Valutazione e riduzione del rischio

ISO 12100:2012 – Sicurezza del macchinario – Principi generali per la progettazione – Valutazione e riduzione del rischio

Le macchine e gli impianti, per la loro funzionalità, rappresentano potenziali rischi per i lavoratori. Se una macchina può presentare dei pericoli, è necessaria una valutazione del rischio e, se pertinente, deve essere intrapresa una
riduzione del rischio per portarlo ad un livello accettabile.

La ISO 12100 fornisce una metodologia per la progettazione di macchine che sicure per l’utilizzo previsto.

Dà disposizioni:

  • Per l’identificazione dei pericoli
  • Per la stima e la valutazione dei rischi associati alla macchina
  • Su come eliminare i pericoli o fornire una sufficiente riduzione dei rischi

ISO 12100 è uno standard di tipo A.

Per gli Stati Uniti informazioni equivalenti sono fornite in ANSI 12100.

Strategia per la valutazione e la riduzione del rischio

La valutazione del rischio è un metodo completo per consentire, in modo sistematico, l’analisi e la valutazione dei rischi. Deve essere eseguito in fase di progettazione, costruzione e messa in servizio del macchinario e ogni volta che vengono apportate modifiche. Può essere utilizzato anche per la valutazione di macchinari esistenti se, ad esempio, si sono verificati incidenti o malfunzionamenti.

Per attuare la valutazione e la riduzione del rischio devono essere intraprese le seguenti azioni

  1. Analisi del rischio: per determinare i limiti della macchina, che includono l’uso previsto e qualsiasi uso improprio ragionevolmente prevedibile. Inoltre per identificare i pericoli e le situazioni pericolose associate alle attività della persona (tutte le salvaguardie dovrebbero essere ignorate mentre viene eseguita l’identificazione del pericolo).
  2. Valutazione del rischio: per valutare il rischio di ogni pericolo e situazione pericolosa identificate e prendere
    decisioni sulla necessità di ridurre il rischio.
  3. Riduzione del rischio: Se il pericolo non può essere eliminato, ridurre il rischio associato implementando misure di protezione.

Il processo è iterativo e possono essere necessarie diverse applicazioni successive.

Fig. 1 – Strategia per la valutazione e la riduzione del rischio

L’obiettivo da raggiungere è ridurre il rischio a un livello accettabile (tollerabile) considerando che la riduzione del rischio ottenuta: deve essere efficace in tutte le fasi del ciclo di vita della macchina e non deve pregiudicare le funzioni e l’usabilità della stessa.

Quando vengono apportate modifiche al processo o alla macchina oppure se vengono aggiunte delle nuove misure di protezione, tutte le fasi della valutazione del rischio devono essere ripetute per verificare se:

  • Sono state apportate modifiche ai limiti operativi della macchina
  • Sono stati introdotti nuovi pericoli o situazioni pericolose
  • Il livello di rischio di eventuali situazioni pericolose esistenti è stato aumentato
  • Le misure di protezione aggiunte sono efficaci nel ridurre il rischio
  • La riduzione del rischio prevista è stata raggiunta

Il raggiungimento della necessaria riduzione del rischio è solo uno delle informazioni per la decisione di interrompere il processo iterativo di riduzione del rischio. Questa decisione dovrebbe comportare considerazioni aggiuntive come regolamenti, leggi nazionali e organizzazione del lavoro.

Determinazione del limite della macchina

Il primo passo dell’analisi del rischio consiste nel fornire una chiara descrizione delle capacità meccaniche, fisiche e funzionali della macchina. Determinare i limiti di spazio della macchina, significa determinare la gamma di movimenti, i
requisiti di spazio per le persone che interagiscono con la macchina (anche durante la manutenzione) il tipo di interazione umana, i limiti ambientali di funzionamento (temperature minime e massime, ambiente asciutto o bagnato e intemperie, tolleranza alla polvere, ecc.), diverse modalità di funzionamento, interfaccia di alimentazione.

Identificazione dei pericoli

Dopo aver determinato i limiti della macchina, il passaggio essenziale in qualsiasi valutazione del rischio della macchina è l’identificazione sistematica dei pericoli ragionevolmente prevedibili che possono insorgere durante l’intero ciclo di vita (trasporto, installazione, messa in servizio, uso, disabilitazione, smontaggio). Solo se tutti i pericoli sono identificati correttamente, è possibile intervenire per ridurre i rischi associati. Pericoli non identificati possono causare lesioni. È quindi importante garantire che l’identificazione dei pericoli sia sistematica e completa.

Per realizzare l’identificazione del pericolo, è necessario identificare:

  • Le operazioni che devono essere eseguite dal macchinario
  • I compiti che devono essere eseguiti dalle persone che interagiscono con la macchina, considerando comportamenti non intenzionali o un uso improprio ragionevolmente prevedibile della macchina
  • Le caratteristiche dei materiali da lavorare
  • L’ambiente in cui la macchina può essere utilizzata
Pericoli generati dall’interazione uomo-macchina Pericoli genenrati dalla macchina
Impostazioni Pericoli elettrici
Verifiche Pericoli meccanici
Programmazione Pericoli legati alla temperatura
Caricamento e scaricamento manuale Pericoli generati dal rumore
Canbio degli attrezzi Pericoli generati dalle vibrazioni
Partenza e arresto dellla macchina Pericoli generati dalle radiazioni
Ripartenza dopo un arresto imprevisto Pericoli generati dal materiale
Pulizia e manutenzione Pericoli relativi all’ambiente
Manutenzione preventiva e riparazioni Pericoli realtivi all’emissione di sostanze
 
 

Una volta identificati i pericoli e le situazioni pericolose, è necessario effettuare una stima dei rischi associati a ciascun pericolo e a ciascuna situazione pericolosa. Convertire l’impatto del rischio in termini numerici è un compito difficile perché non esiste una scala di rischio universale. La ISO 12100 ha deciso di definire il rischio come una combinazione della gravità del danno e della probabilità di accadimento di tale danno.

Il rischio può quindi essere misurato creando una scala basata sul prodotto di conseguenza (in termini di danno alle persone) e probabilità di accadimento (probabilità che un evento causi lesioni).

Rischio = Conseguenza del danno x probabilità di accadimento

Tipicamente, per migliorare l’accuratezza della stima della probabilità di accadimento del danno, vengono aggiunti parametri come la frequenza e la durata dell’esposizione al pericolo, la probabilità che si verifichi un evento pericoloso e le possibilità tecniche e umane di evitare o limitare il danno.

La formula diventa:

Rischio = Conseguenza del danno x (tempo di esposizione + possibilità di accadimento + possibilità di evitare o limitare il danno)

È stata sviluppata una varietà di strumenti che aiutano il progettista in questo processo di valutazione del rischio, tra cui tabelle, grafici di rischio, metodi numerici.
Esempio di grafico del rischio

S: gravità della lesione
S1: reversibile
S2: irreversibile o morto

F: frequenza o tempo di esposizione al pericolo
F1: raro / corto
F2: continuo prolungato

O: probabilità di accadimento del pericolo
O1: molto basso
O2: basso
O3: alto

A: rischio evitabile o limitazione del danno
A1: possibile
A2: impossibile

Esempio matrice del rischio
Conseguenze Severity Class Cl (Fr+P+Av)      
G 3-4 5-7 8-10 11-13 14-15      
Morte, perdita di un occhio o di un braccio 4               rischio inaccettabile
Permanente: perdita di dita 3               rischio moderato
Reversibile: intervento medico 2               rischio tollerabile
Reversibile: pronto soccorso 1                
 
Frequenza di esposizione al rischio, Fr   Probabilità evento pericoloso, P   Probabilità di evitare o limitare il danno, Av
≥ 1 per ora 5   Molto alta 5   Impossibile 5
< 1 per ora
≥ 1 per giorno
5   Probabile 4   Possibile 3
< 1 per giorno
≥ 1 per 2 settimane
4   Possibile 3   Probabile 1
< 1 per 2 settimane
≥ 1 per 1 anno
3   Scarsa 2      
< 1 per anno 2   Trascurabile 1      
 
Fig. 2 – Esempio matrice del rischio

La scelta del metodo da utilizzare per la stima del rischio è in gran parte legata al tipo di macchinario e alla natura dei pericoli. È inoltre necessario tenere conto delle capacità, dell’esperienza e delle preferenze del professionista che
realizza la valutazione.

Il rispetto delle regole per la stima del rischio è più importante che cercare di raggiungere l’accuratezza assoluta dei risultati.

Dopo che la valutazione del rischio è stata definita, deve essere effettuata un’analisi per determinare se eventuali situazioni pericolose che richiedono un’ulteriore riduzione del rischio. Implementare la riduzione del rischio significa ridurlo ad un livello “accettabile” di rischio residuo per le persone.

Sicurezza non significa zero rischi
 
Il rischio zero possibile solo quando il pericolo è COMPLETAMENTE rimosso
 
Sicurezza significa libertà da rischi inaccettabili
 
In generale, i costruttori concordano sul fatto che una strategia di riduzione del rischio dovrebbe utilizzare un approccio gerarchico denominato metodo in tre fasi.
Il metodo in tre fasi deve essere applicato nella seguente sequenza:
Fase 1 integrazione dei concetti di sicurezza in fase di progettazione
La progettazione intrinsecamente sicura è il primo e più importante passo nel processo di riduzione del rischio. È probabile che le misure di protezione, che sono parte integrante della progettazione della macchina, rimangano efficaci mentre l’esperienza ha dimostrato che anche una protezione ben progettata può fallire o può essere violata. Inoltre è possibile che le informazioni per l’uso non vengano seguite correttamente. 
 
Si ottengono misure di progettazione intrinsecamente sicure:
 
  1. Attraverso un’adeguata scelta delle caratteristiche di progettazione meccanica, ad esempio, evitando spigoli vivi, angoli e parti sporgenti, evitando punti di schiacciamento, punti di taglio e punti di aggrovigliamento
  2. Progettando macchine in modo da avere una stabilità sufficiente nelle condizioni d’uso specificate. I fattori da considerare includono
    – La geometria della base e la distribuzione del peso, compreso il carico
    – Le forze dinamiche dovute ai movimenti di parti della macchina o di elementi trattenuti dalla macchina che possono determinare un momento ribaltante
    – Vibrazioni, oscillazioni
  3. Riducendo l’interazione tra le persone esposte e la macchina. Questo obiettivo può essere raggiunto limitando il tempo di esposizione al pericolo, ad esempio mediante:
    – Stazioni di carico e scarico automatiche
    – Lavori di installazione e manutenzione dall’esterno delle zone pericolose
    – Utilizzo di componenti affidabili per ridurre i lavori di manutenzione
    – Concetto operativo chiaro e inequivocabile (ad es. marcatura precisa dei comandi)
    – Utilizzo della procedura di Lock-Out/Tag-Out
  4. Limitando l’esposizione all’alimentazione elettrica (contatto diretto e indiretto) Un’alimentazione stabile è particolarmente importante nelle applicazioni legate alla sicurezza. Gli alimentatori devono resistere a brevi interruzioni di corrente. Per ogni collegamento di alimentazione deve essere previsto un dispositivo di isolamento dell’alimentazione. Per gli alimentatori a 24 V CC, utilizzare un circuito di Classe 2 che offre protezione contro l’innesco di incendi e scosse elettriche. Un’altra opzione per fornire protezione contro le scosse elettriche consiste nell’utilizzare una bassissima tensione di sicurezza (SELV, PELV)
  5. Utilizzando involucri idonei per la protezione dei componenti elettrici. Le custodie per apparecchiature elettriche devono soddisfare i requisiti per le classificazioni delle custodie. Due sistemi di classificazione ampiamente accettati sono i tipi/numero NEMA e il codice di classificazione IP.
    Le classificazioni delle custodie descrivono la protezione contro l’ingresso di acqua e corpi estranei (polvere). Inoltre, descrivono la protezione contro il contatto diretto con parti in tensione.
    NEMA (National Electric Manufacturers’ Association) è comunemente specificato nelle installazioni negli Stati Uniti IP (International Protection), deriva dalla IEC ed è tipicamente utilizzato in Europa.
    Tipicamente, gli armadi di controllo dovrebbero essere NEMA 13 o IP 54
  6. Selezionando componenti immuni ai disturbi previsti. La macchina ed i componenti utilizzati devono essere scelti in modo da essere immuni ai disturbi elettromagnetici previsti. Requisiti più elevati si applicano ai componenti di sicurezza. Le seguenti linee guida di progettazione aiuteranno a prevenire i problemi EMC:
    – Collegamento equipotenziale continuo mediante connessioni conduttive tra parti di macchinari e sistemi
    – Separazione fisica dall’unità di alimentazione (alimentazione/sistemi attuatori/inverter)
    – Lo schermo non deve essere utilizzato per trasportare correnti di collegamento equipotenziale
    – Collegare l’eventuale messa a terra/messa a terra funzionale (FE) fornita
    – Utilizzo di cavi twistati per la trasmissione dei dati (bus di campo)
  7. Impedendo l’avvio imprevisto. L’allacciamento alla rete elettrica o l’accensione di un’alimentazione esterna non devono comportare l’avviamento delle parti funzionanti di una macchina.
    Deve essere impedito un riavvio spontaneo di una macchina dopo un’interruzione dell’alimentazione (ad esempio, mediante l’uso di un relè, un contattore o una valvola automantenuti).
    Ogni macchina deve essere dotata di un comando per l’arresto della macchina durante il normale funzionamento.

Un comando di arresto della macchina deve avere una priorità maggiore rispetto ai comandi di messa in funzione della macchina.

Deve essere disponibile almeno una funzione di arresto di categoria 0.

  • Categoria di arresto 0: arresto incontrollato togliendo immediatamente alimentazione agli attuatori della macchina (elementi di azionamento)
  • Categoria di arresto 1: arresto controllato con alimentazione disponibile agli attuatori della macchina per raggiungere l’arresto, quindi l’alimentazione viene rimossa quando viene raggiunto l’arresto
  • Categoria di arresto 2: arresto controllato con alimentazione lasciata disponibile per l’attuatore della macchina.
Fase 2 - Riduzione del rischio mediante misure di protezione
Se i pericoli non possono essere rimossi o i rischi non possono essere adeguatamente ridotti mediante misure di progettazione intrinsecamente sicure, devono essere applicate misure di protezione aggiuntive, disposte in modo da ridurre la probabilità che si verifichi l’evento pericoloso eliminando le cause probabili o imporre una limitazione esposizione ai pericoli o per aumentare la possibilità di evitare il danno o almeno riducendone l’intensità.
 
Le misure di protezione possono essere passive, attive, complementari.

Misure protettive passive

Sono indipendenti dal sistema di controllo della macchina e non necessitano di essere attivati per svolgere la loro funzione di riduzione del rischio, sono efficaci in modo continuo. Vengono utilizzati quando non è richiesto l’accesso alla zona pericolosa durante il normale funzionamento.
 
Esempi di misure di protezione passiva sono le protezioni permanenti t (saldate al corpo macchina) e le recinzioni amovibili che possono essere rimosse solo a macchina ferma con apposito attrezzo non facilmente a disposizione degli operatori. Forniscono protezione riducendo la durata dell’esposizione al pericolo.

Misure protettive attive

Le misure di protezione attive vengono attivate in risposta a una modifica definita di una proprietà misurabile di un ingresso (ad es. un sensore o un interruttore). Hanno lo scopo di ridurre il rischio generato dai seguenti eventi:
  1. Interazione umana con la macchina
    È possibile che una persona, coinvolta in un determinato processo della macchina, con il suo comportamento si esponga a pericolosi movimenti della macchina.
    Esempi di misure di protezione attiva idonee a ridurre i rischi generati dall’interazione umana con la macchina sono gli ESPE, le pedane di sicurezza, i dispositivi di abilitazione, i dispositivi di comando a uomo presente, i ripari di interblocco.
    Forniscono protezione riducendo la probabilità di accadimento del danno.
    Sono destinati a lavorare immediatamente su uno specifico evento di avvio. Il loro ruolo è garantire che persone o parti del corpo umano non vengano ferite dalle parti pericolose della macchina.
    La “domanda” di protezione è generata dalla persona con la sua interazione (operazioni) con il processo macchina.
  2. Guasti del sistema di controllo dell’automazione della macchina (MCS)
    È possibile che un guasto di un componente del sistema di controllo dell’automazione della macchina coinvolto in un determinato processo della macchina possa generare situazioni pericolose come aumento di superfici calde, fiamme, vibrazioni eccessive, esplosioni ecc.
    Esempi di misure di protezione attiva idonee a ridurre il rischio dovuto a guasti ai componenti del sistema di controllo dell’automazione della macchina sono i limitatori di coppia, i limitatori di pressione o temperatura, i limitatori di velocità eccessiva, i dispositivi di monitoraggio dell’emissione di radiazioni o gas, i rivelatori di incendio e di fumo.
    Forniscono protezione riducendo la probabilità di accadimento del danno.
    Sono impiegati come mezzo di prevenzione e sono destinati a funzionare prima che si verifichi uno specifico evento di avvio. Il loro ruolo è quello di garantire che l’incidente non avvenga, o almeno di rallentarne lo sviluppo o di limitare a un livello accettabile la deviazione del processo.
    La “domanda” viene generata a causa di un guasto del sistema di automazione della macchina.
  3. Uso improprio della macchina.
    È possibile che un uso intenso della macchina dovuto alla pressione del tempo o ad elevate sollecitazioni dovute a carichi eccessivi o alla lavorazione di materiale non idoneo possa portare la macchina a lavorare al di fuori dei suoi limiti di progettazione che a sua volta possono generare guasti meccanici della macchina stessa o danneggiamento della merce da lavorare e, in una seconda fase, può generare rischi per le persone.
    Esempi di misure di protezione attiva idonee a ridurre il rischio dovuto ad un uso improprio sono limitatori di coppia, limitatori di pressione, limitatori di sovravelocità, sensori estensimetrici, sensori di sovraccarico di corrente.
    Forniscono protezione riducendo la probabilità di accadimento del danno.
    La “domanda” è generata dal sovraccarico della macchina a causa del suo uso improprio.
NOTA: Laddove una misura di protezione sia implementata attraverso il sistema di controllo relativo alla sicurezza della macchina, è consigliabile utilizzare i metodi descritti nella ISO EN ISO 13849-1 o EN IEC 62061 per la stima del rischio perché forniscono automaticamente la corrispondenza tra i PL / SIL richiesto e rischio stimato.

Misure protettive complementari

Per ottenere un’ulteriore riduzione del rischio, può essere necessario utilizzare misure di protezione complementari in considerazione dell’uso previsto e dell’uso improprio ragionevolmente prevedibile della macchina.
 
Le misure di protezione complementari il cui principale effetto è quello di evitare o limitare i danni sono l’arresto di emergenza, le misure per consentire un accesso sicuro ai macchinari, le misure per la fuga e il salvataggio delle persone intrappolate.
 
NOTA: l’arresto di emergenza non è considerato una protezione primaria perché non impedisce o rileva l’accesso a una zona pericolosa. Il livello di sicurezza deve essere definito in base alla valutazione del rischio della macchina.
 
Protezioni complementari il cui effetto principale è quello di ridurre la durata dell’esposizione al pericolo sono dispositivi idonei all’isolamento energetico come valvole di intercettazione e interruttori di isolamento, dispositivi idonei alla dissipazione dell’energia come valvole limitatrici di pressione, blocchi meccanici per impedire movimenti.
Fase 3 - Riduzione del rischio mediante misure amministrative
Per garantire che le misure di protezione passive, attive e complementari implementate rimangano efficaci durante tutto il ciclo di vita della macchina sono necessarie ulteriori azioni basate su procedure e organizzazione.
  1. Procedure per la manutenzione. La mancanza di manutenzione (scarsa lubrificazione e perdita di liquido di raffreddamento) può portare a guasti o errori meccanici. Per ridurre questo tipo di rischi, è necessario sviluppare e implementare istruzioni dettagliate per la manutenzione.
  2. Provvedimenti amministrativi – Procedure organizzative del lavoro.
    Dovrebbero essere operative almeno le seguenti misure organizzative:
    – Ruoli e responsabilità ben definiti dei lavoratori, dei supervisori e della direzione
    – Un piano per la formazione periodica dei lavoratori
    – Disponibilità di strumenti idonei per la manutenzione e le verifiche
    – Un piano di ispezioni periodiche per verificare l’integrità delle protezioni
    – Un piano per la fuga e per le procedure di emergenza
    – Mezzi per tenere traccia delle verifiche periodiche
  3. Informazioni per l’uso. Le informazioni per l’uso sono parte integrante della progettazione di una macchina
    – Informa l’utente sull’uso previsto della macchina
    – Deve contenere tutte le indicazioni necessarie per garantire un uso sicuro e corretto della macchina
    – Informa e avverte l’utente del rischio residuo
    – Indica, se del caso, la necessità di dispositivi di protezione individuale

Segnali visivi, come luci lampeggianti e segnali acustici come le sirene, possono essere utilizzati per avvertire di un evento pericoloso imminente come l’avvio della macchina o la velocità eccessiva.

Tali segnali devono essere emessi prima del verificarsi dell’evento pericoloso ed essere differenziati da tutti gli altri segnali utilizzati.

Laddove le informazioni per l’uso siano conservate in formato elettronico (CD, DVD, nastro, disco rigido, ecc.), le informazioni su questioni relative alla sicurezza che richiedono un’azione immediata devono sempre essere supportate da una copia cartacea prontamente disponibile.

Funzione di sicurezza come misura di protezione “attiva”.

Le misure di protezione attiva vengono generalmente implementate selezionando e combinando in modo appropriato componenti hardware (come sensori, interruttori, unità logiche, relè, ecc.) per costruire un sistema di controllo relativo alla sicurezza.

Si dice che un sistema di controllo che esegue una misura di protezione attiva svolga una funzione di sicurezza e il sistema di controllo stesso è chiamato Safety Related Control System. In macchine complesse può accadere che più movimenti pericolosi possano potenzialmente ferire l’operatore. Per ogni pericolo per il quale è necessaria una misura di protezione attiva, deve essere implementata una funzione di sicurezza corrispondente.

Può quindi accadere che lo stesso sistema di controllo relativo alla sicurezza debba gestire più funzioni di sicurezza.

Quando una funzione di sicurezza è attivata, la macchina viene portata in uno stato di sicurezza in tempo prima che si possa verificare una situazione pericolosa per le persone.

Elenco delle tipiche funzioni di sicurezza atte a ridurre il rischio originato dalle interazioni uomo-macchina.

Funzioni di sicurezza Esempi di applicazioni
Funzione di arresto, relativa alla sicurezza, avviata da una protezione Arrestare un motore in risposta all’intervento di un dispositivo
di protezione
Funzione di Reset manuale Azione destinata a ristabilire la salvaguardia dopo la sua attuazione. Riconoscimento che il rischio non è più presente
Funzione di Start/restart L’inizio di un movimento pericoloso può avvenire solo quando una
situazione pericolosa non esiste più
Funzione di Muting Sospensione temporanea automatica di una funzione di sicurezza
Funzione Hold-to-run I movimenti pericolosi della macchina possono essere controllati da una posizione all’interno della zona di pericolo, ad es. la modalità a impulsi durante l’impostazione
Prevenzione di avviamenti imprevisti Mantenere una macchina ferma mentre le persone sono presenti nelle zone pericolose
Selezione della modalità operativa Attivazione delle funzioni di sicurezza tramite un selettore della
modalità di funzionamento
Movimento sicuro, posizione sicura Sovravelocità, controllo extracorsa
 
Elenco delle tipiche funzioni di sicurezza idonee a ridurre i rischi originati da guasti dell’MCS
 
Controllo o limitazione di
Velocità Temperatura
Coppia Posizione
Alimentazione Tempo di arresto
Pressione Distanza di arresto
 

Struttura di una funzione di sicurezza

Una funzione di sicurezza in genere inizia con il rilevamento e la valutazione di un “evento di avvio” e termina con un’uscita che provoca un’azione su un “attuatore macchina”.

Realizzazione di una funzione di sicurezza

Una funzione di sicurezza è solitamente costituita da una combinazione in serie di tre sottofunzioni che svolgono rispettivamente i compiti di rilevamento, valutazione e azione.

Ciascuna sottofunzione può essere implementata da:

  • Utilizzo di sottosistemi precedentemente convalidati
  • Progettazione di nuovi sottosistemi
  • Una combinazione di entrambe le alternative

Qualsiasi delle tecnologie disponibili (elettrica, idraulica, pneumatica, meccanica) può essere utilizzata singolarmente o in combinazione.

Esempio:

Un movimento pericoloso è protetto da una recinzione munita di cinque ripari. L’apertura di una delle cinque porte interrompe il movimento pericoloso.

Si possono considerare quattro funzioni di sicurezza separate, una per ogni porta, se si presume che venga aperta una sola porta alla volta.

Per esempio. Per la funzione di sicurezza F. 2, riferita alla porta n°2, nel computo della funzione di sicurezza vengono considerati solo i blocchi evidenziati in azzurro.
 
Integrazione di un sistema di controllo relativo alla sicurezza nel sistema di controllo della macchina
 
Per l’integrazione di un sistema di controllo relativo alla sicurezza nel sistema di controllo della macchina (MCS) devono essere applicati i seguenti principi:
  • Il sistema di controllo relativo alla sicurezza è separato e indipendente dall’MCS
  • Il sistema di controllo relativo alla sicurezza è destinato esclusivamente alla protezione diretta o indiretta delle persone; non partecipa attivamente al processo della macchina e si attiva solo al verificarsi di una situazione di pericolo
  • L’affidabilità dell’MCS non assume alcun ruolo per l’esecuzione della funzione di sicurezza. È l’affidabilità del sistema di controllo relativo alla sicurezza a destare preoccupazione; maggiore è la probabilità che una persona sia esposta al rischio, maggiore dovrebbe essere la disponibilità del sistema di controllo relativo alla sicurezza
  • Quando si verifica un guasto pericoloso nel sistema di controllo relativo alla sicurezza, la macchina viene portata in uno stato sicuro. Il riavvio del processo della macchina è accettato solo dopo la riparazione e il ripristino del sistema di controllo relativo alla sicurezza
  • È anche possibile che un sistema di controllo relativo alla sicurezza esegua funzioni di sicurezza e funzioni di comando della macchina (ad esempio una barriera fotoelettrica di sicurezza o un dispositivo di controllo a due mani possono essere utilizzati sia per la protezione che per il riavvio del ciclo).

Fig. 3 – Esempio di integrazione di un sistema di controllo relativo alla sicurezza con un PL

A – La mancata apertura (ad es. per contatti saldati) di KM1 impedisce l’arresto del motore.
B – Se le uscite dell’SRP/CS sono collegate agli ingressi di un PLC standard (non di sicurezza), i guasti hw e sw all’interno del PLC o il guasto del KM1 possono impedire l’arresto del motore.

Fig- 4 – Esempi di errata integrazione