indipendentemente dal blocco di ritenuta, con interruttori di questo tipo viene eseguito anche un rilevamento di posizione mediante un azionatore separato.

Interruttori di sicurezza senza contatto (interruttori magnetici) Gli interruttori magnetici consistono di un magnete codificato e di un elemento di contatto. Essi sono previsti per l'applicazione a ripari mobili e, grazie alla loro forma costruttiva chiusa, risultano particolarmente adatti per aree con forte presenza di sporco, sostanze detergenti o disinfettanti.

Interruttori di sicurezza senza contatto (RFID) Gli interruttori di sicurezza senza contatto RFID consistono di un interruttore RFID codificato e di un azionatore RFID di uguale esecuzione costruttiva e si prestano a molteplici impieghi, specialmente in aree con condizioni ambientali estreme. Grazie al principio di funzionamento elettronico, gli interruttori sono perfettamente adatti all'impiego su macchine di lavorazione del metallo. Gli interruttori hanno una distanza d'intervento maggiore rispetto agli interruttori meccanici e offrono una tolleranza di montaggio migliore nonché molteplici possibilità diagnostiche. Essi offrono inoltre massima protezione da manipolazione grazie alla codifica individuale di interruttore e azionatore.



Applicazione tipica Il riparo di protezione viene sorvegliato con interruttori di posizione SIRIUS dotati di contatti ad apertura positiva tramite una unità di controllo. Se questo riparo di protezione viene aperto, l'unità di controllo comanda tramite uscite sicure gli attuatori a valle conformemente alla Categoria di arresto 0 secondo EN 60204-1. Se il riparo di protezione viene chiuso, la reinserzione avviene con avvio automatico dopo la verifica degli interruttori di posizione e degli attuatori a valle. Con l'avvio manuale ciò avviene solo dopo l'azionamento del pulsante START.

Nota • Gli interruttori di posizione devono essere disposti in modo da non essere danneggiati in

fase di accostamento e superamento. Per questo motivo non possono essere impiegati come riscontro meccanico.

• I cavi dei sensori vanno posati protetti; i sensori impiegati devono essere esclusivamente sensori di sicurezza con contatti ad apertura positiva.

• Il blocco di ritenuta rappresenta una singola funzione di sicurezza separata accanto alla funzione di sicurezza della sorveglianza della porta/del riparo di protezione per mezzo di interruttore di posizione. Il comando può avere una integrità di sicurezza richiesta, che è inferiore di un livello alla valutazione del rischio per la sorveglianza della porta/del riparo di protezione. (Motivo: la probabilità che entrambe le funzioni di sicurezza vengano meno nel medesimo istante può essere quasi del tutto esclusa. Esempio: La sorveglianza della porta/del riparo di protezione è richiesta in PL d (con una Categoria 3) o SIL 2, il comando del blocco di ritenuta può essere realizzato in PL c (con una Categoria 1) o SIL 1



Condizioni per il collegamento in serie Gli interruttori di posizione possono essere collegati in serie fino a Cat 3 (secondo ISO 13849-1) o SIL 2 (secondo IEC 62061) solo se può essere escluso che vengano aperte regolarmente più porte/ripari di protezione (poiché altrimenti non può avvenire alcuna individuazione di errore). Un collegamento in serie in PL e / Cat 4 (secondo ISO 13849-1) o SIL 3 (secondo IEC62061) non è possibile.



Possibile combinazione per il rilevamento di posizione e livello di sicurezza raggiungibile Gli esempi applicativi in questo capitolo riguardano solo una parte delle possibili combinazioni di apparecchi per il rilevamento di posizione. Le seguenti tabelle mostrano in modo semplice quale livello di sicurezza può essere raggiunto e mediante quale tipo di rilevamento di posizione.

Tabella 3- 1 Sorveglianza di posizione sicura con interruttori meccanici

Unità di controllo

Interruttori di posizione

Interruttori di sicurezza a cerniera

Interruttori di sicurezza con attuatore separato

Interruttori di sicurezza con funzione di blocco di ritenuta opzionale

Livello di sicurezza raggiungibile con UN interruttore di posizione

Sorveglianza di un contatto di riposo

SIL 1 / PL c SIL 1 / PL c SIL 1 / PL c SIL 1 / PL c

Sorveglianza di 2 contatti di riposo o di 1 contatto di riposo + 1 contatto di lavoro

SIL 2 / PL d SIL 2 / PL d SIL 2 / PL d SIL 2 / PL d

Livello di sicurezza raggiungibile con DUE interruttori di posizione

Interruttori di posizione

SIL 3 / PL e SIL 3 / PL e SIL 3 / PL e SIL 3 / PL e

Interruttori di sicurezza a cerniera


Interruttori di sicurezza con attuatore separato


Interruttori di sicurezza con funzione di blocco di ritenuta opzionale


Esempio 1:

Mediante la combinazione di due interruttori di sicurezza meccanici (con azionatore separato) si può raggiungere un livello di sicurezza fino a PL e o SIL 3.

Esempio 2:

Impiegando un interruttore di sicurezza meccanico (interruttore a cerniera) si può raggiungere un livello di sicurezza fino a PL d o SIL 2.



Tabella 3- 2 Blocco di ritenuta sicuro per porta/riparo di protezione

Unità di controllo sicure

Interruttori di sicurezza Interruttore di sicurezza con blocco di ritenuta

Interruttore di sicurezza con blocco di ritenuta

Sistema di sicurezza

modulare 3RK3

SIL 2 / PL d

SIL 3 / PL e

Dispositivo di

sicurezza 3TK2845

SIL 2 / PL d

SIL 3 / PL e

Nota

In generale per l'impiego di questi interruttori di posizione deve essere assicurato un azionamento positivo mediante la costruzione del dispositivo di protezione. Solo a questa condizione sono consentiti i valori riportati nella tabella.

Nota

In considerazione di certe esclusioni di errori (ad es. rottura dell'azionatore) è possibile l'impiego solo di un interruttore a cerniera o di un interruttore con azionatore separato fino a SIL 2 o PL d, come descritto nella tabella. Poiché il costruttore della macchina deve fornire la prova dell'esclusione di errore, il produttore del componente non può esprimere alcuna valutazione definitiva sui provvedimenti adottati.

Per ulteriori informazioni consultare il seguente link: http://support.automation.siemens.com/WW/view/it/35443942.

Nota

In caso di struttura a due canali con sensori elettromeccanici si può raggiungere SIL 3 o PL e solo se l'alimentazione dei sensori è fornita dall'unità di controllo. Solo così è possibile una diagnostica adeguata.



Tabella 3- 3 Sorveglianza di posizione sicura con interruttori di sicurezza senza contatto

Unità di controllo sicure

Apparecchi di rilevamento Interruttori di sicurezza senza contatto

Interruttori magnetici 3SE66 / 3SE67

Interruttori di sicurezza RFID 3SE63

Dispositivo di

sicurezza 3SK1

SIL 3 / PL e

SIL 3 / PL e

Sistema di sicurezza

modulare 3RK3

SIL 3 / PL e

SIL 3 / PL e

Nota

I livelli di sicurezza raggiungibili dipendono anche dal tipo di unità di controllo di sicurezza impiegato (specialmente della sua capacità diagnostica).

Vedere anche Sorveglianza e blocco di ritenuta di una porta/un riparo di protezione con sistema di sicurezza modulare (MSS) (http://support.automation.siemens.com/WW/view/it/62837891)

Livello di sicurezza raggiungibile con l'impiego solo di un interruttore di posizione SIRIUS con o senza blocco di ritenuta (http://support.automation.siemens.com/WW/view/it/35443942)





3.3.2 Sorveglianza di porta/riparo di protezione fino a SIL 1 o PL c con un dispositivo di sicurezza

Impiego Per la delimitazione di aree pericolose si ricorre spesso all'impiego di porte/ripari di protezione. In questo caso viene sorvegliata la loro posizione ed eventualmente interdetta l'area, dalla quale proviene il pericolo.

Struttura

Figura 3-7 Sorveglianza di porta/riparo di protezione fino a SIL 1 o PL c con un dispositivo di

sicurezza



Funzionamento La posizione di una porta/un riparo di protezione viene sorvegliata mediante il contatto dell'interruttore di sicurezza. All'apertura della porta/del riparo il dispositivo di sicurezza interviene aprendo i circuiti di abilitazione, per cui il contattore di potenza viene disinserito in sicurezza. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START.


Interruttore di sicurezza Dispositivo di sicurezza Contattore

3SE5

(http://www.siemens.com/sirius-detecting)


relays)


switching)


http://www.siemens.com/sirius-detecting









3.3.3 Sorveglianza di porta/riparo di protezione fino a SIL 1 o PL c con un sistema di sicurezza modulare


Struttura

Figura 3-8 Sorveglianza di porta/riparo di protezione fino a SIL 1 o PL c con un sistema di sicurezza

modulare



Funzionamento

La posizione di una porta/un riparo di protezione viene sorvegliata mediante il contatto dell'interruttore di sicurezza. All'apertura della porta/del riparo il sistema di sicurezza modulare interviene aprendo i circuiti di abilitazione, per cui il contattore di potenza viene disinserito in sicurezza. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START.


Interruttore di sicurezza Sistema di sicurezza modulare Contattore

3SE5



mss)


switching)











3.3.4 Sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un dispositivo di sicurezza


Struttura

Figura 3-9 Sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un dispositivo di

sicurezza



Funzionamento La posizione di una porta/un riparo di protezione viene sorvegliata mediante due interruttori di sicurezza. All'apertura della porta/del riparo il dispositivo di sicurezza interviene aprendo i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START.


Interruttori di posizione Dispositivo di sicurezza Contattore

2 x 3SE5

(http://www.siemens.com/sirius-detecting) 3SK1

(http://www.siemens.com/safety-relays)

2 x 3RT20 (http://www.siemens.com/

sirius-switching)










3.3.5 Sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un sistema di sicurezza modulare


Struttura

Figura 3-10 Sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un sistema di sicurezza

modulare



Funzionamento La posizione di una porta/un riparo di protezione viene sorvegliata mediante due interruttori di sicurezza. All'apertura della porta/del riparo il dispositivo di sicurezza modulare interviene aprendo i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START.


Interruttori di posizione Sistema di sicurezza modulare

Contattore

2 x 3SE5

(http://www.siemens.com/sirius-detecting) 3RK3

(http://www.siemens.com/sirius-mss)


sirius-switching)










3.3.6 Sorveglianza di porta/riparo di protezione tramite AS-i fino a SIL 3 o PL e con un sistema di sicurezza modulare

Impiego Sorveglianza di più porte/ripari di protezione e comando degli attuatori tramite AS-i con un sistema di sicurezza modulare.

Struttura

Figura 3-11 Sorveglianza di porta/riparo di protezione tramite AS-i fino a SIL 3 o PL e con un sistema

di sicurezza modulare



Funzionamento Il sistema di sicurezza modulare sorveglia gli interruttori di sicurezza collegati all'AS-i e trasmette segnali di stato sotto forma di slave AS-i simulati tramite il bus AS-i. Questi slave simulati vengono sorvegliati dalle uscite AS-i sicure. All'apertura di una delle porte/dei ripari di protezione il sistema di sicurezza modulare interrompe il rispettivo segnale di stato. L'uscita AS-i sicura apre quindi i circuiti di abilitazione e i contattori di potenza si disinseriscono in sicurezza. I segnali del pulsante START e dei contatti ausiliari dei contattori vengono trasmessi dall'uscita AS-i sicura tramite il bus AS-i al sistema di sicurezza modulare e lì analizzati. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START.



Uscita AS-i sicura Contattore

2 x 3SE5


3RK3 (http://www.siemens.com/

sirius-mss)

3RK1405 (www.siemens.com/

as-interface)


switching)

Nota

Oltre ai componenti di sicurezza, per il funzionamento di una rete AS-i sono necessari una rete AS-i, un master AS-i e un alimentatore da rete AS-i.






http://www.siemens.com/as-interface

http://www.siemens.com/as-interface






3.3.7 Sorveglianza di porta/riparo di protezione mediante interruttore RFID fino a SIL 3 o PL e con un dispositivo di sicurezza


Struttura

Figura 3-12 Sorveglianza di porta/riparo di protezione mediante interruttore RFID fino a SIL 3 o PL e

con un dispositivo di sicurezza



Funzionamento La posizione di una porta/un riparo di protezione viene sorvegliata mediante l'interruttore di sicurezza senza contatto. All'apertura della porta/del riparo il dispositivo di sicurezza interviene aprendo i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START. L'interruttore di sicurezza senza contatto 3SE6315 ha una struttura interna a due canali e dispone di una propria capacità diagnostica. Pertanto e grazie alla sua tecnica basata su RFID ed esente da manipolazione, non è necessario alcun interruttore di sicurezza ridondante per raggiungere fino a PL e secondo ISO 13849-1 o SIL 3 secondo IEC 62061.


Interruttori di sicurezza senza contatto


3SE6315


3SK1 (http://www.siemens.com/

safety-relays)


switching)











3.3.8 Sorveglianza di porta/riparo di protezione mediante interruttore RFID fino a SIL 3 o PL e con un sistema di sicurezza modulare


Struttura

Figura 3-13 Sorveglianza di porta/riparo di protezione mediante interruttore RFID fino a SIL 3 o PL e

con un sistema di sicurezza modulare



Funzionamento La posizione di una porta/un riparo di protezione viene sorvegliata mediante l'interruttore di sicurezza senza contatto. All'apertura della porta/del riparo il dispositivo di sicurezza modulare interviene aprendo i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START. L'interruttore di sicurezza senza contatto 3SE6315 ha una struttura interna a due canali e dispone di una propria capacità diagnostica. Pertanto e grazie alla sua tecnica basata su RFID ed esente da manipolazione, non è necessario alcun interruttore di sicurezza ridondante per raggiungere fino a PL e secondo ISO 13849-1 o SIL 3 secondo IEC 62061.


Interruttori di sicurezza senza contatto

Sistema di sicurezza modulare

Contattore

3SE6315



sirius-mss)


switching)











3.3.9 Sorveglianza di porta/riparo di protezione con blocco di ritenuta fino a SIL 2 o PL d mediante un dispositivo di sicurezza

Impiego Per la delimitazione di aree pericolose si ricorre spesso all'impiego di porte/ripari di protezione. In questo caso viene sorvegliata la loro posizione ed eventualmente interdetta l'area, dalla quale proviene il pericolo. Se dalla macchina, anche dopo la disinserzione, può provenire ancora un pericolo per un certo tempo, l'accesso può essere interdetto con un blocco di ritenuta.

Struttura

Figura 3-14 Sorveglianza di porta/riparo di protezione con blocco di ritenuta fino a SIL 2 o PL d

mediante un dispositivo di sicurezza



Funzionamento

La posizione di una porta/un riparo di protezione viene sorvegliata mediante un interruttore di sicurezza. Inoltre l'interruttore di sicurezza assicura l'interblocco della porta. Se la porta riceve il comando di sblocco, il dispositivo di sicurezza interviene aprendo i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Allo scadere di un determinato tempo il blocco di ritenuta viene rimosso. Se la porta è chiusa e bloccata e il circuito di retroazione è chiuso, è possibile la reinserzione mediante il pulsante START. Sia la funzione di sicurezza "Sorveglianza di porta/riparo di protezione" sia la funzione di sicurezza "Blocco di ritenuta per porta/riparo di protezione" sono conformi fino a SIL 2 o PL d. Tenendo conto dell'esclusione di errori, l'impiego di solo un interruttore di sicurezza con o senza blocco di ritenuta è consentito fino a SIL 2 o PL d. Per ulteriori informazioni consultare il documento sotto riportato.




3SE5


3TK2845 (http://www.automation.siemens.com/mcms/industrial-controls/en/safety-systems/3tk28)


sirius-switching)


Documento sull'impiego di interruttori di sicurezza fino a SIL 2 o PL d (http://support.automation.siemens.com/WW/view/it/35443942)



http://www.automation.siemens.com/mcms/industrial-controls/en/safety-systems/3tk28








3.3.10 Sorveglianza di porta/riparo di protezione con blocco di ritenuta fino a SIL 2 o PL d mediante un sistema di sicurezza modulare

Impiego Per la delimitazione di aree pericolose si ricorre spesso all'impiego di porte/ripari di protezione. In questo caso viene sorvegliata la loro posizione ed eventualmente interdetta l'area, dalla quale proviene il pericolo. Se dalla macchina, anche dopo la disinserzione, può provenire ancora un pericolo per un certo tempo, l'accesso può essere interdetto con un blocco di ritenuta.

Struttura

Figura 3-15 Sorveglianza di porta/riparo di protezione con blocco di ritenuta fino a SIL 2 o PL d

mediante un sistema di sicurezza modulare



Funzionamento La posizione di una porta/un riparo di protezione viene sorvegliata mediante un interruttore di sicurezza. Inoltre l'interruttore di sicurezza assicura l'interblocco della porta. Se la porta riceve il comando di sblocco, il dispositivo di sicurezza interviene aprendo i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Allo scadere di un determinato tempo il blocco di ritenuta viene rimosso. Se la porta è chiusa e bloccata e il circuito di retroazione è chiuso, è possibile la reinserzione mediante il pulsante START.

Sia la funzione di sicurezza "Sorveglianza di porta/riparo di protezione" sia la funzione di sicurezza "Blocco di ritenuta per porta/riparo di protezione" sono conformi fino a SIL 2 o PL d.

Tenendo conto dell'esclusione di errori, l'impiego di solo un interruttore di sicurezza con o senza blocco di ritenuta è consentito fino a SIL 2 o PL d. Per ulteriori informazioni consultare il documento sotto riportato.




3SE5



mss)


switching)













3.3.11 Ulteriori esempi applicativi e FAQ Ulteriori esempi applicativi e FAQ sul tema "Sorveglianza di porta/riparo di protezione" si trovano all'indirizzo Siemens Support (http://support.automation.siemens.com/WW/view/en/73135300).


Esempi applicativi 3.4 Sorveglianza di aree pericolose aperte


3.4 Sorveglianza di aree pericolose aperte

3.4.1 Introduzione All'interno di un'azienda industriale ci sono spesso aree, che, a causa dell'elevata pericolosità, non devono essere accessibili in determinati periodi di tempo. Ad esempio, parti del corpo umano non devono trovarsi all'interno di una pressa durante il movimento di discesa. Tali sorveglianze vengono spesso realizzate con barriere ottiche.

In determinati periodi di tempo può essere necessaria una soppressione intenzionale della funzione di protezione. "Muting" è una soppressione temporanea intenzionale della funzione di protezione. Questo cosiddetto funzionamento "Muting" viene attivato da appositi sensori di "Muting" (ad es. durante il trasporto di materiale nell'area pericolosa).

Nota

Le barriere ottiche possono esercitare la loro azione di protezione, se sono installate con sufficiente distanza di sicurezza. Le formule di calcolo per la distanza di sicurezza dipendono dal tipo di protezione. Situazioni di montaggio e formule di calcolo si trovano nella norma EN 13855 ("Posizionamento dei mezzi di protezione in funzione delle velocità di avvicinamento di parti del corpo umano").



3.4.2 Sorveglianza di accesso con una barriera ottica fino a SIL 3 o PL e mediante un dispositivo di sicurezza

Impiego Per sorvegliare l'accesso ad un'area pericolosa aperta, si possono impiegare dispositivi di protezione funzionanti senza contatto, come ad esempio una barriera ottica. All'interruzione del fascio luminoso viene attivato un segnale di disinserzione.

Struttura

Figura 3-16 Sorveglianza di accesso con una barriera ottica fino a SIL 3 o PL e mediante un

dispositivo di sicurezza



Funzionamento La barriera ottica consiste di un emettitore e un ricevitore. Tra entrambi si trova il campo di rilevamento. Se il fascio luminoso non è interrotto, le uscite OSSD1 e OSSD2 sono in tensione e vengono analizzate dal dispositivo di sicurezza. Ad una interruzione del fascio luminoso entrambe le uscite vengono disinserite e il dispositivo di sicurezza apre i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se il fascio luminoso è interrotto e il circuito di retroazione è chiuso, è possibile la reinserzione. In funzione dell'applicazione essa può avvenire automaticamente o mediante il pulsante START.


Barriera ottica Dispositivo di sicurezza Contattore

SICK C4000 3SK1



switching)









3.4.3 Sorveglianza di accesso con una barriera ottica fino a SIL 3 o PL e mediante un sistema di sicurezza modulare

Impiego Per sorvegliare l'accesso ad un'area pericolosa aperta, si possono impiegare dispositivi di protezione funzionanti senza contatto, come ad esempio una barriera ottica. All'interruzione del fascio luminoso viene attivato un segnale di disinserzione.

Struttura

Figura 3-17 Sorveglianza di accesso con una barriera ottica fino a SIL 3 o PL e mediante un sistema




Funzionamento La barriera ottica consiste di un emettitore e un ricevitore. Tra entrambi si trova il campo di rilevamento. Se il fascio luminoso non è interrotto, le uscite OSSD1 e OSSD2 sono in tensione e vengono analizzate dal sistema di sicurezza modulare. Ad una interruzione del fascio luminoso entrambe le uscite vengono disinserite e il sistema di sicurezza modulare apre i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se il fascio luminoso è interrotto e il circuito di retroazione è chiuso, è possibile la reinserzione. In funzione dell'applicazione essa può avvenire automaticamente o mediante il pulsante START.


Barriera ottica Sistema di sicurezza modulare Contattore

SICK C4000 3RK3



switching)









3.4.4 Sorveglianza di accesso con un tappeto sensibile di sicurezza fino a SIL 3 o PL e mediante un dispositivo di sicurezza

Impiego Per sorvegliare l'accesso ad un'area pericolosa aperta, si possono impiegare tappeti sensibili di sicurezza, che, se calpestati, attivano un segnale di disinserzione.

Struttura

Figura 3-18 Sorveglianza di accesso con un tappeto sensibile di sicurezza fino a SIL 3 o PL e

mediante un dispositivo di sicurezza



Funzionamento Con il dispositivo di sicurezza 3SK1 è possibile analizzare tappeti sensibili di sicurezza sulla base del principio del contatto di riposo (o contatto di riposo-contatto di lavoro). Secondo questo principio il circuito dei sensori a due canali viene interrotto all'entrata di qualcuno. Il dispositivo di sicurezza apre quindi i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se il tappeto sensibile di sicurezza è libero e il circuito di retroazione è chiuso, è possibile la reinserzione. In funzione dell'applicazione essa può avvenire automaticamente o mediante il pulsante START.

Componenti di sicurezza Tappeto sensibile di sicurezza Dispositivo di sicurezza Contattore


relays)


switching)









3.4.5 Sorveglianza di accesso con un tappeto sensibile di sicurezza fino a SIL 3 o PL e mediante un sistema di sicurezza modulare

Impiego Per sorvegliare l'accesso ad un'area pericolosa aperta, si possono impiegare tappeti sensibili di sicurezza, che, se calpestati, attivano un segnale di disinserzione.

Struttura

Figura 3-19 Sorveglianza di accesso con un tappeto sensibile di sicurezza fino a SIL 3 o PL e

mediante un sistema di sicurezza modulare



Funzionamento I tappeti sensibili di sicurezza funzionano secondo il principio del contatto di riposo o il principio del cortocircuito trasversale. Secondo il principio del contatto di riposo il circuito dei sensori a due canali viene interrotto all'entrata di qualcuno. Invece secondo il principio del cortocircuito trasversale, all'entrata di qualcuno avviene un cortocircuito trasversale di entrambi i circuiti dei sensori. In entrambi i casi il segnale viene analizzato dal sistema di sicurezza modulare. Il sistema di sicurezza modulare apre quindi i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se il tappeto sensibile di sicurezza è libero e il circuito di retroazione è chiuso, è possibile la reinserzione. In funzione dell'applicazione essa può avvenire automaticamente o mediante il pulsante START.


Tappeto sensibile di sicurezza Sistema di sicurezza modulare Contattore


mss)


switching)









3.4.6 Sorveglianza di area con un Laser Scanner fino a SIL 2 o PL d mediante un dispositivo di sicurezza

Impiego Per sorvegliare intere aree riguardo ad accessi non autorizzati, si impiegano spesso i Laser Scanner. Questi sorvegliano un'area pericolosa estesa e, se riconoscono oggetti, attivano un segnale di disinserzione.

Struttura

Figura 3-20 Sorveglianza di area con un Laser Scanner fino a SIL 2 o PL d mediante un dispositivo

di sicurezza



Funzionamento Il Laser Scanner sorveglia un'area di sicurezza estesa. Questa può essere suddivisa di regola in un'area di avviso e in un'area pericolosa. All'entrata nell'area di avviso viene emesso un avviso ad es. mediante una lampada di segnalazione. Invece all'entrata nell'area di sicurezza la macchina viene disinserita. Durante il normale funzionamento le uscite OSSD1 e OSSD2 sono in tensione e vengono analizzate dal dispositivo di sicurezza. Ad una interruzione del fascio luminoso entrambe le uscite vengono disinserite e il dispositivo di sicurezza apre i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se il fascio luminoso è interrotto e il circuito di retroazione è chiuso, è possibile la reinserzione. In funzione dell'applicazione essa può avvenire automaticamente o mediante il pulsante START.


Laser Scanner Dispositivo di sicurezza Contattore

SICK S3000 3SK1



switching)









3.4.7 Sorveglianza di accesso con un Laser Scanner fino a SIL 2 o PL d mediante un sistema di sicurezza modulare

Impiego Per sorvegliare intere aree riguardo ad accessi non autorizzati, si impiegano spesso i Laser Scanner. Questi sorvegliano un'area pericolosa estesa e, se riconoscono oggetti, attivano un segnale di disinserzione.

Struttura

Figura 3-21 Sorveglianza di accesso con un Laser Scanner fino a SIL 2 o PL d mediante un sistema




Funzionamento Il Laser Scanner sorveglia un'area di pericolo estesa. Questa può essere suddivisa di regola in un'area di avviso e in un'area pericolosa. All'entrata nell'area di avviso viene emesso un avviso ad es. mediante una lampada di segnalazione. Invece all'entrata nell'area di sicurezza la macchina viene disinserita. Durante il normale funzionamento le uscite OSSD1 e OSSD2 sono in tensione e vengono analizzate dal dispositivo di sicurezza. Ad una interruzione del fascio luminoso entrambe le uscite vengono disinserite e il dispositivo di sicurezza apre i circuiti di abilitazione, per cui i contattori di potenza vengono disinseriti in sicurezza. Se il fascio luminoso è interrotto e il circuito di retroazione è chiuso, è possibile la reinserzione. In funzione dell'applicazione essa può avvenire automaticamente o mediante il pulsante START.


Laser Scanner Sistema di sicurezza modulare Contattore

SICK S3000 3RK3



switching)









3.4.8 Ulteriori esempi applicativi e FAQ Ulteriori esempi applicativi e FAQ sul tema "Sorveglianza di aree pericolose aperte" si trovano all'indirizzo Siemens Support (http://support.automation.siemens.com/WW/view/en/73133557).


Esempi applicativi 3.5 Sorveglianza di velocità sicura e stato di fermo sicuro


3.5 Sorveglianza di velocità sicura e stato di fermo sicuro

3.5.1 Introduzione In macchine, nelle quali il loro movimento o parti mobili possono comportare un pericolo per l'uomo e la macchina si impiega spesso una sorveglianza della velocità e dello stato di fermo.

Spesso queste applicazioni sono realizzate in combinazione con ripari (porta/riparo di protezione).

I dispositivi di interblocco con blocco di ritenuta servono per proteggere aree pericolose da intrusioni involontarie. Ciò in generale per due motivi:

1. Per la protezione dell'uomo da movimenti pericolosi di macchine funzionanti, da temperature elevate etc. Qui valgono le linee guida ISO 14119 o EN 1088 per la configurazione e la scelta di dispositivi di interblocco. Esse prescrivono che l'area pericolosa possa essere accessibile solo dopo l'arresto in stato di fermo del movimento pericoloso della macchina.

2. Un blocco di ritenuta può essere opportuno per la sicurezza del processo. È questo il caso in cui il pericolo viene escluso dopo l'apertura del riparo di protezione, ma ne possono derivare danni alla macchina o al pezzo in lavorazione. Qui la macchina viene pilotata in una posizione di fermo controllata prima che l'accesso venga abilitato.

Con la sorveglianza di velocità il blocco di ritenuta di una porta/un riparo di protezione viene rimosso solo quando la parte mobile si trova nello stato di fermo o si muove ad una velocità di sicurezza.

Contrariamente alla sorveglianza di velocità, con la sorveglianza di stato di fermo ad es. un blocco di ritenuta di una porta/un riparo di protezione viene rimosso solo quando è raggiunto lo stato di fermo.



3.5.2 Sorveglianza di velocità sicura fino a SIL 2 o PL d con un dispositivo di sicurezza e relè di controllo velocità

Impiego Per garantire che anche in caso di errore la velocità di un motore venga limitata e pertanto l'uomo sia protetto da possibili cadute di parti di utensili, la velocità viene sorvegliata mediante due relè di controllo velocità e un dispositivo di sicurezza.

Struttura

Figura 3-22 Sorveglianza di velocità sicura fino a SIL 2 o PL d con un dispositivo di sicurezza e relè

di controllo velocità



Funzionamento Grazie all'impiego ridondante di due relè di controllo velocità standard è possibile raggiungere fino a SIL 2 o PL d. Su entrambi i relè di controllo velocità viene impostato un determinato limite di velocità o un determinato campo di velocità (limite superiore e limite inferiore). Essi sorvegliano continuamente la velocità del motore e segnalano il rispetto o il superamento del limite di velocità o del campo di velocità tramite contatti di relè.

Il dispositivo di sicurezza sorveglia a sua volta i segnali dei relè di controllo velocità riguardo a discrepanza e cortocircuito trasversale. Se la velocità del motore supera il limite di velocità o esce dal campo di velocità, il motore viene subito disinserito in sicurezza. Se la velocità del motore scende sotto il limite di velocità o rientra nel campo di velocità oppure si è nello stato di fermo e il circuito di retroazione è chiuso, è possibile la reinserzione mediante il pulsante START.



Nota

Se si impiegano due relè di controllo velocità nel circuito dei sensori per il rilevamento di grandezze di processo, può succedere che un relè di controllo velocità riconosca un superamento di limite prima dell'altro. Ciò può dipendere da differenze di impostazione e di misura degli apparecchi e dei sensori esterni.

Nell'esempio sopra riportato, ad un aumento continuo della velocità, un relè di controllo potrebbe riconoscere il superamento di limite un po' prima del secondo. In questo caso viene disinserita l'alimentazione di energia dell'azionamento. La velocità scende immediatamente. A causa del confronto incrociato necessario degli ingressi nell'analisi di sicurezza resta presente un errore di discrepanza. Una reinserzione dell'applicazione è possibile solo dopo il passaggio per lo zero di entrambi i canali. In questo caso è necessario verificare e resettare manualmente i relè di controllo.

Ciò può avvenire con la sorveglianza di grandezze di processo in lenta crescita. Possibilità per evitare un errore di discrepanza sono ad es.: • Determinazione empirica dei parametri di impostazione per la sincronizzazione dei relè di

controllo • Identica esecuzione dei circuiti dei sensori esterni (sensori dello stesso tipo, lunghezze

cavo uguali etc.)


Relè di controllo velocità Dispositivo di sicurezza Contattore

2 x 3UG4651

(http://www.siemens.com/sirius-monitoring)


relays)


switching)

http://www.siemens.com/sirius-monitoring








3.5.3 Sorveglianza di velocità sicura fino a SIL 3 o PL e con un dispositivo di controllo velocità

Impiego Per garantire che anche in caso di errore la velocità di un motore venga limitata e pertanto l'uomo sia protetto da possibili cadute di parti di utensili, la velocità viene sorvegliata mediante un dispositivo di controllo velocità.

Struttura

Figura 3-23 Sorveglianza di velocità sicura fino a SIL 3 o PL e con un dispositivo di controllo velocità



Funzionamento Sul dispositivo di controllo velocità viene impostato un determinato limite di velocità o un determinato campo di velocità (limite superiore e limite inferiore). Tramite un selettore del modo di funzionamento si può commutare tra funzionamento di messa a punto e funzionamento automatico con rispettivi campi di velocità. Al superamento in positivo o in negativo della rispettiva finestra di velocità i contattori di potenza vengono disinseriti in sicurezza. Non appena gli attuatori sono disinseriti e il circuito di retroazione è chiuso, è possibile la reinserzione mediante il pulsante START.


Dispositivo di controllo velocità Contattore

3TK2810-1

(http://www.automation.siemens.com/mcms/industrial-controls/en/safety-systems/3tk28)

2 x 3RT20 (http://www.siemens.com/sirius-switching)








3.5.4 Sorveglianza di stato di fermo sicuro con blocco di ritenuta per porta/riparo di protezione fino a SIL 3 o PL e mediante un sistema di sicurezza modulare

Impiego Il sistema di sicurezza modulare sorveglia una porta/un riparo di protezione. Il dispositivo di controllo stato di fermo assicura che durante il funzionamento del motore non sia consentito alcun accesso a parti di macchina mobili, che comportano pericolo.

Figura 3-24 Sorveglianza di stato di fermo sicuro con blocco di ritenuta per porta/riparo di protezione

fino a SIL 3 o PL e mediante un sistema di sicurezza modulare



Funzionamento Il dispositivo di controllo stato di fermo sicuro 3TK2810-0 misura una tensione indotta mediante magnetizzazione residua del motore in fase di arresto su tre morsetti dell'avvolgimento statorico. Se la tensione indotta tende a 0, questo indica per il dispositivo lo stato di fermo del motore e i relè di uscita vengono attivati. Il sistema di sicurezza modulare sorveglia questo segnale del dispositivo di controllo stato di fermo nonché entrambi gli interruttori di sicurezza. Se lo stato di fermo del motore viene riconosciuto e il pulsante di sblocco viene azionato, il blocco di ritenuta viene rimosso e il riparo di protezione può essere aperto. Contemporaneamente i contattori vengono disinseriti in sicurezza ed è pertanto impedito un riavviamento inatteso del motore. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START. L'arresto di emergenza rappresenta una funzione di sicurezza addizionale, che qui non viene ulteriormente considerata.



Dispositivo di controllo stato di fermo

Sistema di sicurezza modulare

Modulo di ampliamento

Contattore

2 x 3SE5


3TK2810-0 (http://www.automation.siemens.com/mcms/industrial-controls/en/safety-

systems/3tk28)

3RK3 (http://www.siemens.co

m/sirius-mss)

3RK3 (http://www.siemens.com/sirius-mss)


















3.5.5 Sorveglianza di velocità sicura, porta/riparo di protezione e blocco di ritenuta fino a SIL 2 o PL d con un sistema di sicurezza modulare e un relè di controllo velocità

Impiego Il sistema di sicurezza modulare assicura mediante il relè di controllo velocità che a partire da una velocità impostabile non sia consentito alcun accesso a parti di macchina mobili, che comportano pericolo.

Struttura

Figura 3-25 Sorveglianza di velocità sicura, porta/riparo di protezione e blocco di ritenuta fino a SIL 2

o PL d con un sistema di sicurezza modulare e un relè di controllo velocità



Funzionamento Grazie all'impiego ridondante di due relè di controllo velocità standard è possibile raggiungere fino a SIL 2 o PL d. A questo scopo viene impostata una finestra di velocità sicura sul relè di controllo velocità. Finché la velocità si trova al di fuori di questa finestra di velocità sicura è impedito l'accesso a parti di macchina mobili, che comportano pericolo, mediante una porta/un riparo di protezione con blocco di ritenuta. Il sistema di sicurezza modulare sorveglia i segnali del dispositivo di controllo velocità nonché entrambi gli interruttori di sicurezza.

Finché la velocità del motore si trova dentro la finestra di velocità sicura, è possibile rimuovere il blocco di ritenuta mediante il pulsante di sblocco e aprire la porta/il riparto di protezione. Se la velocità del motore esce dalla finestra di velocità sicura mentre la porta è aperta, il motore viene subito disinserito in sicurezza. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START.

In questo esempio sia la funzione di sicurezza "Sorveglianza di porta/riparo di protezione" sia la funzione di sicurezza "Blocco di ritenuta per porta/riparo di protezione" sono conformi fino a SIL 2 o PL d.

Tenendo conto dell'esclusione di errori, l'impiego di solo un interruttore di sicurezza con o senza blocco di ritenuta è consentito fino a SIL 2 o PL d. Per ulteriori informazioni consultare il documento sotto riportato.



Nota

Se si impiegano due relè di controllo velocità nel circuito dei sensori per il rilevamento di grandezze di processo, può succedere che un relè di controllo velocità riconosca un superamento di limite prima dell'altro. Ciò può dipendere da differenze di impostazione e di misura degli apparecchi e dei sensori esterni.

Nell'esempio sopra riportato, ad un aumento continuo della velocità, un relè di controllo potrebbe riconoscere il superamento di limite un po' prima del secondo. In questo caso viene disinserita l'alimentazione di energia dell'azionamento. La velocità scende immediatamente. A causa del confronto incrociato necessario degli ingressi nell'analisi di sicurezza resta presente un errore di discrepanza. Una reinserzione dell'applicazione è possibile solo dopo il passaggio per lo zero di entrambi i canali. In questo caso è necessario verificare e resettare manualmente i relè di controllo.

Ciò può avvenire con la sorveglianza di grandezze di processo in lenta crescita. Possibilità per evitare un errore di discrepanza sono ad es.: • Determinazione empirica dei parametri di impostazione per la sincronizzazione dei relè di

controllo • Identica esecuzione dei circuiti dei sensori esterni (sensori dello stesso tipo, lunghezze

cavo uguali etc.)


Interruttore di

sicurezza con blocco di ritenuta

Relè di controllo velocità Sistema di sicurezza modulare


Contattore

3SE5 (a 2 canali)


2 x 3UG4651 (http://www.siemens.com/

sirius-monitoring)

3RK3 (http://www.siemens.

com/sirius-mss)

3RK3 (http://www.siemens.

com/sirius-mss)

2 x 3RT20 (http://www.siemens.com

/sirius-switching)













3.5.6 Sorveglianza di velocità sicura, porta/riparo di protezione e blocco di ritenuta fino a SIL 3 o PL e con un dispositivo di controllo velocità

Impiego Il dispositivo di controllo velocità assicura che a partire da una velocità impostabile non sia consentito alcun accesso a parti di macchina mobili, che comportano pericolo.

Struttura

Figura 3-26 Sorveglianza di velocità sicura, porta/riparo di protezione e blocco di ritenuta fino a SIL 3

o PL e con un dispositivo di controllo velocità



Funzionamento Sul dispositivo di controllo velocità viene impostata una finestra di velocità. Finché la velocità si trova al di fuori di questa finestra di velocità sicura è impedito l'accesso a parti di macchina mobili, che comportano pericolo, mediante una porta/un riparo di protezione con blocco di ritenuta. Contemporaneamente il dispositivo di controllo velocità sorveglia la posizione della porta/del riparo di protezione. Tramite un selettore del modo di funzionamento si può commutare tra funzionamento di messa a punto e funzionamento automatico con rispettive finestre di velocità. Tramite due uscite a relè vengono emessi segnali relativi al riconoscimento di uno stato di fermo e al rispetto della finestra di velocità impostata.

Nel funzionamento automatico la porta/il riparo di protezione resta bloccato finché non viene riconosciuto uno stato di fermo. Al superamento in positivo o in negativo della finestra di velocità nel funzionamento automatico i contattori di potenza vengono disinseriti in sicurezza. Nel funzionamento di messa a punto il riparo di protezione è sempre abilitato. Al superamento in positivo o in negativo della finestra di velocità nel funzionamento di messa a punto i contattori di potenza vengono disinseriti.

Con riparo di protezione aperto il dispositivo di controllo velocità assicura che il motore non possa essere inserito. Se la porta/il riparo e il circuito di retroazione sono chiusi, è possibile la reinserzione mediante il pulsante START.



Dispositivo di controllo velocità

Contattore

2 x 3SE5


3TK2810-1 (http://www.automation.siemens.

com/mcms/industrial-controls/en/safety-

systems/3tk28)


switching)













3.5.7 Ulteriori esempi applicativi e FAQ Ulteriori esempi applicativi e FAQ sul tema "Sorveglianza di velocità sicura e stato di fermo sicuro" si trovano all'indirizzo Siemens Support (http://support.automation.siemens.com/WW/view/en/73135301).


Esempi applicativi 3.6 Comando sicuro


3.6 Comando sicuro

3.6.1 Introduzione Se un operatore deve lavorare in una zona pericolosa di una macchina, ad es. per introdurre o estrarre pezzi su presse, punzonatrici o macchine simili, sono necessarie funzioni di sicurezza per il comando sicuro della macchina. L'avvio del movimento che comporta pericolo può ad es. avvenire se nessuna parte del corpo dell'operatore si trova nella zona pericolosa. Un modo per assicurare questa condizione è l'impiego di un comando a due mani. In questo caso l'operatore deve azionare contemporaneamente con entrambe le mani un pulsante, per avviare la macchina o il movimento che comporta pericolo. Il rilascio del pulsante causa l'arresto della macchina o del movimento.

Nel seguente capitolo sono riportati esempi applicativi con comando a due mani per il comando sicuro di una macchina.

Nota

La scelta di un circuito di comando a due mani come dispositivo di sicurezza adatto dipende dalla valutazione del rischio.



3.6.2 Comando a due mani fino a SIL 1 o PL c con un dispositivo di sicurezza

Impiego I pulpiti di comando a due mani consistono di due pulsanti, che devono essere azionati simultaneamente per il funzionamento di una macchina. Si impedisce così che l'operatore possa accedere alla zona pericolosa durante il funzionamento della macchina.

Struttura

Figura 3-27 Comando a due mani fino a SIL 1 o PL c con un dispositivo di sicurezza



Funzionamento L'azionamento simultaneo di entrambi i pulsanti di comando vincola l'operatore a restare con le mani sul pulpito impedendone così l'accesso alla zona pericolosa. Il dispositivo di sicurezza attiva i circuiti di abilitazione solo se entrambi i segnali sono presenti entro 500 ms e il circuito di retroazione è chiuso. Al rilascio di uno dei due pulsanti il dispositivo di sicurezza disinserisce subito la macchina in sicurezza. Dopo l'azionamento del dispositivo di arresto di emergenza è possibile la reinserzione mediante il pulsante START.


Pulpito di comando a due mani Dispositivo di sicurezza

Modulo di ampliamento ingressi

Contattore

3SB38


3SK1 (http://www.siemens.com/safety-relays)


safety-relays)

3RT20 (http://www.siemens.com/

sirius-switching)













3.6.3 Comando a due mani fino a SIL 3 o PL e con un sistema di sicurezza modulare

Impiego I pulpiti di comando a due mani consistono di due pulsanti, che devono essere azionati simultaneamente per il funzionamento di una macchina. Si impedisce così che l'operatore possa accedere alla zona pericolosa durante il funzionamento della macchina.

Struttura

Figura 3-28 Comando a due mani fino a SIL 3 o PL e con un sistema di sicurezza modulare



Funzionamento L'azionamento simultaneo di entrambi i pulsanti di comando vincola l'operatore a restare con le mani sul pulpito impedendone così l'accesso alla zona pericolosa. Il sistema di sicurezza modulare attiva i circuiti di abilitazione solo se entrambi i segnali sono presenti entro 500 ms e il circuito di retroazione è chiuso. Al rilascio di uno dei due pulsanti il sistema di sicurezza modulare disinserisce subito la macchina in sicurezza. Grazie ad una struttura a quattro canali nel pulpito di comando a due mani è assicurato che un'eventuale saldatura di uno dei contatti venga subito riconosciuta. Dopo l'azionamento del dispositivo di arresto di emergenza è possibile la reinserzione mediante il pulsante START.


Pulpito di comando a due mani Sistema di sicurezza modulare

Contattore

3SB38 (http://www.siemens.com/sirius-

commanding)


sirius-mss)


switching)











3.6.4 Ulteriori esempi applicativi e FAQ Ulteriori esempi applicativi e FAQ sul tema "Comando sicuro" si trovano all'indirizzo Siemens Support (http://support.automation.siemens.com/WW/view/en/73136291).


Esempi applicativi 3.7 Tipiche combinazioni di più funzioni di sicurezza


3.7 Tipiche combinazioni di più funzioni di sicurezza

3.7.1 Introduzione In rarissimi casi è sufficiente una funzione di sicurezza per una macchina. Spesso si devono realizzare contemporaneamente varie funzioni di sicurezza, tra quelle descritte nei capitoli precedenti, per una macchina al fine di raggiungere il necessario livello di sicurezza.

Nel seguente capitolo sono mostrati esempi applicativi con tipiche combinazioni di funzioni di sicurezza.

Condizioni per il collegamento in serie di pulsanti di arresto di emergenza e sorveglianza di porta/riparo di protezione con interruttori di posizione

I pulsanti di arresto di emergenza e gli interruttori di posizione possono essere collegati in serie fino a Cat 3 (secondo ISO 13849) o SIL 2 (secondo IEC 62061) solo se può essere escluso l'azionamento contemporaneo del pulsante di arresto di emergenza e della porta/del riparo di protezione (poiché altrimenti non può avvenire alcuna individuazione di errore).



3.7.2 Sorveglianza di arresto di emergenza e sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un dispositivo di sicurezza

Impiego Per la delimitazione di aree pericolose si ricorre spesso all'impiego di porte/ripari di protezione. In questo caso viene sorvegliata la loro posizione ed eventualmente interdetta l'area, dalla quale proviene il pericolo. Inoltre viene sorvegliato un pulsante di arresto di emergenza per la disinserzione della macchina in caso di emergenza.

Struttura

Figura 3-29 Sorveglianza di arresto di emergenza e sorveglianza di porta/riparo di protezione fino a

SIL 3 o PL e con un dispositivo di sicurezza



Funzionamento Il dispositivo di sicurezza sorveglia entrambi gli interruttori di sicurezza nonché entrambi i contatti di arresto di emergenza tramite un modulo di ampliamento ingressi addizionale All'azionamento del pulsante di arresto di emergenza o all'apertura della porta/del riparo di protezione, il dispositivo di sicurezza apre i circuiti di abilitazione e disinserisce i contattori di potenza in sicurezza. Se il riparo è chiuso, il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione è chiuso, è possibile la reinserzione mediante il pulsante START.



Interruttori di posizione Dispositivo di sicurezza


ingressi

Contattore

3SB3 (a 2 canali) (http://www.siemens.com/sirius-commanding)

2 x 3SE5 (http://www.siemens.com/si

rius-detecting)


















3.7.3 Sorveglianza di arresto di emergenza e sorveglianza di porta/riparo di protezione fino a SIL 3 o PL e con un sistema di sicurezza modulare

Impiego Per la delimitazione di aree pericolose si ricorre spesso all'impiego di porte/ripari di protezione. In questo caso viene sorvegliata la loro posizione ed eventualmente interdetta l'area, dalla quale proviene il pericolo. Inoltre viene sorvegliato un pulsante di arresto di emergenza per la disinserzione della macchina in caso di emergenza.

Struttura

Figura 3-30 Sorveglianza di arresto di emergenza e sorveglianza di porta/riparo di protezione fino a

SIL 3 o PL e con un sistema di sicurezza modulare



Funzionamento Il sistema di sicurezza modulare sorveglia entrambi gli interruttori di sicurezza nonché il pulsante di arresto di emergenza a due canali. All'azionamento del pulsante di arresto di emergenza o all'apertura della porta/del riparo di protezione, il sistema di sicurezza modulare apre i circuiti di abilitazione e disinserisce i contattori di potenza in sicurezza. Se il riparo è chiuso, il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione è chiuso, è possibile la reinserzione mediante il pulsante START.




Contattore

3SB3 (a 2 canali) (http://www.siemens.com/

sirius-commanding)

2 x 3SE5 (http://www.siemens.com/sirius-

detecting)

3RK3 (http://www.siemens.com

/sirius-mss)


-switching)













3.7.4 Disinserzione di arresto di emergenza di più motori fino a SIL 3 o PL e con un dispositivo di sicurezza

Impiego Se per un requisito di sicurezza si devono disinserire contemporaneamente più azionamenti (ad es. slitta portautensile, utensile di macchina, dispositivo di aspirazione), ciò può avvenire mediante moduli di ampliamenti uscite con circuiti di abilitazione addizionali.

Struttura

Figura 3-31 Disinserzione di arresto di emergenza di più motori fino a SIL 3 o PL e con un dispositivo

di sicurezza



Funzionamento Il dispositivo di sicurezza sorveglia il pulsante di arresto di emergenza a due canali. All'azionamento del pulsante di arresto di emergenza, il dispositivo di sicurezza e i moduli di ampliamento uscite aprono i circuiti di abilitazione e disinseriscono i contattori di potenza in sicurezza. Se il pulsante di arresto di emergenza è sbloccato e il circuito di retroazione di tutti gli attuatori è chiuso, è possibile la reinserzione mediante il pulsante START. La disinserzione dei singoli azionamenti rappresenta una rispettiva funzione di sicurezza, anche se il comando di disinserzione viene dallo stesso pulsante di arresto di emergenza e dispositivo di sicurezza.



Dispositivo di sicurezza Modulo di ampliamento uscite

Contattore

3SB3 (a 2 canali)


3SK1 (http://www.siemens.com

/safety-relays)


safety-relays)


switching)













3.7.5 Collegamento in cascata di dispositivi di sicurezza fino a SIL 3 o PL e

Impiego Il collegamento in cascata di dispositivi di sicurezza serve a collegare più dispositivi di sicurezza in serie. In questo modo è possibile combinare logicamente più funzioni di sicurezza con un tracciato di arresto comune. Contemporaneamente, per una disinserzione selettiva degli elementi di azionamento si possono creare più circuiti di abilitazione.

Struttura

Figura 3-32 Collegamento in cascata di dispositivi di sicurezza fino a SIL 3 o PL e



Funzionamento Entrambi i dispositivi di sicurezza rappresentati sono combinati tra di loro tramite l'ingresso per collegamento in cascata. Se viene attivato l'arresto di emergenza dal primo dispositivo di sicurezza, entrambi i dispositivi di sicurezza disinseriscono i loro attuatori. Invece con l'apertura della calotta di protezione rappresentata viene ad es. disinserito solo l'attuatore che sta dietro. Se è stato attivato un arresto di emergenza dal dispositivo di sicurezza sovraordinato, il dispositivo di sicurezza sottordinato deve essere reinserito manualmente con il pulsante START. Un pulsante START globale è possibile solo se tutte le aree pericolose sono visibili da questo pulsante START.

Componenti di sicurezza Pulsante di arresto di emergenza Interruttore di sicurezza Dispositivo di sicurezza Contattore

3SB3 (a 2 canali)


2 x 3SE5 (http://www.siemens.com/

sirius-detecting)


safety-relays)


-switching)












Prescrizioni e norme 4 4.1 Prescrizioni e norme nell'Unione Europea (UE)

4.1.1 Sicurezza delle macchine in Europa

4.1.1.1 Fondamenti giuridici

Direttiva macchine (2006 / 42 / CE) Con l'introduzione del mercato interno unico europeo si è deciso di uniformare le normative e prescrizioni nazionali di tutti gli stati membri CE, che riguardano la realizzazione tecnica di macchine. Di conseguenza i singoli stati membri hanno dovuto recepire nel proprio diritto nazionale la Direttiva Macchine come una Direttiva del Mercato Interno. In Germania il contenuto della Direttiva Macchine è stato implementato come 9º ordinamento della legge sulla sicurezza del prodotto (9º ProdSV). Ciò è avvenuto per la Direttiva Macchine alla luce di obiettivi di protezione comuni allo scopo di evitare ostacoli tecnici al commercio. Il campo di applicazione della Direttiva Macchine è molto ampio come è implicito nella sua definizione "La macchina è un insieme composto di parti o di componenti, di cui almeno uno mobile, collegati tra loro solidamente". Il campo d'impiego si estende inoltre ad includere equipaggiamenti intercambiabili, componenti di sicurezza, mezzi di trasporto carichi, catene, cinghie, funi, alberi cardanici e macchine incomplete.

Come "macchina" viene designato anche un insieme di macchine, che sono coordinate e azionate in modo tale da funzionare come insieme integrato al fine di interagire.

Il campo di applicazione della Direttiva Macchine si estende pertanto da una semplice macchina fino ad un intero impianto.

Il soddisfacimento dei requisiti fondamentali di sicurezza e tutela della salute nell'allegato I della direttiva è assolutamente vincolante per la sicurezze delle macchine. Il costruttore deve rispettare i principi enunciati nell'allegato I paragrafo 1.1.2 per l'integrazione della sicurezza.

Prescrizioni e norme 4.1 Prescrizioni e norme nell'Unione Europea (UE)


Gli obiettivi di protezione devono essere responsabilmente raggiunti al fine di soddisfare la conformità alla direttiva. Il costruttore di una macchina deve produrre un attestato di conformità ai requisiti fondamentali. La produzione di questo attestato è agevolata dall'applicazione delle norme armonizzate. Per le macchine secondo l'allegato IV della Direttiva Macchine, che rappresentano un potenziale di pericolo più elevato, è richiesto un processo di certificazione. (Raccomandazione: anche le macchine, che non sono specificate nell'allegato IV, possono rappresentare un potenziale di pericolo elevato e dovrebbero essere trattate in modo analogo.)

Figura 4-1 Direttive europee per macchine



Norme Per poter immettere sul mercato o gestire prodotti, questi devono soddisfare i requisiti fondamentali delle direttive UE. Per il soddisfacimento di questi requisiti di sicurezza le norme possono essere di valido aiuto. A questo riguardo si deve fare distinzione nell'UE tra norme armonizzate sotto una direttiva UE e norme, che sono sì ratificate, ma non sono armonizzate sotto una specifica direttiva, nonché altre regole tecniche, denominate come "norme nazionali" nelle direttive.

Le norme ratificate descrivono lo stato riconosciuto della tecnica. Ciò significa che il costruttore può attestare mediante la loro applicazione di aver soddisfatto lo stato riconosciuto della tecnica.

Fondamentalmente tutte le norme ratificate come norme europee devono essere assunte senza modifiche nella normativa nazionale dei Paesi membri, indipendentemente dal fatto che esse siano o non siano armonizzate sotto una direttiva. Le norme nazionali esistenti sullo stesso tema devono quindi essere revocate. In questo modo si arriverà ad avere in Europa una normativa unitaria (senza incoerenze e contraddizioni).

Norme europee armonizzate

Le norme europee armonizzate (norme EN) vengono pubblicate nella Gazzetta ufficiale delle Comunità Europee e sono pertanto da assumere senza modifiche nelle norme nazionali.

Esse servono per soddisfare i requisiti essenziali di sicurezza e di tutela della salute nonché per conseguire gli obiettivi di protezione citati nell'allegato I della Direttiva Macchine.

Con il rispetto delle norme armonizzate si ottiene una "presunzione automatica di conformità" alla direttiva, cioè il costruttore può confidare nel fatto di essersi attenuto agli aspetti di sicurezza previsti dalla direttiva, nella misura in cui questi sono trattati nella rispettiva norma. Tuttavia, non tutte le norme europee sono armonizzate in questo senso. Sono decisive le liste pubblicate nella Gazzetta ufficiale europea. Queste liste sono consultabili sempre attuali in Internet (http://www.newapproach.org/).

http://www.newapproach.org/



4.1.1.2 Procedura di conformità CE

Procedura di conformità CE

Fasi nella procedura di conformità CE La procedura di conformità CE si articola in diverse fasi, che devono essere eseguite durante l'intero ciclo di vita (pianificazione, costruzione, installazione, esercizio e manutenzione).

Figura 4-2 Procedura di conformità CE per macchine e impianti

Già durante la pianificazione si devono definire le direttive applicabili nella fase 1. Si può qui trattare di nessuna, una o più direttive. (Ad es. Direttiva Macchine, vedere capitolo 2.2.1)

Nella fase 2 viene definito il processo di valutazione della conformità alle direttive da applicare definite nella fase 1.

Nella fase 3 segue la definizione delle norme applicabili.

La successiva fase 4 comprende la valutazione del rischio della macchina, la riduzione del rischio e la validazione. Anche l'analisi delle parti relative alla sicurezza del sistema di comando della macchina appartiene a questa fase. I singoli passi della fase 4 vengono illustrati nelle sezioni seguenti.



Parallelamente all'intero processo di pianificazione, sviluppo e messa in servizio vengono create le documentazioni tecniche; ciò costituisce la fase 5. Le documentazioni tecniche devono essere completamente disponibili alla fornitura della macchina. Ciò riguarda documentazione tecnica (vedere l'allegato VII della Direttiva Macchine), attestato di conformità, eventuali protocolli di collaudo, documenti di trasporto etc.

Se la validazione ha avuto esito positivo, allora può essere prodotta nella fase 6 la dichiarazione di conformità o la dichiarazione di incorporazione e nella fase 7 può essere applicato alla macchina il marchio CE.

Ogni costruttore ha l'obbligo di controllare il suo prodotto anche dopo l'immissione sul mercato riguardo ad eventuali difetti occulti. Ciò è contemplato nella fase 8 dell'assicurazione della qualità e nella fase 9 del monitoraggio del prodotto. Vanno così ad es. raccolte informazioni per verificare se il prodotto viene effettivamente impiegato come inizialmente previsto e come esso si comporta nel corso del suo ciclo di vita.

In particolare è necessario prevenire con adeguate misure difetti pericolosi nonché utilizzi impropri o errati del prodotto. Se vengono scoperti difetti occulti, l'utente deve essere informato.



Valutazione del rischio Macchine e impianti comportano rischi intrinseci dovuti alla loro struttura e alle loro funzionalità. Per questo motivo la Direttiva Macchine esige una valutazione del rischio per ogni macchina ed eventualmente una riduzione del rischio fino al punto in cui il rischio residuo è minore di quello tollerabile. Per il processo di valutazione di questi rischi va utilizzata la norma EN ISO 12100 "Sicurezza del macchinario - Principi generali di progettazione - Valutazione del rischio e riduzione del rischio" (03 / 2011).

Sostanzialmente la EN ISO 12100 descrive i rischi da considerare e i principi generali di progettazione nonché il processo iterativo con valutazione del rischio e riduzione del rischio per raggiungere la sicurezza.

La valutazione del rischio è una sequenza di passi, che consentono la ricerca sistematica dei pericoli che provengono da macchine. Laddove necessario, alla valutazione del rischio segue una procedura di riduzione del rischio. Con la ripetizione di questa sequenza si realizza il processo iterativo, che consente di eliminare, per quanto possibile, i pericoli e di adottare corrispondenti misure di protezione.

La valutazione del rischio comprende i seguenti passi:

● Analisi del rischio

– Determinazione dei limiti della macchina

– Identificazione dei pericoli

– Stima del rischio

● Valutazione del rischio

Conformemente al processo iterativo per raggiungere la sicurezza, dopo la stima del rischio avviene una valutazione dei rischio. Si tratta qui di stabilire se è necessaria una riduzione del rischio. Se occorre ridurre ulteriormente il rischio, si dovranno scegliere e adottare opportune misure di protezione. In questo caso sarà anche necessario ripetere la valutazione del rischio.

La riduzione del rischio deve avvenire attraverso una corretta concezione e realizzazione della macchina, ad esempio tramite un sistema di comando adatto per le funzioni di sicurezza o mediante misure di protezione.

Figura 4-3 Processo iterativo per la valutazione del rischio secondo EN ISO 12100



Riduzione del rischio Se il rischio stimato risulta troppo alto, è necessario ridurlo fino a quando il rischio residuo rimasto non è inferiore al rischio tollerabile. A questo scopo si deve dapprima cercare mediante modifiche costruttive di rendere la macchina sicura. Qualora ciò non fosse possibile, bisogna ridurre il rischio mediante misure di protezione adatte.

● La gravità di un possibile danno può essere ad es. ridotta abbassando le velocità di movimento o le forze delle parti mobili delle macchine quando sono presenti delle persone.

● Mediante barriere è possibile diminuire la frequenza con la quale le persone si trovano nell'area pericolosa.

● Resta comunque sempre una certa probabilità, che una macchina non si comporti conformemente allo scopo applicativo o che i dispositivi di protezione si guastino. Ciò può essere causato da errori in qualsiasi parte della macchina. Una riduzione di questi fattori di rischio è ottenibile mediante una costruzione appropriata delle parti rilevanti per la sicurezza. Tra le parti rilevanti per la sicurezza rientra anche il sistema di comando della macchina, se il suo guasto può comportare un pericolo. Con la realizzazione del sistema di comando secondo IEC 62061 o ISO 13849-1 è possibile ridurre il rischio dipendente da errori del sistema di comando.

● La possibilità di impedire un danno può aumentare tra l'altro mediante il riconoscimento tempestivo di situazioni di pericolo, ad es. con lampade di segnalazione.

Un parametro comune di tutti questi elementi è la probabilità del verificarsi di un evento indesiderato. Diminuendo questa probabilità si può ottenere una riduzione del rischio.

Per la riduzione del rischio vanno eseguiti i seguenti passi:

Figura 4-4 Riduzione del rischio



Passo 1: Costruzione intrinsecamente sicura

La costruzione intrinsecamente sicura elimina i pericoli o riduce i rischi associati mediante una scelta appropriata di caratteristiche costruttive della macchina stessa e/o interazioni tra le persone in pericolo e la macchina.

Una costruzione sicura può essere ad es. realizzata con l'integrazione della sicurezza nella macchina (coperture, recinzioni etc.). Queste misure hanno massima priorità per quanto riguarda la riduzione del rischio. Esse devono:

● Evitare punti di schiacciamento

● Impedire scosse elettriche

● Includere concetti per un arresto in caso di emergenza

● Includere concetti per comando e manutenzione

Passo 2: Misure di protezione tecniche e/o misure di protezione addizionali

Tenendo conto dell'impiego conforme allo scopo applicativo e dell'utilizzo improprio ragionevolmente prevedibile possono essere scelte e adottate opportune misure di protezione tecniche e addizionali per ridurre il rischio, se l'eliminazione di pericoli risulta non realizzabile o i rischi associati non possono essere ridotti in misura sufficiente mediante una costruzione intrinsecamente sicura.

Nel passo 2 sono trattate tutte le funzioni di comando rilevanti per la sicurezza di una macchina. Per queste valgono requisiti speciali, il cui soddisfacimento deve essere provato.

Struttura tipica di una funzione di comando rilevante per la sicurezza:

● Rilevamento (interruttore di posizione, arresto di emergenza, barriera ottica etc.)

● Analisi (controllore fail-safe, dispositivo di sicurezza etc.)

● Reazione (contattore, convertitore di frequenza etc.)

Figura 4-5 Sistema di sicurezza per la funzione di sicurezza



Passo 3: Informazioni per l'utente

Se nonostante la costruzione intrinsecamente sicura e l'impiego di misure di protezione tecniche e addizionali persistono rischi, le informazioni per l'utente devono indurre a focalizzare l'attenzione su tutti i rischi residui.

Queste informazioni per l'utente comprendono ad es.:

● Avvertenze nelle Istruzioni operative

● Speciali istruzioni di lavoro

● Pittogrammi

● Nota per l'utilizzo di equipaggiamento protettivo personale

I requisiti posti alle parti fail-safe dei controllori sono classificati in base al grado di rischio o alla riduzione del rischio necessaria. L'EN ISO 13849-1 utilizza per la valutazione il Performance Level (PL) a più livelli gerarchici. L'IEC 62061 utilizza il "Safety Integrity Level (SIL)" per la classificazione. In entrambi i casi si tratta di una misura dell'efficienza di una funzione di comando in termini di sicurezza.

È importante in ogni caso, che tutte le parti del sistema di comando della macchina coinvolte nelle funzioni rilevanti per la sicurezza soddisfino questi requisiti, indipendentemente dalla norma applicata.

Nota

Il sistema di comando di una macchina include anche i circuiti della corrente di carico degli azionamenti e dei motori.

Nello sviluppo e nella realizzazione del sistema di comando è necessario verificare se i requisiti del PL o del SIL scelto sono soddisfatti. Poiché i requisiti per il raggiungimento del necessario Safety Performance in EN ISO 13849 e IEC 62061 sono diversamente strutturati, lo sono anche i requisiti per la verifica. Per un design conforme a EN ISO 13849 sono descritti nella Parte 2 (EN ISO13849-2) i dettagli per la validazione e tutto ciò che va tenuto in considerazione. I requisiti per la validazione di un design secondo IEC 62061 sono descritti nella norma stessa.



Validazione Validazione significa una verifica di valutazione della funzionalità di sicurezza richiesta. Scopo è quello di confermare le definizioni e il livello di conformità delle parti relative alla sicurezza del sistema di comando della macchina nell'ambito della definizione complessiva per i requisiti di sicurezza. La validazione deve inoltre evidenziare che ogni parte relativa alla sicurezza soddisfa i requisiti della norma pertinente. A questo riguardo sono descritti i seguenti aspetti:

● Liste di errori

● Validazione delle funzioni di sicurezza

● Validazione della Safety Performance richiesta e raggiunta (Categoria, Safety Integrity Level o Performance Level)

● Validazione dei requisiti ambientali

● Validazione dei requisiti di manutenzione

In ogni piano di validazione devono essere descritti i requisiti per l'esecuzione della validazione delle funzioni di sicurezza definite.

Scopo della validazione:

Conferma della conformità ai requisiti

● delle direttive europee.

● che risultano dall'ordine del cliente, dall'impiego della macchina ed eventualmente da ulteriori requisiti nazionali, che valgono per la macchina.

Con la messa a disposizione della macchina devono essere fornite tutte le informazioni di rilevante importanza per la macchina. Queste comprendono: ordine del cliente, documentazione tecnica (vedere anche l'allegato VII della Direttiva Macchine), attestato di conformità, eventuale protocollo di collaudo, documenti di trasporto etc.

Prescrizioni e norme 4.2 Prescrizioni e norme al di fuori dell'Unione Europea (UE)


4.2 Prescrizioni e norme al di fuori dell'Unione Europea (UE)

4.2.1 Prescrizioni e norme al di fuori dell'Unione Europea (UE) - Panoramica La seguente descrizione offre una panoramica sulle prescrizioni di alcuni Paesi al di fuori dell'Unione Europea. Essa non deve essere considerata come una descrizione completa. I requisiti precisi nonché le regole nazionali e locali per un'applicazione speciale devono essere dettagliatamente verificati in ogni caso. Per ulteriori informazioni riguardo alle specifiche per la tecnica di sicurezza in altri Paesi, contattare le rispettive autorità di approvazione.

4.2.2 Requisiti di legge negli USA Una differenza sostanziale tra USA ed Europa nei requisiti di legge che riguardano la sicurezza sul lavoro è che negli USA non esiste una legislazione federale unitaria sulla sicurezza delle macchine, che regoli la responsabilità del costruttore/fornitore. Vige piuttosto il requisito generico per il datore di lavoro di offrire un posto di lavoro che sia sicuro. Ciò è regolato con l'Occupational Safety and Health Act (OSHA). Le regole rilevanti per la sicurezza del lavoro dell'OSHA sono descritte in OSHA 29 CFR 1910.xxx ("OSHA Regulations (29 CFR) PART 1910 Occupational Safety and Health"). (CFR: Code of Federal Regulations). Oltre alle regole OSHA è importante che vengano rispettati gli standard attuali di organizzazioni quali NFPA e ANSI nonché la estesa responsabilità di prodotto vigente negli USA. Due standard particolarmente importanti per la sicurezza nell'industria sono NPFA 70 (conosciuto come National Electric Code (NEC)) e NFPA 79 (Electrical Standard for industrial Machinery). Entrambi descrivono i requisiti fondamentali riguardo alle caratteristiche e all'esecuzione dell'equipaggiamento elettrico. Il National Electric Code (NFPA70) vale prioritariamente per gli edifici ma anche per i collegamenti elettrici di macchine e parti di macchina. NFPA 79 vale per le macchine. Sussiste pertanto un'area grigia tra i due standard in caso di grandi macchine, che consistono di più parti. Ad es. i sistemi di trasporto industriali possono essere considerati come parte dell'edificio, cosicché sono applicabili sia NFPA 70 sia NFPA 79.

Prescrizioni e norme 4.2 Prescrizioni e norme al di fuori dell'Unione Europea (UE)


4.2.3 Requisiti di legge in Brasile La nuova versione della Direttiva Macchine Brasiliana N. 12 (Norma Regulamentadora Nº 12 ) è stata pubblicata nel dicembre 2010. Questa nuova regolamentazione vale sia per macchine nuove sia per macchine già esistenti ed ha lo scopo di aggiornare la sicurezza delle macchine allo stato attuale della tecnica. Sulla base della Direttiva Macchine Europea la Direttiva Macchina Brasiliana considera l'intero ciclo di vita della macchina. Questo comprende la costruzione, il trasporto, l'esercizio nonché la manutenzione e lo smaltimento.

4.2.4 Requisiti di legge in Australia La protezione della salute sul posto di lavoro è di rilevante importanza anche in Australia. Con la nuova direttiva rielaborata nel gennaio 2013 sono stati definiti nuovi requisiti anche per le macchine. Qui giocano un ruolo importante le direttive "Work Health and Safety Act 2012" e "Work Health and Safety Regulations 2012" in combinazione con le corrispondenti regole applicative (Codes of Practice). Nelle direttive sono definite misure a fronte di determinati pericoli (come ad es. recinzioni di protezione) per garantire un posto di lavoro sicuro. Le regole applicative (Codes of Practice) includono inoltre implementazioni pratiche e aiuti per l'applicazione delle direttive, ma non sono di per sé vincolanti.


Specifica e design di sistemi di comando per macchine rilevanti per la sicurezza 5 5.1 Parti relative alla sicurezza per il comando di macchine

5.1.1 Quattro elementi di rischio

Quattro elementi di rischio La valutazione del rischio consente di determinare il rischio mediante i quattro elementi di rischio:

● Gravità del possibile danno

● Frequenza con cui le persone sono presenti nell'area pericolosa

● Probabilità che si verifichi l'evento pericoloso

● Possibilità di evitare o di ridurre il danno

Questi elementi di rischio riproducono i parametri d'ingresso per la realizzazione di una funzione di comando rilevante per la sicurezza. Essi consentono l'assegnazione del rischio ai requisiti del sistema di comando orientato alla sicurezza. Per questo la IEC 62061 offre procedure di valutazione degli elementi di rischio e la classificazione della Safety Performance.

Figura 5-1 Rischio relativo al pericolo identificato

Specifica e design di sistemi di comando per macchine rilevanti per la sicurezza 5.1 Parti relative alla sicurezza per il comando di macchine


Determinazione della necessaria Safety Performance (Safety Integrity) Se con l'analisi del rischio viene accertato che errori funzionali del sistema di comando o il guasto di dispositivi di protezione possono comportare un rischio troppo alto, allora la loro probabilità deve essere ridotta al punto che il rischio residuo sia tollerabile. Cioè il sistema di comando deve raggiungere una sufficiente "Safety Performance".

Con l'IEC 62061 è disponibile un processo che utilizza una classificazione della Safety Performance orientata alle probabilità, con quantificazione e pertanto gerarchica. Il risultato dell'analisi del rischio è il Safety Integrity Level (SIL) per le relative funzioni di sicurezza.

La ISO 13849-1 offre una simile classificazione con quantificazione e pertanto gerarchica della Safety Performance. La misura lì designata come Performance Level (PL) correla tramite le probabilità di guasto con i SIL dell'IEC 62061.

I costruttori di macchine ottengono la conformità alla nuova Direttiva Macchine e quindi l'idoneità all'esportazione e la sicurezza di responsabilità applicando le norme EN ISO 13849-1 e IEC 62061. Queste hanno introdotto accanto a considerazioni qualitative anche aspetti quantitativi. Dal processo di valutazione del rischio derivano misure di protezione per la riduzione del rischio che vengono descritte mediante funzioni di sicurezza. La soluzione della funzione di sicurezza con componenti hardware ed eventualmente software viene infine verificata e valutata, fino al raggiungimento del livello di integrità di sicurezza richiesto nella valutazione del rischio.

Nota

Se esiste una norma C per il tipo di macchina considerato, hanno priorità le misure di protezione lì descritte. È comunque necessaria una verifica sulla loro attualità in riferimento a sviluppi tecnici più recenti.



Grafo del rischio secondo ISO 13849-1 Lo scopo è quello di determinare sulla base degli elementi di rischio il Performance Level PLr richiesto, ovvero la probabilità di guasti pericolosi del sistema.

Figura 5-2 Grafo del rischio secondo ISO 13849-1 per la determinazione del necessario Performance Level

Per la determinazione del necessario Performance Level vengono utilizzati i parametri S (gravità della lesione), F (frequenza/durata dell'esposizione al pericolo) e P (possibilità della prevenzione).

La gravità della lesione (S) viene distinta in reversibile (ad es. schiacciamenti o ferite corporali) e irreversibili (amputazione, morte).

Per la frequenza e la durata dell'esposizione al pericolo (F) non c'è alcun periodo di tempo valido in generale. Se una persona resta esposta al pericolo più di una volta all'ora (ad es. per introdurre pezzi da lavorare) dovrebbe essere scelto il parametro F2 (esposizione da frequente a continua). È anche irrilevante se la stessa persona o diverse persone sono esposte al pericolo. Se un accesso è necessario solo saltuariamente, può essere scelto il parametro F1 (esposizione da raramente a poco frequente).

La possibilità di prevenzione (P) dipende da diversi aspetti. Qui sono da considerare la formazione e il livello di conoscenza dell'operatore nonché le possibilità della prevenzione mediante ad es. fuga come pure funzionamento con o senza supervisione. Il parametro P1 (possibile in determinate condizioni) dovrebbe essere scelto solo se sussiste effettivamente la possibilità di prevenire un incidente o di ridurre in misura notevole il danno da esso causato.

I Performance Level (PL) sono una misura quantitativa per la Safety Performance analogamente al Safety Integrity Level (SIL) in IEC 61508 e IEC 62061.



Safety Performance per la realizzazione del sistema di comando secondo IEC 62061 La procedura descritta in IEC 62061 nell'allegato A è basata su tabelle, che possono essere utilizzate direttamente per la documentazione della valutazione del rischio eseguita e dell'assegnazione SIL.

Per i singoli parametri di rischio va selezionata la relativa ponderazione in base ai valori riportati nell'intestazione della tabella. La somma della ponderazione di tutti i parametri indica la classe di probabilità del danno.

K = F + W + P

La frequenza/durata dell'esposizione viene espressa con il parametro "F". La necessità dell'accesso all'area pericolosa può essere diversa in singoli modi di funzionamento (funzionamento automatico, di manutenzione, ...); anche il tipo di accesso (impostazioni degli utensili, alimentazione del materiale, ...) gioca un ruolo e deve essere considerato sotto questo aspetto. La frequenza/durata viene selezionata dalla relativa tabella. Se la durata dell'esposizione è inferiore a 10 minuti, il valore può essere ridotto allo stadio successivo. Tuttavia il valore per frequenza ≲1 h non può mai essere ridotto.

La probabilità di accadimento di un evento pericoloso viene espressa con il parametro "W". Questo deve essere stimato indipendentemente dagli altri parametri. Qui si deve tener conto anche del comportamento umano (condizionato ad es. da fretta per mancanza di tempo, mancanza di consapevolezza del pericolo, ...). In normali condizioni di produzione e in considerazione del worst-case la probabilità è "estremamente alta". Utilizzando un valore inferiore deve essere prodotta una motivazione dettagliata (ad es. elevata capacità degli operatori).

La possibilità di prevenzione o limitazione del danno viene espressa con il parametro "P". Vanno qui considerati aspetti che riguardano sia la macchina (ad es. possibilità di sottrarsi al pericolo) sia la possibilità di riconoscere il pericolo (ad es. forti rumori ambientali ne rendono impossibile il riconoscimento). La classificazione avviene secondo la tabella (probabile, possibile, impossibile).



Sulla base di questa classe di probabilità e della possibile gravità del danno riguardo al pericolo considerato si può quindi ricavare dalla tabella il SIL necessario per la funzione di sicurezza associata.

Lo scopo è quello di determinare un livello di integrità di sicurezza SIL del sistema mediante gli elementi di rischio.

Figura 5-3 Determinazione del SIL necessario

Specifica e design di sistemi di comando per macchine rilevanti per la sicurezza 5.2 Specifica dei requisiti di sicurezza


5.2 Specifica dei requisiti di sicurezza

Specifica dei requisiti di sicurezza Se funzioni di comando sono state identificate come rilevanti per la sicurezza o se misure di sicurezza devono essere realizzate mediante risorse del sistema di comando, i precisi requisiti per queste "funzioni di sicurezza" ("funzioni di comando rilevanti per la sicurezza") devono essere definiti nella specifica dei requisiti di sicurezza ("safety requirements specification"). Questa specifica descrive tra l'altro per ogni funzione rilevante per la sicurezza:

● la relativa funzionalità, cioè tutte le necessarie informazioni d'ingresso, la loro combinazione e i rispettivi stati di uscita o azioni nonché la frequenza di utilizzo

● i tempi di reazione necessari

● la Safety Performance richiesta

La specifica dei requisiti di sicurezza contiene tutte le informazioni necessarie per lo sviluppo e l'implementazione del sistema di comando. Essa rappresenta l'interfaccia tra il costruttore della macchina e il costruttore / l'integratore del sistema di comando e può così servire per la delimitazione delle responsabilità.

Specifica e design di sistemi di comando per macchine rilevanti per la sicurezza 5.3 Sviluppo e realizzazione del sistema di comando (rilevante per la sicurezza) secondo IEC 62061


5.3 Sviluppo e realizzazione del sistema di comando (rilevante per la sicurezza) secondo IEC 62061

5.3.1 Filosofia / Teoria

Principio strutturale per un sistema di comando rilevante per la sicurezza Il requisito essenziale per il funzionamento corretto e conforme allo scopo applicativo di un sistema di comando è il suo corretto design. Per raggiungere questo scopo l'IEC 62061 ha definito un processo sistematico di sviluppo top-down:

Un sistema di comando elettrico rilevante per la sicurezza (Safety related electrical control system, SRECS) comprende tutti i componenti dal rilevamento delle informazioni attraverso la combinazione delle informazioni fino all'esecuzione di azioni. Per consentire un semplice processo sistematico per lo sviluppo, la valutazione della tecnica di sicurezza e la realizzazione di un SRECS, che deve soddisfare i requisiti di IEC 61508, l'IEC 62061 utilizza un principio strutturale basato sui seguenti elementi architetturali (vedere figura seguente).

Figura 5-4 Elementi strutturali dell'architettura di sistema

Inizialmente si fa distinzione tra una "vista virtuale (cioè funzionale)" e la "vista reale (cioè di sistema)". La vista funzionale è focalizzata solo sugli aspetti funzionali, indipendentemente dalla realizzazione mediante hardware e software. La vista virtuale è focalizzata solo ad es. su quali informazioni sono da rilevare, come queste sono da combinare e quale azione deve risultarne. Non si ha però ancora nessuna indicazione riguardo al rilevamento delle informazioni con o senza necessità di sensori ridondanti o alla realizzazione degli attuatori. Con la "vista reale" viene considerata la realizzazione mediante il SRECS. Qui si deve quindi decidere, se ad es. per la realizzazione del rilevamento di una determinata informazione sono necessari uno o due sensori per raggiungere la Safety Performance richiesta. Vengono definiti i seguenti termini.



Termini per la strutturazione delle funzioni (vista funzionale) ● Blocco funzionale

L'unità più piccola di una funzione di comando relativa alla sicurezza (SRCF), la cui avaria comporta l'avaria della funzione di comando relativa alla sicurezza. Nota: In IEC 62061 una SRCF (F) viene considerata come combinazione logica "and" dei blocchi funzionali (FB), ad es. F = FB1 & FB2 & ... & FBn. La definizione di un blocco funzionale si differenzia da quella utilizzata in IEC 61131 e in altre norme.

● Elemento di blocco funzionale Parte di un blocco funzionale.

Termini per la strutturazione del sistema reale (vista di sistema) ● Sistema di comando elettrico relativo alla sicurezza

Sistema di comando elettrico di una macchina, la cui avaria può comportare un immediato aumento dei rischi. Nota: Un SRECS comprende tutte le parti di un sistema di comando elettrico, la cui avaria può comportare una riduzione o la perdita della sicurezza funzionale. Ciò può comprendere entrambi i circuiti di energia e di comando.

● Sottosistema Parte del design dell'architettura del SRECS al livello più alto, dove un'avaria di un qualsiasi sottosistema comporta un'avaria della funzione di comando relativa alla sicurezza. Nota: Contrariamente al comune uso linguistico, nel quale con "sottosistema" si può identificare una qualsiasi unità subordinata, il termine "sottosistema" in IEC 62061 viene utilizzato in una gerarchia definita in senso stretto della terminologia. "Sottosistema" significa suddivisione al livello più alto. Le parti che risultano da una ulteriore suddivisione di un sottosistema, sono denominate "elementi di sottosistema".

● Elemento di sottosistema Parte di un sottosistema, che comprende un singolo componente o un gruppo di componenti. Con questi elementi strutturali è possibile strutturare funzioni di comando secondo un chiaro processo in modo tale da consentire l'assegnazione di parti definite della funzione (blocchi funzionali) a determinati componenti hardware, cioè ai sottosistemi. Per i singoli sottosistemi risultano requisiti chiaramente definiti, cosicché essi possono essere sviluppati e realizzati indipendentemente l'uno dall'altro. L'architettura per la realizzazione dell'intero sistema di comando risulta ordinando tra loro i sottosistemi così come sono ordinati tra loro i blocchi funzionali all'interno della funzione (logica).



5.3.2 Processo di sviluppo di un sistema di comando relativo alla sicurezza SRECS

Processo di sviluppo Quando la specifica dei requisiti di sicurezza è disponibile, il sistema di comando previsto può essere sviluppato e implementato. Un sistema di comando, che soddisfa i requisiti specifici di una determinata applicazione, non può normalmente essere acquistato già pronto come un prodotto di serie, ma deve essere sviluppato e costruito individualmente per la macchina in questione mediante gli apparecchi disponibili.

Nel processo di sviluppo viene dapprima gradualmente sviluppata per ogni funzione di sicurezza un'architettura appropriata del sistema di comando. Infine, le architetture di tutte le funzioni di sicurezza della macchina in questione possono essere integrate a costituire un sistema di comando.



Figura 5-5 Processo di design di un sistema di comando rilevante per la sicurezza



Strutturazione della funzione di sicurezza Il principio fondamentale dello sviluppo strutturale sta nella suddivisione di ogni funzione di comando in blocchi funzionali (concettuali) tali da poter essere assegnati a determinati sottosistemi. La delimitazione dei singoli blocchi funzionali viene scelta in modo tale da poterli fare eseguire completamente da determinati sottosistemi. È qui importante che ogni blocco funzionale rappresenti una unità logica, che deve essere eseguita correttamente affinchè l'intera funzione di sicurezza venga eseguita correttamente.

Figura 5-6 Suddivisione di una funzione di sicurezza in blocchi funzionali e assegnazione a

sottosistemi



Safety Performance di un sottosistema secondo IEC 62061 La "Safety Integrity" secondo IEC 62061 richiede il soddisfacimento dei tre requisiti fondamentali, che corrispondono al SIL:

1. integrità sistematica,

2. limitazioni strutturali, cioè tolleranza agli errori e

3. limitata probabilità di avarie (hardware) casuali pericolose (PFHD).

L'integrità sistematica (1) richiesta per l'intera funzione del sistema nonché le limitazioni strutturali (2) valgono per i singoli sottosistemi come pure per il sistema. Ovvero, se ogni singolo sottosistema soddisfa l'integrità sistematica richiesta e le limitazioni strutturali di un determinato SIL, allora anche il sistema soddisfa tutti i requisiti. Se però un sottosistema soddisfa solo i requisiti più bassi di un SIL inferiore, ciò limita di conseguenza il SIL che il sistema può raggiungere. Si parla in questo caso di "SIL claim limit" (SIL CL) di un sottosistema.

● Integrità sistematica: SIL SYS <= SIL CLlowest

● Limitazioni strutturali: SIL SYS <= SIL CLlowest

La limitazione della probabilità di errori casuali pericolosi (3) vale per l'intera funzione, cioè essa non deve essere superata da tutti i sottosistemi nel loro insieme. Vale pertanto quanto segue:

PFHD = PFHD1 + ...+ PFHDn



5.3.3 Design di sistema per una funzione di sicurezza

Sviluppo dell'architettura L'architettura di un sistema di comando per una specifica funzione di sicurezza corrisponde nella sua struttura logica alla struttura predeterminata della funzione di sicurezza. Per la definizione della struttura di sistema reale, i blocchi funzionali della funzione di sicurezza vengono assegnati a determinati sottosistemi. I sottosistemi vengono quindi interconnessi in modo tale da realizzare i collegamenti specificati con la struttura della funzione. L'interconnessione fisica avviene corrispondentemente alle caratteristiche della tecnica scelta, ad es. mediante cablaggio singolo (punto a punto) o collegamento via bus.

Si procede in modo analogo per ulteriori funzioni di sicurezza della macchina o dell'impianto. Qui possono tuttavia essere assegnati agli stessi sottosistemi blocchi funzionali, che corrispondono a quelli di altre funzioni di sicurezza. Se ad es. per due differenti funzioni deve essere rilevata la stessa informazione (ad es. posizione della stessa porta/dello stesso riparo di protezione), allora a questo scopo possono essere impiegati gli stessi sensori.

Figura 5-7 Esempio di una architettura di sistema per una funzione di sicurezza



Scelta di sistemi adatti (sottosistemi) Un sottosistema per l'implementazione di una funzione di sicurezza deve avere la funzionalità richiesta e soddisfare i requisiti pertinenti di IEC 62061. I sottosistemi basati su microprocessore devono soddisfare l'IEC 61508 per il SIL corrispondente.

I singoli sottosistemi devono soddisfare i parametri di sicurezza richiesti nella specifica (SIL CL e PFHD).

In molti casi gli apparecchi necessitano di ulteriori misure per l'individuazione degli errori (diagnostica), al fine di raggiungere effettivamente la Safety Performance specificata per il loro impiego come sottosistema. Questa individuazione degli errori può avvenire ad es. mediante apparecchi addizionali (ad es. dispositivi di sicurezza SIRIUS 3SK1) o blocchi di diagnostica software nell'elaborazione logica. Per questo caso d'impiego la descrizione dell'apparecchio deve includere corrispondenti informazioni.

Se non è disponibile alcun apparecchio adatto a soddisfare i requisiti di un sottosistema così specificato, esso deve essere realizzato combinando insieme apparecchi disponibili. Ciò richiede un successivo passo di sviluppo. A questo proposito vedere la sezione "Sviluppo e realizzazione di sottosistemi (Pagina 138)".

5.3.4 Realizzazione del sistema di comando rilevante per la sicurezza Un sistema di comando rilevante per la sicurezza deve essere realizzato in modo tale da soddisfare tutti i requisiti corrispondenti al SIL richiesto. Lo scopo è quello di ridurre sufficientemente la probabilità di errori sia sistematici sia casuali, che possono comportare il guasto pericoloso della funzione di sicurezza. Devono essere osservati i seguenti aspetti:

● integrità hardware, cioè limitazioni architetturali (tolleranza agli errori) e limitata probabilità di guasto,

● integrità sistematica, cioè requisiti per la prevenzione e il controllo di errori,

● reazione all'individuazione di un errore e design / sviluppo del software



Integrità hardware Ogni sottosistema deve avere una tolleranza agli errori sufficiente per il SIL del sistema. Ciò dipende dall'entità della quota di errori, che vanno in una direzione sicura, in riferimento alla probabilità di tutti i possibili errori del sottosistema. Errori potenzialmente pericolosi di un sottosistema, che vengono individuati per tempo mediante la diagnostica, rientrano nella categoria degli errori che vanno in una direzione sicura.

La probabilità consentita del guasto di una funzione di sicurezza è limitata grazie al SIL definito nella specifica.

Integrità sistematica Si devono adottare misure sia per la prevenzione di errori sistematici sia per il controllo di errori rimasti nel sistema.

Prevenzione di guasti sistematici:

● Il sistema deve essere installato secondo il piano di sicurezza

● Vanno seguite le indicazioni del costruttore degli apparecchi impiegati

● Eseguire l'installazione elettrica secondo IEC 60204-1 (7.2, 9.1.1 e 9.4.3)

● Verificare il design sulla sua idoneità e correttezza

● Impiego di un tool supportato da computer, che utilizza elementi preconfigurati e testati.

Controllo di errori sistematici:

● Adozione del principio della disinserzione dell'energia

● Misure per il controllo di guasti o disturbi temporanei dei sottosistemi, ad es.a causa di interruzioni di tensione

● In caso di collegamento dei sottosistemi tramite un bus, devono essere soddisfatti i requisiti di IEC 61508-2 relativi alla comunicazione dati (ad es. PROFIsafe e ASIsafe)

● Errori nel collegamento (cablaggio) e nelle interfacce dei sottosistemi devono essere riconosciuti e devono essere attivate corrispondenti reazioni appropriate. Per il trattamento sistematico, le interfacce e il cablaggio vengono considerati come parte integrante del relativo sottosistema.

Per dettagli vedere l'IEC 62061 6.4



Reazione all'individuazione di un errore Se errori di un sottosistema possono comportare un guasto pericoloso di una funzione di sicurezza, essi devono essere individuati tempestivamente e deve essere attivata una reazione appropriata per impedire un pericolo. In quale misura sia necessaria una individuazione degli errori automatica (diagnostica) dipende dai tassi di guasto degli apparecchi impiegati e dal SIL da raggiungere per il sistema (o dal PFH richiesto per il sottosistema).

La reazione del sistema o del sottosistema al riconoscimento di un errore dipende dalla tolleranza agli errori del sistema o del sottosistema in questione. Se l'errore riconosciuto non comporta direttamente il guasto della funzione di sicurezza, cioè tolleranza agli errori > 0, non è necessaria una immediata reazione, che deve invece essere attivata solo se la probabilità del verificarsi di un secondo errore diventa troppo elevata (di regola si tratta di ore o giorni). Se l'errore riconosciuto comporta direttamente il guasto di una funzione di sicurezza, cioè tolleranza agli errori = 0, è necessaria una reazione immediata, cioè prima che subentri un pericolo.



5.3.4.1 Safety Performance raggiunta

Safety Performance raggiunta Nella specifica di ogni funzione di sicurezza è definita la Safety Performance di cui essa necessita. Questa deve essere soddisfatta dal sistema di comando rilevante per la sicurezza.

Il livello di Safety Performance raggiunto da un sistema deve essere determinato per ogni funzione di sicurezza. Ciò avviene sulla base dell'architettura del sistema e dei parametri di sicurezza dei sottosistemi, che sono coinvolti nell'esecuzione della funzione di sicurezza considerata.

Design secondo IEC 62061

Il SIL raggiunto viene limitato dalla "capacità SIL" dei suoi sottosistemi. Il valore più basso dei sottosistemi impiegati limita il SIL del sistema a questo valore (l'anello più debole di una catena determina la sua resistenza).

● Integrità sistematica: SIL SYS <= SIL CLlowest

● Limitazioni strutturali: SIL SYS <= SIL CLlowest

Per il collegamento dei sottosistemi tra di loro devono essere soddisfatti gli stessi requisiti. I singoli collegamenti vengono qui considerati come parte integrante di volta in volta di uno dei due sottosistemi collegati. In caso di collegamento via bus l'hardware di trasmissione e l'hardware di ricezione sono parti integranti dei sottosistemi.

Oltre a questa capacità di base deve essere considerata anche la probabilità di guasto pericoloso di ogni funzione di sicurezza. Questo valore risulta dalla semplice addizione delle probabilità di guasto dei sottosistemi coinvolti nelle funzione:

PFHD = PFHD1 + ...+ PFHDn

In caso di collegamenti via bus va addizionata anche la probabilità di possibili errori di trasmissione dati (PTE).

Il valore così determinato per una specifica funzione di sicurezza deve essere inferiore (o uguale) al valore stabilito mediante il SIL associato.

Tabella 5- 1 Valori limite delle probabilità di errori pericolosi di una funzione di sicurezza

Probabilità di un errore pericoloso all'ora (PFHD) SIL 1 SIL 2 SIL 3

PFHD < 10-5 < 10-6 < 10-7



5.3.5 Integrazione di sistema per tutte le funzioni di sicurezza Allo sviluppo delle architetture per tutte le funzioni di sicurezza segue, come passo successivo, l'integrazione di queste architetture specifiche di funzioni nel completo sistema di comando rilevante per la sicurezza.

Laddove più funzioni di sicurezza hanno blocchi funzionali identici, per la loro realizzazione possono essere impiegati sottosistemi condivisi:

● Ad es. se serve solo un PLC di sicurezza per l'implementazione della logica di tutte le funzioni di sicurezza.

● Se per l'eliminazione di pericoli differenti (cioè funzioni di sicurezza differenti) si deve rilevare lo stato della stessa porta/dello stesso riparo di protezione, il sensore necessario va qui installato una sola volta.

Ciò non ha alcun effetto sulla Safety Integrity, che è stata già determinata per le singole funzioni. Di ciò si deve tener conto solamente in caso di apparecchi elettromeccanici (soggetti ad usura) per quanto riguarda la determinazione della loro frequenza di commutazione.

5.3.6 Sviluppo e realizzazione di sottosistemi In alternativa alla scelta di un sottosistema esistente, un sottosistema può essere costituito anche da apparecchi che da soli non soddisfano i requisiti di sicurezza, ma che nella loro combinazione consentono al sottosistema di raggiungere la Safety Performance necessaria. Questo è il SIL claim limit (SIL CL) specificato con il SIL della funzione di sicurezza, con riguardo all'integrità sistematica e alle limitazioni strutturali. Per la probabilità di errori casuali pericolosi (PFHD) sono stati definiti i valori PFH massimi per i singoli sottosistemi durante lo sviluppo dell'architettura di sistema.

Almeno per SIL 2 e SIL 3 è generalmente richiesta la ridondanza. Sia che si tratti di raggiungere la tolleranza agli errori necessaria o di consentire l'individuazione degli errori (diagnostica). La combinazione di due apparecchi in un sottosistema può essere però anche necessaria per ridurre la probabilità di un guasto pericoloso.

I requisiti precisi per lo sviluppo di sottosistemi sono descritti in IEC 62061 nelle sezioni 6.7 e 6.8. La seguente descrizione offre una panoramica d'insieme.



Sviluppo dell'architettura di sottosistema Si deve sempre sviluppare una speciale architettura di sottosistema, se non si raggiunge la Safety Integrity (Safety Performance) necessaria con gli apparecchi previsti per un determinato compito (sottofunzione, "blocco funzionale"). In generale le caratteristiche relative alla sicurezza

● Ridotta probabilità di guasto

● Tolleranza agli errori, controllo degli errori

● Individuazione degli errori

sono possibili solo con speciali misure architetturali. L'entità delle misure necessarie dipende dalla Safety Performance (Safety Integrity) richiesta.

Al sottosistema è assegnata una determinata (sotto)funzione, il blocco funzionale (ad es. blocco di ritenuta di una porta/un riparo). Questo blocco funzionale viene dapprima (concettualmente) suddiviso in singoli elementi (elementi di blocco funzionale), che possono quindi essere assegnati a determinati apparecchi, gli elementi di sottosistema. In generale la stessa funzione può essere assegnata a due elementi di blocco funzionale (la funzione risulta praticamente raddoppiata). Se questi elementi di blocco funzionale vengono poi realizzati mediante propri apparecchi, il sottosistema ha una tolleranza agli errori semplice (ridondanza semplice).

Individuazione degli errori di un sottosistema (diagnostica) Con un sottosistema senza tolleranza agli errori ogni errore comporta la perdita della funzione. Il guasto della funzione può determinare, in dipendenza del tipo di errore, uno stato pericoloso o sicuro della macchina. Sono critici gli errori, che hanno come conseguenza uno stato pericoloso della macchina. Essi sono designati come "errori pericolosi". Per impedire che un errore pericoloso comporti effettivamente un pericolo, è possibile individuare determinati errori mediante la diagnostica e portare la macchina in uno stato sicuro prima che si verifichi il pericolo. Un errore pericoloso individuato con la diagnostica può essere convertito in un "errore sicuro".

Con un sottosistema ridondante il primo errore non comporta ancora il guasto di una funzione. Solo un ulteriore errore può causare la perdita della funzione. Per prevenire il guasto del sottosistema, è necessario individuare il primo errore prima che si verifichi un secondo errore. L'individuazione dell'errore deve essere naturalmente collegata ad un'appropriata reazione di sistema. Nel caso più semplice viene ad es. arrestata la macchina, per portarla in uno stato sicuro, che non necessita della funzione di sicurezza (difettosa).

Grazie all'individuazione dell'errore (diagnostica) collegata ad un'appropriata reazione, viene ridotta in entrambi i casi la probabilità di un guasto pericoloso della funzione di sicurezza in questione. In quale misura la probabilità risulti ridotta dipende tra l'altro da quanti dei possibili errori vengono individuati. La relativa misura è il grado di copertura diagnostica (diagnostic coverage DC).

L'individuazione degli errori di un sottosistema può avvenire nello stesso sottosistema o mediante un altro apparecchio, ad es. il PLC di sicurezza.



Integrità sistematica di un sottosistema Durante il design e l'implementazione di un sottosistema devono essere adottate misure sia per la prevenzione sia per il controllo di errori sistematici, ad es.:

● Gli apparecchi impiegati devono soddisfare le corrispondenti norme internazionali.

● Le condizioni d'impiego specificate dal costruttore devono essere osservate.

● Il design e i materiali impiegati devono essere tali da resistere a tutte le condizioni ambientali previste.

● Il comportamento a fronte di influenze ambientali deve essere predeterminato, affinché sia possibile uno stato sicuro della macchina.

● Individuazione degli errori online

● Azionamento positivo per l'attivazione di una misura di protezione

I requisiti descritti in IEC 62061 riguardano solo il design di sottosistemi elettrici di minore complessità, ovvero nessun sottosistema con microprocessori. Le misure richieste valgono ugualmente per tutti i SIL.

Probabilità di guasto (PFHD) di un sottosistema I possibili guasti vengono suddivisi in guasti "sicuri" o "pericolosi". Qui i guasti pericolosi di un sottosistema sono definiti come segue.

Guasto pericoloso Guasto di un SRECS, di un sottosistema o di un elemento di sottosistema con il potenziale di causare uno stato di pericolo.

Nota: Se un simile stato si verifica o no, può dipendere dall'architettura di sistema; in sistemi con più canali per il miglioramento della sicurezza un guasto hardware pericoloso comporta con ridotta probabilità uno stato complessivo pericoloso o un malfunzionamento.

Ciò significa ad es.: In un sottosistema ridondante (cioè tolleranza agli errori 1) l'errore di un canale viene designato come pericoloso, se è potenzialmente pericoloso, cioè può comportare uno stato pericoloso della macchina in assenza del secondo canale.

Per i requisiti di sicurezza è significativa solo la probabilità di guasti pericolosi. I cosiddetti "errori sicuri" peggiorano sì la disponibilità del sistema ma non causano alcun pericolo.

La probabilità di guasto di un sottosistema dipende dai tassi di guasto degli apparecchi da cui il sottosistema è costituito, dall'architettura e dalle misure diagnostiche. Le formule per le due architetture più impiegate sono specificate nell'IEC 62061.



Struttura senza tolleranza agli errori con diagnostica Con questa struttura (vedi figura seguente) il sottosistema viene meno, se si guasta uno qualsiasi dei suoi elementi, cioè un singolo errore comporta il guasto della funzione di sicurezza. Ciò non significa però necessariamente una perdita pericolosa della funzione di sicurezza. In funzione del tipo di errore la macchina può andare in uno stato sicuro o pericoloso, cioè il sottosistema ha un errore "sicuro" o un errore "pericoloso". Se la probabilità di errori pericolosi (PFHd) è maggiore di quanto predeterminato nella specifica, questi errori devono essere coperti dalla diagnostica e deve essere attivata una reazione prima del verificarsi di un pericolo. Così gli errori pericolosi diventano errori sicuri e si riduce di conseguenza la probabilità di un guasto pericoloso del sottosistema cosicché può essere raggiunta la probabilità di guasto consentita nella specifica.

Figura 5-8 Struttura logica di un sottosistema senza tolleranza agli errori con diagnostica



Struttura con semplice tolleranza agli errori e con diagnostica Con questa struttura (vedi figura seguente) il primo errore non comporta ancora il guasto della funzione. L'errore deve però essere individuato prima della probabilità del verificarsi di un secondo errore, cioè del guasto del sottosistema, che supera il limite indicato nella specifica.

Oltre agli errori casuali indipendenti, in caso di sottosistemi ridondanti va considerata ancora la possibilità di errori di causa comune (common cause failure). Contro simili errori non basta la ridondanza omogenea. Durante lo sviluppo si devono perciò adottare misure sistematiche, che riducono sufficientemente la loro probabilità. Poiché non è possibile escludere completamente errori di causa comune, è necessario tenerli in considerazione nel calcolo della probabilità di guasto del sottosistema. Ciò avviene mediante il Common Cause Factor (β), con cui viene valutata l'efficacia delle misure adottate. Nell'allegato F di IEC 62061 si trova una tabella per la determinazione del Common Cause Factor raggiunto.

Con questa struttura un singolo guasto di un qualsiasi elemento di sottosistema non comporta il guasto della funzione di sicurezza rilevante per la sicurezza.

Figura 5-9 Struttura logica di un sottosistema con semplice tolleranza agli errori con diagnostica



Limitazioni strutturali di un sottosistema Le limitazioni strutturali richiedono un minimo di tolleranza agli errori in funzione del tipo dei possibili errori del sottosistema. Quanto maggiore è la quota di errori "sicuri" tanto minore è la tolleranza agli errori richiesta per un determinato SIL.

Nella tabella seguente sono indicati i limiti corrispondenti. "Errori sicuri" a questo riguardo sono anche gli errori potenzialmente pericolosi, che vengono individuati mediante la diagnostica.

Tabella 5- 2 Limitazioni strutturali di un sottosistema

Quota di errori sicuri Tolleranza agli errori hardware

0 1 < 60 % Non consentito

(per eccezioni vedere la norma) SIL 1

60 % ... < 90 % SIL 1 SIL 2 90 % ... < 99 % SIL 2 SIL 3

≥ 99 % SIL 3 SIL 3 Nota: Una tolleranza agli errori hardware N significa, che N+1 errori possono comportare la perdita della funzione.

Così ad es. per un sottosistema, che deve essere impiegato per SIL 2, non è richiesta alcuna tolleranza agli errori (FT = 0), se la quota dei suoi errori, che vanno in una direzione sicura, ammonta a oltre il 90 %. La maggioranza degli apparecchi non raggiunge di per sé questo valore. È però possibile ridurre la quota degli errori pericolosi, se si individuano gli errori mediante la diagnostica e si attiva una reazione appropriata.

La quota di errori "sicuri" (safe failure fraction) di un sottosistema è la quota percentuale degli errori, che comportano uno stato sicuro della macchina, ponderata sulla quantità di tutti gli errori del sottosistema secondo la probabilità del loro verificarsi.

Specifica e design di sistemi di comando per macchine rilevanti per la sicurezza 5.4 Sviluppo e realizzazione della parte relativa alla sicurezza di un sistema di comando secondo IEC 13849-1


5.4 Sviluppo e realizzazione della parte relativa alla sicurezza di un sistema di comando secondo IEC 13849-1

Finalità Un sistema (di comando) rilevante per la sicurezza deve eseguire correttamente una funzione di sicurezza. Anche in caso di errore esso deve comportarsi in modo tale che la macchina o l'impianto resti o vada in uno stato sicuro.

Determinazione della necessaria Safety Performance (Safety Integrity) Con la procedura della valutazione del rischio (vedere il capitolo "Parti relative alla sicurezza per il comando di macchine (Pagina 121)") sono stati determinati i requisiti della funzione di sicurezza.

L'ISO 13849-1 prescrive un necessario Performance Level PLr. A questo proposito vedere il capitolo "Parti relative alla sicurezza per il comando di macchine (Pagina 121)".

Processo di sviluppo delle parti relative alla sicurezza di un sistema di comando Le categorie secondo ISO 13849-1 si riferiscono in uguale misura al sistema (funzione di sicurezza) e ai suoi sottosistemi. Con la realizzazione secondo ISO 13849-1 può essere utilizzato lo stesso principio della strutturazione del sistema rilevante per la sicurezza come descritto nell'IEC 62061. Ogni sottosistema così distinto deve poi raggiungere il Performance Level, che viene richiesto per la funzione di protezione. I requisiti della categoria in questione valgono anche per il cablaggio dei sottosistemi.

Nell'ISO 13849-1 accanto alle categorie è introdotto addizionalmente nello sviluppo il Performance Level PLr, quale variabile quantitativa per la probabilità di guasto.

Nella figura seguente è mostrato il processo iterativo per la strutturazione delle parti relative alla sicurezza di sistemi di comando (SRP / CS):



Figura 5-10 Processo iterativo per la strutturazione delle parti relative alla sicurezza di sistemi di

comando



Sviluppo secondo secondo ISO 13849-1 Lo sviluppo dell'architettura si indirizza verso il necessario Performance Level PLr.

Il concetto di sviluppo di ISO 13849-1 è basato su speciali architetture predefinite delle parti rilevanti per la sicurezza del sistema di comando.

Una funzione di sicurezza può consistere di una o più parti rilevanti per la sicurezza di un sistema di comando (SRP / CS).

Una funzione di sicurezza può essere anche una funzione operativa come ad es. un comando a due mani per l'inizializzazione di un processo.

Una tipica funzione di sicurezza consiste delle seguenti parti relative alla sicurezza di un sistema di comando:

● Ingresso (SRP/CSa)

● Logica / elaborazione (SRP/CSb)

● Uscita / elemento di trasmissione energia (SRP/CSc)

● Collegamenti (iab, iac) (ad es. elettrici, ottici)

Nota: Le parti relative alla sicurezza consistono di uno o più componenti; i componenti possono consistere di uno o più elementi.

Tutti gli elementi di collegamento sono inclusi nelle parti relative alla sicurezza.

Una volta determinate le funzioni di sicurezza del sistema di comando devono essere identificate le parti relative alla sicurezza del sistema di comando. Deve essere pure valutato il loro contributo alla procedura di riduzione del rischio (ISO 12100).

Performance Level PL Con l'applicazione dell'ISO 13849 la capacità delle parti relative alla sicurezza di svolgere una funzione di sicurezza viene espressa attraverso la determinazione di un Performance Level.

Per ogni SRP/CS scelto e/o la combinazione di SRP/CS, che svolge una funzione di sicurezza, deve essere eseguita una stima del PL.

Il PL dell'SRP/CS deve essere determinato attraverso la stima dei seguenti aspetti:

● MTTFd (tempo medio fino al guasto pericoloso)

● DC (grado di copertura diagnostica)

● CCF (guasto per cause comuni)

● Struttura

● Comportamento della funzione di sicurezza in condizione(i) di errore

● Software relativo alla sicurezza

● Guasti sistematici



Tempo medio fino al guasto pericoloso di ogni canale (MTTFd) Il valore dell'MTTFd di ogni canale viene specificato in tre livelli e deve essere osservato singolarmente per ogni canale (ad es. singolo canale oppure ogni canale di un sistema ridondante). Riguardo all'MTTFd può essere fissato un valore massimo di 100 anni.

MTTFd Basso 3 anni ≤ MTTFd < 10 anni Medio 10 anni ≤ MTTFd < 30 anni Alto 30 anni ≤ MTTFd < 100 anni

Grado di copertura diagnostica (DC) Il valore per il DC viene specificato in quattro livelli. Per la stima del DC è possibile utilizzare nella maggioranza dei casi l'analisi dei tipi di guasto e degli effetti (FMEA) o metodi analoghi. In questo caso si dovrebbe tener conto di tutti i rilevanti errori e/o tipi guasto e testare il PL della combinazione dell'SRP/CS, che dovrebbe svolgere la funzione di sicurezza, in riferimento al necessario Performance Level (PLr). Per un approccio semplificato alla stima del DC, vedere l'ISO 13849-1 allegato E.

Grado di copertura diagnostica (DC) Nessuno DC < 60 % Basso 60 % ≤ DC < 90 % Medio 90 % ≤ DC < 99 % Alto 99 % ≤ DC



5.4.1 Sviluppo e realizzazione di categorie

Categoria B Per il raggiungimento di una Categoria B le parti relative alla sicurezza del sistema di comando devono soddisfare i seguenti requisiti ed essere configurate, scelte e combinate di conseguenza.

● Applicazione dei fondamentali principi di sicurezza

● Capacità di resistenza alle sollecitazioni operative previste, tra cui il potere di interruzione o la frequenza di commutazione dei componenti

● Robustezza rispetto alle influenze del materiale in lavorazione e delle condizioni ambientali; sono qui da considerare ad es. sostanze come oli, detergenti, nebbia salina

● Robustezza rispetto ad altre rilevanti influenze esterne; sono qui da considerare vibrazioni meccaniche, disturbi elettromagnetici, interruzioni o guasti dell'alimentazione di energia.

In un sistema di Categoria B l'MTTFd di ogni canale può essere da basso fino a medio. Non c'è copertura diagnostica (DC avg = nessuna). Poiché la struttura è normalmente monocanale, non viene fatta una considerazione di CCF in questa categoria, non essendo ciò rilevante. Il massimo Performance Level raggiungibile di un sistema di Categoria B è PL = b. A causa della struttura monocanale un errore può comportare la perdita della funzione di sicurezza.

Esempio di un'architettura prevista di Categoria B:

● I1: Sensore 1 (ad es. un interruttore di posizione)

● L1: Unità logica 1 (ad es. un dispositivo di sicurezza)

● O1: Attuatore 1 (ad es. un contattore)

Le caratteristiche strutturali sono:

● Struttura monocanale

Figura 5-11 Architettura prevista per Categoria B



Categoria 1 Per il raggiungimento di una Categoria 1 devono essere soddisfatti i requisiti come per la Categoria B. Devono inoltre essere soddisfatti i seguenti requisiti:

Per le parti relative alla sicurezza del sistema di comando devono essere impiegati componenti comprovati ed essere rispettati principi di sicurezza comprovati (vedere l'ISO 13849-2).

In un sistema di Categoria 1 l'MTTFd di ogni canale deve essere alto.

Il massimo Performance Level raggiungibile è PL = c.

Esempio di un'architettura prevista di Categoria 1:






● Impiego di componenti comprovati

Figura 5-12 Architettura prevista per Categoria 1



Categoria 2 Per il raggiungimento di una Categoria 2 devono essere soddisfatti i requisiti come per la Categoria B. Devono essere ugualmente rispettati principi di sicurezza comprovati. Valgono inoltre i seguenti requisiti:

Le parti rilevanti per la sicurezza del controllore di un sistema di Categoria 2 devono essere testate ad intervalli di tempo appropriati dal controllore della macchina. Questo test della funzione di sicurezza tramite il controllore della macchina deve essere eseguito:

● All'avviamento della macchina

● Prima di ogni inizio di una situazione pericolosa, ad es. all'inizio di un nuovo ciclo macchina, attivazione di altri movimenti etc.

Come risultato del test mediante il dispositivo di test

● deve avvenire una reazione appropriata in caso di errore riconosciuto

● deve essere consentito il funzionamento in caso di nessun errore riconosciuto

La reazione all'errore deve portare ad uno stato sicuro sempre se possibile. Solo quando l'errore è stato eliminato può continuare il funzionamento normale. Se il raggiungimento dello stato sicuro non è possibile (ad es. in caso di contatti saldati), deve essere emesso un avviso prima del verificarsi del pericolo.

In un sistema di Categoria 2 l'MTTFd di ogni canale deve essere da basso fino ad alto in funzione del PLr necessario. Le parti relative alla sicurezza del sistema di comando devono avere un grado di copertura diagnostica da basso fino a medio. Contemporaneamente devono essere adottate misure CCF (vedere ISO 13849-1 allegato F).

Inoltre mediante il test stesso non deve risultare alcun pericolo ulteriore. Il dispositivo di test può essere una delle parti integranti relative alla sicurezza del sistema di comando o anche essere implementato separatamente.

Il massimo Performance Level raggiungibile di un sistema di Categoria 2 è PL = d.

Nota

Con la Categoria 2 si tratta di un sistema monocanale testato come definito nella procedura semplificata dell'ISO 13849-1: se si verifica un errore pericoloso, il suo riconoscimento è efficace (utile) solo se il test per l'individuazione dell'errore viene eseguito prima della successiva richiesta della funzione di sicurezza. In questo scenario viene richiesto un test rate che è 100 volte maggiore del tasso di richiesta della funzione di sicurezza.







● TE: Test Equipment



● Sorveglianza mediante dispositivo di test





Le parti relative alla sicurezza del sistema di comando di Categoria 3 devono essere progettate in modo tale da non arrivare alla perdita della funzione di sicurezza al verificarsi di un singolo errore. Il singolo errore deve, sempre se possibile, essere riconosciuto al momento o prima della richiesta della funzione di sicurezza.

In un sistema di Categoria 3 l'MTTFd di ogni canale ridondante deve essere da basso fino ad alto in funzione del PLr necessario. Le parti relative alla sicurezza del sistema di comando devono avere un grado di copertura diagnostica da basso fino a medio. Contemporaneamente devono essere adottate misure CCF(vedere ISO 13849-1 allegato F).


● I1 e I2: Sensori 1 e 2 (ad es. due interruttori di posizione con contatti ad apertura positiva)

● L1 e L2: Unità logiche 1 e 2 (un dispositivo di sicurezza ad es. include già entrambe queste unità)

● O1 e O2: Attuatori 1 e 2 (ad es. due contattori)


● Struttura ridondante

● Sorveglianza dei sensori (sorveglianza di discrepanza)

● Sorveglianza dei circuiti di abilitazione (sorveglianza, confrontabile con i circuiti di retroazione oggi)





Le parti relative alla sicurezza del sistema di comando di Categoria 4 devono essere progettate in modo tale da non arrivare alla perdita della funzione di sicurezza al verificarsi di un singolo errore. Il singolo errore deve, sempre se possibile, essere riconosciuto al momento o prima della richiesta della funzione di sicurezza. Se un errore non può essere riconosciuto, allora un accumulo di questi errori non deve comportare la perdita della funzione di sicurezza.

In un sistema di Categoria 3 l'MTTFd di ogni canale ridondante deve essere alto. Le parti relative alla sicurezza del sistema di comando devono avere un grado di copertura diagnostica alto. Contemporaneamente devono essere adottate misure CCF(vedere ISO 13849-1 allegato F).


● I1 e I2: Sensori 1 e 2 (ad es. due interruttori di posizione con contatti ad apertura positiva)

● L1 e L2: Unità logiche 1 e 2 (un dispositivo di sicurezza ad es. include già entrambe queste unità)

● O1 e O2: Attuatori 1 e 2 (ad es. due contattori)


● Struttura ridondante

● Sorveglianza dei sensori (sorveglianza di discrepanza)

● Sorveglianza dei circuiti di abilitazione (sorveglianza, confrontabile con i circuiti di retroazione oggi)

● Alto grado di copertura diagnostica in tutti i sottosistemi.




Valutazione delle funzioni di sicurezza Ogni funzione di sicurezza prevista, inclusa la sua implementazione e valutazione, deve essere documentata secondo le specifiche della norma.

L'utilizzo rapido e semplice del SIEMENS Safety Evaluation Tool offre un valido supporto per la valutazione di funzioni di sicurezza su macchine e impianti.

Il tool online testato dal TÜV guida l'utente passo-passo dalla definizione della struttura del sistema di sicurezza, attraverso la scelta dei componenti per la determinazione dell'integrità di sicurezza raggiunta secondo ISO 13849-1 e IEC 62061.

Le ampie biblioteche integrate costituiscono anche un valido supporto. Come risultato l'utente ottiene un report conforme alle norme, che può essere integrato nella documentazione come attestato di sicurezza.

L'accesso online del Safety Evaluation Tool assicura che i calcoli vengano eseguiti sempre con la normativa attuale e che si acceda sempre ai dati tecnici attuali di tutti i componenti relativi alla sicurezza di SIEMENS

Il Safety Evaluation Tool si trova in Internet (http://www.siemens.com/safety-evaluation-tool).

http://www.siemens.com/safety-evaluation-tool


Service & Support 6 6.1 Service & Support

Safety Integrated in Internet Informazioni attuali sulla tecnica di sicurezza sono riportate nel nostro sito online. Lì si trovano documenti, link, film e tool utili su prodotti e soluzioni "Safety Integrated" come pure sull'applicazione delle norme. Safety Integrated in Internet (http://www.siemens.com/safety-integrated)

Functional Safety Services Noi assistiamo l'utente, ad esempio nell'esecuzione della valutazione del rischio. Oppure eseguiamo la verifica SIL o PL per il progetto esistente dell'utente, la programmazione della funzione di sicurezza o la verifica dell'engineering.

Functional Safety Services in Internet (http://www.siemens.com/safety-services)

SITRAIN Training per Safety Integrated Valutazione del rischio, norme, marcatura CE, training sui prodotti: tutte le informazioni necessarie sul nostro ampio programma di training SITRAIN si trovano in Internet.

SITRAIN Training per Safety Integrated in Internet (http://www.siemens.com/sitrain-safetyintegrated)

Cataloghi e materiale informativo Nell'area "Information and Download Center" si trovano tutti i cataloghi attuali, riviste per clienti, brochure, software dimostrativo e pacchetti promozionali per il download. Tra l'altro il nostro catalogo "Safety Integrated".

Information and Download Center (http://www.siemens.com/safety-infomaterial)

Esempi di funzioni In Internet si trovano ulteriori esempi di funzioni orientati alla pratica, che coprono i requisiti tipici relativi alla tecnica di sicurezza industriale. Essi mostrano applicazioni tipiche con esempi di prodotti incl. schema di cablaggio, codice di programmazione e valutazione secondo EN 62061 e EN ISO 13849.

Esempi di funzioni in Internet (http://www.siemens.com/safety-functional-examples)

http://www.siemens.com/safety-integrated

http://www.siemens.com/safety-services

http://www.siemens.com/sitrain-safetyintegrated

http://www.siemens.com/sitrain-safetyintegrated

http://www.siemens.com/safety-infomaterial

http://www.siemens.com/safety-functional-examples

Service & Support 6.1 Service & Support


Safety Integrated Newsletter Informazioni attuali sulla tecnica di sicurezza sono offerte dalla nostra regolare Newsletter.

Safety Integrated Newsletter (http://www.industry.siemens.com/newsletter)

Service sul posto Siemens supporta i propri clienti in tutto il mondo con servizi per prodotti, sistemi e applicazioni lungo l'intero ciclo di vita di un impianto. Dalla progettazione e dallo sviluppo fino all'esercizio e alla modernizzazione i clienti possono beneficiare con il service delle vaste conoscenze di tecnologia e prodotti nonchè della competenza nei diversi settori applicativi degli esperti Siemens.

Industry Services (http://www.siemens.com/industry-service)

Configuratori Semplice assemblaggio di prodotti e sistemi con i nostri configuratori.

Industry Mall Ordinazione online nell'Industry Mall – con la massima semplicità.

Industry Mall (http://www.siemens.com/industrymall/IT)

Consulenza Per fare fronte alle crescenti esigenze nell'area della tecnica di sicurezza, Siemens si avvale oltre che dei propri esperti di Safety anche di Siemens Solution Partner Automation selezionati. Queste aziende partner altamente qualificate offrono consulenza professionale e un supporto efficace per tutti gli aspetti di sicurezza rilevanti dei progetti di automazione degli utenti.

Solution Partner Internet (http://www.siemens.com/automation/solutionpartner)

http://www.industry.siemens.com/newsletter

http://www.siemens.com/industry-service

http://www.siemens.com/industrymall/IT

http://www.siemens.com/automation/solutionpartner


Indice analitico

A Analisi, 15 Analisi del rischio, 114 ANSI, 119 Architettura

Sistema di comando, 129 Architettura di Categoria 2, 151 Architettura di Categoria 3, 152 Architettura di Categoria 4, 153 Architettura di Categoria B, 148 Architettura di sistema, 127, 133 Area pericolosa aperta, 64, 66, 68, 70 Area pericolosa aperta, 64, 66, 68, 70 Arresto, 13

controllato, 13 non controllato, 13

Arresto di emergenza, 13, 14, 100, 102 Arresto in caso di emergenza, 14, 24 Attuatori, 15

Collegamento di, 18 Australia, 120 Avvio automatico, 17 Avvio di emergenza, 13 Avvio manuale, 17 Avvio sorvegliato, 17

B Barriera ottica, 65, 66 Barriere ottiche, 63 Blocco di ritenuta, 38, 77 Blocco di ritenuta per porta/riparo di protezione, 84, 87 Blocco funzionale, 128

C Calcolo della sicurezza, 23 Caso di emergenza, 13 Cataloghi, 155 Categoria 1, 149 Categoria 2, 150 Categoria 3, 152 Categoria 4, 153 Categoria B, 148 Categorie di arresto, 13

Ciclo di vita, 112 Circuito di abilitazione, 16 Circuito di comando a due mani, 93 Circuito di retroazione, 16 Collegamento in cascata

Dispositivi di sicurezza, 106 Collegamento in serie, 25, 40, 99

Sensori, 20 Comando a due mani, 17, 94 Comando sicuro, 93 Combinazione per il rilevamento di posizione, 41 Combinazioni di funzioni di sicurezza, 99 Concetto di sviluppo, 146 Configuratori, 156 Conoscenze necessarie, 9

D Dati CAx, 23 Destinatari, 9 Diagnostic coverage DC, 139 Diagnostica, 141, 143 Direttiva Macchine, 109 Direttiva sulla sicurezza delle macchine

Brasile, 120 Direttive UE, 111 Disinserzione di arresto di emergenza, 26, 28, 30, 32, 34, 104 Disinserzione di arresto di emergenza, 26, 28, 30, 32, 34, 104 Dispositivi di interblocco, 37, 77 Dispositivo di controllo stato di fermo, 84 Dispositivo di controllo velocità, 82, 90 Documentazione

Conoscenze necessarie, 9 Destinatari, 9 Edizioni, 10

Dovere di diligenza, 12

E Edizioni, 10 Elementi di rischio, 121, 123, 125 Elementi strutturali, 127 Elemento di blocco funzionale, 128 Elemento di sottosistema, 128 EN 60204-1, 13

Indice analitico


EN ISO 12100, 114 EN ISO 13849-1, 117 Errore

sistematico, 135 Errore sistematico, 11, 135 Errore sistematico, 11, 135 Errori, 139

pericolosi, 139 Errori pericolosi, 139 Errori sicuri, 143 Esempi applicativi

Gestione, 22 Esempi di funzioni, 155 Evento pericoloso, 124

F File di progetto SET, 23 Funzionamento "Muting", 63 Funzione di comando, 128 Funzione di protezione

Soppressione, 63 Funzione di sicurezza, 15, 133, 137, 146

Strutturazione, 131 Valutazione, 154

Funzioni relative alla sicurezza, 12

Funzioni di sicurezza Combinazioni, 99 Validazione, 118

Funzioni relative alla sicurezza, 12

G Garanzia, 10 Grado di copertura diagnostica, 139, 147 Grafo del rischio, 123 Gravità del danno, 125 Guasto pericoloso, 140

I IEC 61508, 127 IEC 62061, 12, 22, 117, 121, 122, 124, 132 Individuazione degli errori, 134, 136, 138, 139 Industry Mall, 156 Informazioni per l'utente, 117 Integrità di sicurezza, 154 Integrità hardware, 135 Integrità sistematica, 132, 135, 140 Integrità sistematica, 132, 135, 140

Interruttori a cerniera, 38 Interruttori di posizione, 38 Interruttori di sicurezza

senza contatto, 38 Interruttori di sicurezza meccanici, 38 Interruttori di sicurezza senza contatto, 38 Interruttori magnetici, 38 ISO 13849-1, 12, 22, 122, 146

Categorie, 144

L Laser Scanner, 72, 74 Legge sulla sicurezza del prodotto, 109 Leggi

locali, 11 Leggi locali, 11 Limitazioni strutturali, 143 Livello di integrità di sicurezza, 125 Livello di sicurezza, 22, 41

M Materiale informativo, 155 Misura di protezione, 122 Misure di protezione, 114, 116 Muting, 63

N National Electric Code (NEC), 119 NFPA, 119 NFPA 70, 119 NFPA 79, 119 Norme, 111

Finalità, 12 Norme europee

armonizzate, 111 Norme europee armonizzate, 111

O Obiettivi di protezione, 109 OFF di emergenza, 13, 14 ON di emergenza, 13 Operazione in caso di emergenza, 13 OSHA Regulations, 119

Indice analitico


P Parametri di rischio, 124 Performance Level, 12, 117, 122, 146 Performance Level, 12, 117, 122, 146 PL, 117 PL c, 22 PL d, 22 PL e, 22 Porta/riparo di protezione, 91, 100, 102 Porte/ripari di protezione, 44, 46, 48, 50, 52, 54, 56, 58, 60 Prescrizioni, 12 Principio strutturale, 127 Probabilità di guasto, 122, 140 Probabilità di guasto, 122, 140 Probabilità di guasto (PFHD), 140 Procedura di conformità CE, 112 Processo di sviluppo, 129, 144 Pulpito di comando a due mani, 94, 96

R Reazione, 15 Reazione agli errori, 136 Relè di controllo velocità, 78, 86 Report SET, 23 Requisiti di sicurezza

Specifica, 126 Responsabilità, 10 Responsabilità di prodotto, 119 Riconoscimento di cortocircuito trasversale, 16 Ridondanza, 16 Riduzione del rischio, 114, 115, 122 Rilevamento, 15 Rilevamento di posizione, 41 Rischio, 115 Rischio residuo, 114, 115

S Safety Evaluation Tool, 154 Safety Integrated, 155 Safety Integrity, 144 Safety Integrity Level, 12, 117 Safety Integrity Level (SIL), 122 Safety Performance, 122, 124, 132, 144 Safety related electrical control system, SRECS, 127 Sensori, 15, 20

Collegamento in serie, 20 Sicurezza, 11 Sicurezza funzionale, 11

SIL, 117, 124 SIL 1, 22 SIL 2, 22 SIL 3, 22 SIL claim limit, 132, 138 SIL claim limit, 132, 138 Sincronismo, 17 Sistema di comando, 128, 129

Sviluppo dell'architettura, 133 SITRAIN, 155 Sorveglianza blocco di ritenuta, 86, 90 Sorveglianza di accesso, 64, 66, 68, 70 Sorveglianza di area, 72, 74 Sorveglianza di porta/riparo di protezione, 37, 44, 46, 48, 50, 52, 54, 56, 58, 60, 87, 100, 102 Sorveglianza di posizione, 41 Sorveglianza di stato di fermo, 77, 84 Sorveglianza di stato di fermo sicuro, 84 Sorveglianza di velocità, 77, 78, 82, 86 Sorveglianza di velocità sicura, 78, 82 Sottosistema, 128, 135, 138, 139, 140

Design, 140 Scelta, 134

Specifica Requisiti di sicurezza, 126

SRCF, 128 SRECS, 127, 140 Sviluppo dell'architettura

Sottosistema, 139 Sviluppo dell'architettura, 146

T Tappeto sensibile di sicurezza, 68, 70 Tecnica di sicurezza

Finalità, 11 Tolleranza agli errori, 135, 136, 138, 139, 141, 143

U Unità di controllo, 15

sicure, 42 USA, 119 Utilizzo improprio, 116

V Validazione, 118 Valutazione del rischio, 114, 121, 122, 144, 155

Indice analitico


Siemens AGIndustry SectorPostfach 23 5590713 FUERTHGERMANIA

Con riserva di modifiche 3ZX1012-0SK11-1AF1

© Siemens AG 2013

Service & SupportSemplice download di cataloghi e materiale informativo:www.siemens.com/sirius/infomaterial

Newsletter - sempre up to date:www.siemens.com/sirius/newsletter

E-Business nell‘Industry Mall:www.siemens.com/sirius/mall

Online-Support:www.siemens.com/sirius/support

Per domande tecniche potete rivolgervi a:Assistenza TecnicaTel.: +49 (911) 895-5900E-Mail: [email protected]/sirius/technical-assistance

IndustrialControlsSIRIUS

www.siemens.com/automation

tecnica di manovra industriale - siemens global website · manuale applicativo tecnica di manovra...

Documents