Come affrontare il tema della sicurezza dei sistemi di controllo delle macchine

A proposito di sicurezza dei sistemi di controllo delle macchine, nel contesto della cosiddetta “sicurezza funzionale”, un sistema di sicurezza è definito come un insieme di componenti di controllo (hardware e software) capaci di interrompere totalmente o parzialmente un processo chimico, nucleare, elettrico o meccanico qualora una condizione di pericolo venga rilevata.

In particolare, la sicurezza funzionale riguarda la progettazione di quei sistemi aventi funzione di sicurezza e implementati per mezzo di componenti elettrici, elettronici, o elettronici programmabili.

Si tratta di insiemi impiegati per svolgere una o più funzioni specifiche e necessarie a mantenere i rischi per le persone associati al funzionamento di un dispositivo complesso (ad es. un macchinario industriale o un veicolo a guida automatica) ad un livello accettabile.

La sicurezza dei sistemi di controllo delle macchine

Nell’ambito della sicurezza macchine, la Direttiva Macchine (2006/42/EC) richiede esplicitamente ai progettisti di prevenire quelle situazioni potenzialmente pericolose causate da un guasto nei sistemi di controllo che supportano le funzioni di sicurezza.

È bene sottolineare come le misure di protezione delle macchine possano includere o meno circuiti di comando aventi funzione di sicurezza.

Ad esempio, un riparo mobile interbloccato che limita l’accesso dell’operatore al volume di lavoro di un centro di lavorazione automatizzato quando questo è in funzione (zona pericolosa) deve essere gestito per mezzo di un circuito di comando affidabile e capace di arrestare gli elementi pericolosi della macchina quando necessario.

Lo stesso risultato, in termini di salvaguardia dell’operatore, potrebbe essere raggiunto utilizzando un riparo fisso che, per sua natura, non necessita di essere integrato con il controllo della macchina (in quanto si tratta di un elemento di separazione puramente meccanico).

Garantire il funzionamento sicuro della macchina

Nella pratica, i dispositivi che implementano una funzione di sicurezza e basati su soluzioni elettriche, elettroniche, o elettroniche programmabili devono funzionare correttamente anche in caso di guasto, garantendo quindi il funzionamento sicuro della macchina.

In tale contesto, le due principali norme tecniche che trattano gli aspetti di progettazione dei sistemi di comando sono la ISO 13849-1 (“Safety of machinery — Safety-related parts of control systems Part 1: General principles for design”) e la IEC 61508.

Funzioni di sicurezza e sistemi di comando

Una funzione di sicurezza è una funzione di controllo finalizzata a ridurre il rischio associato all’utilizzo di una macchina ad un livello ritenuto accettabile. Il guasto di una funzione di sicurezza comporta un aumento immediato del rischio per gli utilizzatori della macchina, anche se quest’ultima è in grado di continuare ad operare normalmente.

Per definire una funzione di sicurezza è necessario stabilire l’azione che deve essere intrapresa per ridurre il rischio, oltre che le prestazioni richieste al sistema di sicurezza che la implementa (variabili in funzione dell’entità del rischio da gestire).

Secondo la norma ISO 13849-1, una funzione di sicurezza è implementabile per mezzo un sistema di sicurezza, parte del controllo della macchina (in inglese “Safety Related Part of Control System”, SRP/CS). Gli SRP/CS sono tipicamente organizzati in tre principali gruppi di componenti tra loro collegati.

• 1 Input (uno o più)

Questi componenti sono responsabili del rilevamento dell’evento scatenante che richiede un’azione della funzione di sicurezza al fine di ridurre il rischio per l’operatore. Essi possono includere sensori, interruttori di emergenza, o altri dispositivi capaci di monitorare lo stato della macchina attraverso variabili di sicurezza.

• 2 Logiche di controllo (una o più)

Si tratta di sistemi di elaborazione che, in funzione del ricevimento di un segnale di input generato da una condizione di pericolo, producono un output capace di avviare le azioni di sicurezza necessarie. Possono essere implementati tramite logica programmabile o altri sistemi di elaborazione dei segnali.

• 3 Output (uno o più)

Sono i componenti che realizzano l’azione di sicurezza agendo sul funzionamento della macchina. Possono includere attuatori che interrompono il movimento delle parti pericolose, dispositivi di blocco o altri meccanismi che, in generale, riducono il rischio per gli operatori.

Valutazione del livello di prestazione del sistema

È evidente come sia necessario progettare macchine in modo tale da prevenire i guasti pericolosi agli SRP/CSs. Di conseguenza, i circuiti di comando delle macchine aventi funzioni di sicurezza dovranno essere realizzati affinché eventuali situazioni pericolose vengano evitate, anche qualora si generi un guasto nell’hardware o nel software che li gestisce.

La norma ISO 13849-1 definisce un metodo iterativo e di tipo probabilistico per la corretta progettazione ed implementazione degli SRP/CS. Nella pratica, l’approccio si basa sul confronto di due parametri comparabili chiamati “Required Performace Level” (PLr) e “Performace Level” (PL), necessari per definire le prestazioni e le caratteristiche dei circuiti di comando aventi funzioni di sicurezza.

Questi livelli vengono classificati sulla base di cinque diversi intervalli di probabilità media di guasto pericoloso, stabiliti su base oraria (più basso è il valore, migliore è la soluzione adottata da un punto di vista dell’affidabilità).

PLr e PL

In particolare, il PLr specifica il livello prestazionale richiesto ad un SRP/CS al fine eseguire una funzione di sicurezza in condizioni prevedibili. Esso dipende dall’entità del rischio che è chiamato a gestire e deve essere stimato sulla base dei risultati di una valutazione del rischio.

Il PL, invece, indica il livello di prestazione raggiungibile attraverso determinate caratteristiche del SRP/CS, e dipende quindi dalle scelte progettuali che si adottano per la realizzazione del circuito di comando.

Il metodo introdotto dalla norma richiede che il PL raggiungibile con la soluzione proposta sia almeno pari al PLr richiesto per mitigare i rischi identificati. Questo permette di valutare la capacità delle misure di sicurezza progettate rispetto al rischio che devono gestire.

Informazioni dette “quantificabili” e “qualitative”

Il PL di un SRP/CS può essere stimato utilizzando informazioni dette “quantificabili” e “qualitative”.

Tra quelle quantificabili si ha:

• (i) il tempo medio a guasto pericoloso per ciascun componente del sistema e per i canali che questi compongono,
• (ii) la copertura diagnostica (indica la capacità di auto-monitoraggio del circuito di comando, o di una sua parte, rispetto ai guasti pericolosi),
• (iii) l’esistenza di malfunzionamenti dovuti a causa comune (eventi che comportano il guasto contemporaneo di più elementi),
• (iv) la categoria del sistema (architetture designate in funzione della loro resistenza alle avarie e al loro successivo comportamento nella condizione di avaria e/o la loro affidabilità).

Le informazioni qualitative riguardano invece (i) la risposta della funzione di sicurezza qualora si manifesti un guasto, (ii) i malfunzionamenti sistematici, (iii) il funzionamento del software a supporto del sistema (qualora presente), (iv) l’abilità del sistema di realizzare la funzione di sicurezza in condizioni ambientali note e prevedibili.

Nota finale

Un utile approfondimento su quanto descritto può essere consultato online sulla guida gratuita fornita da INAIL “I sistemi di comando delle macchine secondo le norme EN ISO 13849-1 e EN ISO 13849-2”.

(di Luca Gualtieri)