solo una piccola parte del personale dell'impresa è in ... · ai fini della presente norma, i...

Il materiale didattico non può essere riprodotto (anche parzialmente) e/o utilizzato senza autorizzazione di AC&E s.r.l.

Seconda parte

Esempi pratici


NORMA EUROPEA EN 418

3 Definizioni

Ai fini della presente norma, si applicano le seguenti definizioni.

3.1 arresto d’emergenza (funzione) : Funzione destinata a:Evitare , al loro sorgere, i pericoli per le persone, i danni alle macchine o alle lavorazioni in corso, oppure ridurli

Essere attivata mediante una singola azione umana quando la normale funzione di arresto è inadeguata per lo scopo previsto

Ai fini della presente norma, i pericoli sono quelli che possonoderivare da:Irregolarità funzionali (disfunzioni della macchina, caratteristiche inadeguate del materiale lavorato, errori umani ….)

Dal normale funzionamento


4.1.5 L’arresto d’emergenza deve funzionare:Sia come arresto di categoria 0, cioè arresto mediante:- Interruzione immediata dell’alimentazione di energia dello/degli attuatori

della macchina.oppure- Scollegamento meccanico (disinnesto) tra gli elementi pericolosi e i loro

attuatori, se necessario frenatura (arresto non comandato)

Sia come arresto di categoria 1, cioè un arresto comandato con gli attuatoridella macchina alimentati al fine di ottenere l’arresto e l’interruzione dell’alimentazione di energia ad arresto avvenuto



Una provocazione:che differenza c’è tra questi due funghi?

Fungo d’emergenza conforme alla EN 418

Fungo d’emergenza non conforme alla EN

418



4.1.11 ” Qualsiasi azione sull’attuatore che provoca l’intervento del comando di arresto d’emergenza deve anche determinare il bloccaggio meccanico del dispositivo di comando in modo che, quando terminal’azione sull’attuatore, il comando di arresto d’emergenza rimanga trattenuto fino a che il dispositivo di comando non sia stato ripristinato (sbloccato). Non deve essere possibile ottenere il bloccaggio meccanico del dispositivo di comando senza provocare il comando di arresto. In caso di guasto del dispositivo di comando (mezzi di bloccaggio compresi), la funzione che provoca il comando di arresto deve avere la priorità sulla funzione di bloccaggio.”


4.1.12 Il ripristino del dispositivo di comando deve essere possibile soltanto attraverso un’azione manuale sul dispositivo stesso.Il ripristino del dispositivo di comando non deve di per se stesso provocare un comando di riavviamento. Non deve essere possibile riavviare la macchina fino a che tutti i dispositivi di comando azionati non siano stati ripristinati manualmente, singolarmente ed intenzionalmente.4.1.13 La condizione nella quale si trova una macchina a seguito un comando di arresto d’emergenza, non deve modificarsi in modo accidentale (imprevisto) fino a che il dispositivo di comando è azionato.



Serve sempre il “fungo d’emergenza?”

Risposta:Si o no?(D.p.r. 459/96)


Esempi SEMPLICI di circuiti elettrici delle macchine

Esempio di collegamento di 2 circuiti ausiliari che introducono rischio derivante da differenza di fase

Pericoloso da evitare

Orientato in sicurezza corretto


ESEMPIO DI CIRCUITO DA EVITARE.

Questo circuito alimenta 2 diversi rami, il primo con CC il secondo con AC. In caso di guasto il

tratto CC viene alimentato con AC


Esempio corretto:

per alimentare due diversi circuiti di comando di una macchina con due trasformatori con

secondario a terra – O Volt -


Esempio di conduttori danneggiati che chiudono il circuito verso terra inficiando il comando di arresto


Alcune tensioni di comando possono compromettere il funzionamento dei componenti elettromeccanici che si basano su bobine o su principi di induzione elettromagnetica


la caduta massima accettata è pari a 85% della tensione nominale

la caduta della alimentazione principale è del 10% in tensione, quella ammessa dal trasformatore è del 3%.

Quindi la caduta massima accettabile è del 2% per incidenza della impedenza del circuito di comando e controllo


Conseguentemente la tabella successiva illustra i massimi valori accettabili per una caduta di tensione pari al 2%


Esempio di circuiti che possono essere insicuri perché non riescono ad attivare la funzione di comando necessaria

Tensione di comando

Caduta 2 % Impedenza Ohm limite

24 0,48

0,96

2,2

4,6

0.7

48 2.8

110 15

230 60


Riassunto per la sicurezza dei sistemi di comando

La sicurezza funzionale è un compromesso tra aspetti che tendono a privilegiare tensioni bassissime e la necessità di garantire un buon segnale elettrico di comandoIn alcuni casi, vedi macchine estese con contatti in serie (per esempio controlli accesso alle zone di lavoro)


LA TENSIONE DI COMANDO PER LE MACCHINE E’ AMMESSA FINO

A 277 V

SECONDO LA NORMA ARMONIZZATA EN 60204-1

(CLASSIFICAZIONE CEI 44/5)


TENSIONI BASSE POSSONO ESSERE INSIDIOSE PER LA SICUREZZA FUNZIONALE


Funzione di arrestoFunzione di arrestoÈ necessario progettare, scegliere e dimensionare in un contesto più ampio del solo dispositivo (fungo d’emergenza).

• Dispositivo • Circuito di comando e controllo (potenza

e/o carico)• Caratteristiche del movimento da

fermare• Inerzie del sistema• Probabilità e casistiche di guasto


Mantenere una macchina in condizioni di arresto mentre vi sono persone presenti in zone pericolose è una delle condizioni più importanti per l'impiego sicuro della macchina e quindi rappresenta uno degli obiettivi principali del progettista di macchine e dell'utilizzatore delle macchine stesse.

In passato, i concetti di "macchina in funzione" e "macchina ferma" erano generalmente chiari; una macchina era:

- in funzione quando i suoi elementi mobili, o alcuni di essi, erano in movimento;

- ferma quando i suoi elementi mobili erano a riposo.

Avviamento inatteso [accidentale]Avviamento inatteso [accidentale]



Qualsiasi avviamento inatteso causato da:

ripristino dell'alimentazione di energia dopo un'interruzione;

DEFINIZIONE TRATTA DALLA EN 1037DEFINIZIONE TRATTA DALLA EN 1037



Un comando di avviamento risultante da un guasto del sistema di comando o da un'influenza esterna su di esso:

Incollaggio del pulsante di marcia

Bloccaggio meccanico (polveri, sabbia, calcestruzzo, ecc.)

Incollaggio, guasto o cattivo funzionamento di contattori, invert , ecc..

Disturbo EMC

Ecc….


Un comando di avviamento generato da un'azione inopportuna su un comando di avviamento o altre parti della macchina come:

un sensore

un organo di comando del circuito di potenza.




influenze esterne/interne (gravità, vento, autoaccensione in motori a combustione interna...) su parti della macchina.


Un esempio di utilizzo scorretto dei dispositivi di emergenza

Sono presenti sul medesimo quadro due pulsanti di emergenza: linea sezionatore (fungo grande), linea ausiliari (fungo piccolo)


Esempio di test per un dispositivo marcia-arresto con pulsante di emergenza

Verificare che nelle varie posizioni del pulsante di start (che corrisponde ad una pressione più o meno forte sul pulsante) la marcia non diventi prioritaria anche quando il fungo di emergenza è totalmente inserito e bloccato,Nessuna azione infatti dovrebbe essere possibile in questa fase, tantomeno un riavviamento, seppur con azione volontaria


UNI EN 954-1


La norma EN 954-1 definisce le categorie e i requisiti di sicurezza principali dei sistemi di comando e

controllo delle macchine.

Questa norma è applicabile a tutti i dispositivi di comando e controllo

(elettrici, idraulici, pneumatici, ecc..)

UNI EN 954-1


UNI EN 954-1: riferimenti normativi

EN 292-1:1991 Sicurezza del macchinario - Concetti fondamentali, principi generali di progettazione - Terminologia, metodologia di baseEN 292-2:1991/A1:1995 Sicurezza del macchinario - Concetti fondamentali, principi generali di progettazione - Specifiche e principi tecniciEN 418:1992 Sicurezza del macchinario - Dispositivi di arresto d’emergenza, aspetti funzionali - Principi di progettazioneEN 999:1998 Sicurezza del macchinario - Posizionamento dei dispositivi di protezione in funzione delle velocità di avvicinamento delle parti del corpoEN 1037:1995 Sicurezza del macchinario - Prevenzione dell'avviamento inattesoEN 1050:1996 Sicurezza del macchinario - Principi per la valutazione del rischioEN 60204-1:1997 Sicurezza del macchinario - Equipaggiamento elettrico delle macchine - Regole generali (IEC 204-1:1992, modificata)EN 60447:1993 Interfaccia uomo-macchina (MMI) - Principi di manovra


UNI EN 954-1


UNI EN 954-1

Ciascuna parte del sistema di comando ha una propriapropria categoria e differenti categorie possono coesisterecoesistere all’interno della stessa macchina.


Affidabilità e sicurezza


Combinazione di parti legate alla sicurezza


Analisi dei rischi sullamacchina

EN 292-1 e EN 1050

Valutazione del rischio sulla macchinaEN 292-1 e EN 1050

Stabilire le misure per ridurre il rischioart. 5 EN 292-1

Progettazionedella macchina

Altri metodi(protezioni,

ecc...)

Sistema dicontrollo

Normative specifiche

Specificare i requisiti di sicurezza per quantoconcerne:

le caratteristiche delle funzioni di sicurezza

e

la realizzazione delle funzioni di sicurezza

e

la scelta della categoria del sistema dicomando e controllo

Progettare le parti del sistema dicomando e controllo relative alla

sicurezza

Validare le funzioni e categorieapplicate

Verificare

Fase 5

Fase 4

Fase 3

Fase 2

Fase 1Procedura iterativa per la progettazione degli elementi dei sistemi di comando e controllo relativi alla sicurezza.


UNI EN 954-1: Progettazione ergonomica


UNI EN 954-1: Categoria BCategoria B


UNI EN 954-1: Categoria 1Categoria 1


UNI EN 954-1: Categoria 2 AutocontrolloCategoria 2 Autocontrollo


Categoria 3 Ridondanza e/o DiversitàCategoria 3 Ridondanza e/o Diversità


Categoria 4 Ridondanza + AutocontrolloCategoria 4 Ridondanza + Autocontrollo


Categoria Requisito Esigenze del sistema di comando Comportamento del sistema di comando in caso di difetto

B Utilizzo di componenti di sicurezza conformi alle norme relative

Controllo corrispondente alle regole vigenti in materia

Guasto del dispositivo porta alla perdita della funzione di sicurezza.

1 Selezione dei componenti e dei principi di sicurezza

Utilizzo di componenti e principi di sicurezza provati.

In caso di guasto possibile perdita della funzione di sicurezza con minore probabilità che in B.

2 AUTOCONTROLLO

Struttura dei circuiti di sicurezza: Test per ciclo, la periodicità del test deve essere adatta alle macchine e alla applicazione utilizzata.

Guasto rilevato ad ogni test

3 RIDONDANZA Un unico difetto non deve condurre alla perdita della funzione di sicurezza questo difetto se possibile deve essere se possibile rilevato

Funzione di sicurezza garantita in caso di guasto semplice, in caso di più guasti si ha la perdita della funzione di sicurezza.

4 AUTOCONTROLLO + RIDONDANZA

Un serie di difetti non deve condurre alla perdita della funzione di sicurezza. Questo difetto deve essere se possibile rilevato al momento o subito prima del successivo richiamo alla funzione di sicurezza.

Funzione di sicurezza sempre garantita

UNI EN 954-1


VALUTAZIONE DEL RISCHIO, SCELTA DELLA VALUTAZIONE DEL RISCHIO, SCELTA DELLA CATEGORIA DEL SISTEMA DI COMANDOCATEGORIA DEL SISTEMA DI COMANDO

Per la determinazione della categoria degli elementi del sistema di comando si utilizza la tabella dei rischi in funzione dei fattori S,F,P precedentemente stimati.


S Risultato dell’incidenteS2 Lesione grave e permanente

F Presenza nella zona pericolosaF2 Operatore sempre presente

P Possibilità di prevenzione dell’incidente

P2 Quasi impossibile

IL CIRCUITO DEVE ESSERE REALIZZATO IN CATEGORIA 4

Esempio di determinazioneEsempio di determinazione


UNI EN 954-1: ManutenzioneManutenzione


UNI EN 954-1: Informazioni per l’uso


UNI EN 954-1: Avarie e guasti significativi


Esempi di anomalie di sistemi di comando e controllo rispetto alla

norma EN 954-1


I pallettizzatori

È frequente il caso di Pallettizzatori gestiti tramite inverter, le barriere di sicurezza inserite per migliorare il grado di sicurezza della macchina in realtà interrompono SOLO il ciclo automatico ma LASCIANO IN POTENZA GLI INVERTER


Le barriere sono state realizzate in categoria 4, secondo la norma EN 954-1 ma l’interfacciamento con gli elementi in potenza è in categoria B: in caso di anomalia la macchina non si ferma

I pallettizzatori


Risultato delle modifiche introdotte sugli impianti:

1. Le barriere immateriali sono state inserite senza prima valutare l’impatto e l’interazione con l’esistente

2. Sono stati sostenuti costi notevoli per l’installazione delle barriere

3. Il risultato ottenuto in definitiva è che l’operatore è convinto erroneamente che la macchina sia sicurezza, facendo intervenire le barriere di sicurezza, in realtà è possibile il riavviamentointempestivo


Il caso: infortunio grave per funzionamento anomalo di barriere immateriali

L’infortunio è avvenuto perché il sistema di sicurezza non è intervenuto correttamente durante la funzione di scambio tra due sistemi di fotocellule (muting).Il sistema nascondeva una insidia funzionale. Si deve aggiungere una posizione di montaggio errato delle barriereNon si può affidare l'incolumità della persona a componenti di rilevamento immateriale, soprattutto se il segnale elettrico proveniente da questi viene gestito da un sistema elettronico.


Esempi di finecorsa che non garantiscono un livello adeguato di sicurezza

I finecorsaconsentono un’apertura di circa 15° prima di intervenire e permettono l’accesso alla zona pericolosa


Allo stato attuale di bozza della nuova revisionestato attuale di bozza della nuova revisione della norma, all’art. 9.2.5.4.2 viene eliminataeliminata la prescrizione che l’arresto di emergenza in categoria 0 sia realizzato con componenti elettromeccanici senzasenza uso di elettronica o software e che la soppressione finale dell’alimentazione di potenza degli attuatori per arresto di emergenza in cat. 1 sia ottenuto solosolo con componenti elettromeccanici. Inoltre è eliminato il cap. 11 che vieta l’elettronica programmabile per le funzioni di arresto di emergenza in cat. 0.

di fatto si apre la strada al libero utilizzo di fatto si apre la strada al libero utilizzo dell’elettronica purché, ovviamente, di sicurezzadell’elettronica purché, ovviamente, di sicurezza

PrEN 60204-1


Sicurezza del macchinario – Sicurezza funzionale delle parti elettriche,

elettroniche e dei sistemi di controllo programmabili per le macchinario

SCOPOSCOPOLa presente Norma Internazionale fornisce le prescrizioni e le raccomandazioni per la progettazione, integrazione e convalida dei sistemi elettrici, elettronici ed elettronici programmabili di comando relativi alla sicurezza (SRECS) per macchine.È applicabile a sistemi di controllo usati, da soli o in combinazione, per svolgere funzioni di sicurezza su macchine non portatili, inclusi i gruppi di macchine che lavorano insieme in modo coordinato.

PrEN 62061


L’affidabilità dei SRECS viene quantificata da un livello discreto (detto SILSIL, Safety Integrity Level) inteso come la capacità della parte elettrica di un sistema di controllo legatoalle funzioni di sicurezza nell’eseguire in modo corretto le funzionifunzioni di sicurezza di sicurezza assegnateassegnate, secondo le , secondo le condizioni condizioni definitedefinite, all’interno di un , all’interno di un periodoperiodo di tempo di tempo stabilitostabilito.

NBNB esiste un SIL 4, ma non è applicabile alle macchine (p.e. impianti nucleari)

PrEN 62061


In questa norma sono presentati dei concetti che sono già presenti nel PrEN 62061 e che spostano la definizione delle categorie di sicurezza dall’ambito deterministico a quello probabilistico. In particolare:• Livello della prestazioneLivello della prestazione ((PLPL))•• Tempo medio di un guasto pericolosoTempo medio di un guasto pericoloso ((MTTFMTTF))•• Copertura diagnosticaCopertura diagnostica ((DCDC))•• Stima del guasto da cause comuniStima del guasto da cause comuni ((CCFCCF)

La valutazione delle categorie dovrà soddisfare anche questi parametri.

PrEN 954-1


Livello della prestazioneLivello della prestazione ((PLPL))E’ la capacità, da parte di una funzione di sicurezza, di riuscire a ridurre il rischio previsto (sotto determinate condizioni). È un parametro espresso in probabilità media di probabilità media di un guasto pericoloso nell’intervallo di un’oraun guasto pericoloso nell’intervallo di un’ora ed è evidente che più è alta questa probabilità (ad esempio livello “a”) e peggiore è il livello di prestazione.

PrEN 954-1


Tempo medio di un guasto pericolosoTempo medio di un guasto pericoloso ((MTTF)MTTF)E’ un parametro che indica qual è l’intervallo di tempo medio che si prevede possa trascorrere senza avere guasti pericolosi da parte di un singolo componente (finecorsa, sensore, contattore, ecc.). Viene misurato in anni – tab. 3 - e dovrebbe essere indicato dal costruttore, o, in alternativa, si possono assumere i tempi standard che saranno indicati nell’appendice C della nuova EN 954-1.

PrEN 954-1


Copertura diagnosticaCopertura diagnostica ((DCDC))E’ un parametro che identifica il rapporto tra la probabilità di rilevare un guasto pericoloso e la probabilità di rilevare il totale dei guasti pericolosi. Anche questo è un parametro, come il precedente, che può essere riferito ad una singola parte o ad un singolo componente. Si misura in percentuale.

PrEN 954-1


Stima del guasto da cause comuniStima del guasto da cause comuni ((CCFCCF)In una tabella vengono indicate sei misure contro questi tipi di guasti. L’osservanza di ognuno di questi provvedimenti determina un punteggio percentuale. I vari punteggi si sommano per arrivare ad un totale: se questo totale risulta maggiore del 65% si può dire che il sistema di sicurezza prescelto soddisfa i requisiti necessari ad eliminare i guasti da cause comuni.

PrEN 954-1


Non sarà più sufficiente assegnare la categoria di sicurezza, ma occorrerà che la categoria scelta soddisfi e sia compatibile con i quattro nuovi parametri.Innanzitutto il CCF deve essere superiore al 65%, poi è necessario che gli altri tre parametri PL, MTTF e DC soddisfino i legami raffigurati.

PrEN 954-1

solo una piccola parte del personale dell'impresa è in ... · ai fini della presente norma, i...

Documents