Chiunque abbia mai avuto una foratura al pneumatico con la propria auto sa quanto possa essere spiacevole, soprattutto se la cosa succede mentre si sta andando in vacanza o ad un appuntamento importante, o addirittura di notte su una strada di campagna solitaria. Per poter continuare a guidare per un periodo di tempo limitato in questi casi, l'industria dei pneumatici ha sviluppato gli pneumatici Run Flat, che possono essere utilizzati per raggiungere l'officina successiva nel luogo di destinazione a velocità ridotta.
Come trasferire questa idea a concetti di produzione automatizzata, in particolare nel campo dei sistemi di sicurezza?
Stato sicuro
Con gli attuali concetti di sicurezza, in molti casi un guasto rilevante per la sicurezza si verifica in tempi molto rapidi, sebbene ciò accada anche se la maggior parte delle funzioni di sicurezza sia progettata in modo ridondante per livelli di integrità di sicurezza (SIL) o di prestazioni (PL) più elevati.
Esempio: viene rilevato un cortocircuito trasversale tra due canali nel circuito del sensore di un pulsante di arresto di emergenza, e i movimenti pericolosi vengono immediatamente disattivati.
Per questo motivo un gruppo di lavoro presso ZVEI, con la collaborazione di varie aziende consorziate e con un istituto, si è posto la domanda su quanto possa durare da un punto di vista normativo l'ulteriore funzionamento a tempo limitato di un sistema di automazione in caso di errore critico ai fini della sicurezza.
Funzionamento della macchina allo stato degradato
Nel caso degli impianti per la tecnica di processo, alcune fasi di produzione potrebbero essere completate con parametri di processo critici, in base all'avviso di presenza di un errore e allo stato visualizzato di "funzionamento degradato". Al più tardi quando viene raggiunto il tempo di funzionamento massimo ammissibile nello "stato degradato", un responsabile deve decidere lo stato di sicurezza da applicare.
Nell'ambito di un'analisi del tipo di errore e dell'impatto, si distingue tra due tipi di errore. In caso di errori non tollerabili, non è garantito un funzionamento sicuro ed è quindi necessario procedere all'arresto immediato. Gli errori tollerabili consentono un funzionamento limitato nel tempo se, ad esempio, è possibile eseguire correttamente la funzione di sicurezza mediante un secondo percorso di disattivazione.
Calcolo della probabilità di guasto
Le norme pertinenti EN ISO 13849 o IEC 62061 non contengono alcuna indicazione sulla reazione immediata o diretta in caso di errore. Inoltre, i modelli per il calcolo della probabilità di guasto (PFHD) consentono anche il necessario margine di manovra per la progettazione, in quanto la probabilità di guasto rimane inizialmente a un livello basso nelle architetture ridondanti e aumenta solo dopo un certo tempo. A seconda della valutazione dei rischi e della qualità delle misure di controllo degli errori utilizzate, il tempo necessario per lo spegnimento da parte del responsabile può essere prolungato al massimo di una settimana. Il metodo di calcolo alternativo su cui si basa la norma EN 62061 definisce un intervallo tra prove diagnostiche, che contribuisce in pratica anche a una percentuale trascurabile di PFHd.
Tuttavia, entrambi i metodi di calcolo sono preceduti dal fatto che l'attuazione della funzione di sicurezza ha una riserva sufficiente per quanto riguarda le avarie e che sono stati presi in considerazione i requisiti relativi alle avarie di causa comune (Common Cause Failure).
Andamento qualitativo dei rischi
Misure di sicurezza complementari
L'idea che un responsabile attivi meccanismi di sicurezza alternativi o supplementari in caso di errore, consente un approccio diverso. Ad esempio, nel monitoraggio dei limiti di velocità di sicurezza in un sistema di azionamento (SLS secondo EN 61800-5-2), in caso di guasto il responsabile può garantire che sia consentito solo il funzionamento a velocità ridotta. Il limitatore di velocità abbassa il livello necessario per ridurre il rischio da PL d a PL c. Nel caso di sistemi di trasporto senza conducente (AGV) troviamo aree di applicazione concrete, dove il controllo della traiettoria di marcia si realizza in funzione della velocità all'interno del campo protetto di uno scanner laser.
Prospettiva
Gli autori del whitepaper pubblicato dalla ZVEI giungono alla conclusione che la valutazione delle misure descritte è in linea con gli obiettivi di protezione della Direttiva Macchine e non è in contrasto con le norme armonizzate EN ISO 13849 e EN 62061.
Sarà determinante per l'accettazione se il profitto può essere misurato in base alla possibilità di un "funzionamento degradato". In particolare, considerando il crescente collegamento in rete, la capacità diagnostica dei singoli componenti per quanto riguarda la disponibilità dell'impianto è particolarmente significativa.
Segnalazione guasti attiva nell'industria di processo
Ciò che è ancora un sogno nel futuro nell'ingegneria meccanica, è già realtà in molti settori dell'industria di processo. Ad esempio, i moduli di accoppiamento sicuri della famiglia PSRmini sono dotati di un feedback di errore attivo che consente al controllore di sicurezza di livello superiore SIS (Safety Instrumented System) di eseguire una valutazione relativa alla sicurezza. Ciò avviene senza la necessità di ingressi digitali che rileggano i contatti chiusi a riposo. Il feedback di errore attivo del relè di interfaccia si traduce in una riduzione dell'impedenza dell'uscita digitale di sicurezza. Pertanto, la decisione di continuare a funzionare o di avviare reazioni alternative agli errori rimane nella CPU del sistema di sicurezza (SIS).
