SE Directive OSH21 - Chapter 3 – Control System

Il terzo capitolo della Valutazione del Rischio Macchine, proposta da SE, riguarda i sistemi di controllo, che si rifà direttamente a quanto elencato dalla Direttiva vigente.

Nelle varie sottosezioni dell’analisi dei rischi vengono esposte le richieste da conseguire per stimare il livello di sicurezza attuale, in seguito illustrato:

Il Sistema di arresto di emergenza:

“Funziona e viene testato almeno una volta all’anno”

“Identificazione visiva, ad es. posizione dell'arresto di emergenza e quale apparecchiatura è disattivata.”

“I dispositivi di controllo dell'arresto di emergenza devono essere rapidamente accessibili ovunque.” “I pulsanti di arresto di emergenza si applicano all'intera serie di macchine interconnesse”

“L’arresto innescato da un pulsante di emergenza non può essere fermato, la sequenza andrà fino alla fine.”

“Esistenza di diverse modalità operative. La selezione sul pannello di controllo è facile e ogni modalità è identificata.”

“Protezione o blocco della modalità selezionata.”

“Quando la modalità manuale o di regolazione è selezionata, la macchina non può avviarsi inaspettatamente attivando un sensore, compresi i trasportatori a monte o a valle della macchina.” "Un errore umano ragionevolmente prevedibile non crea una situazione pericolosa.”

“Esiste una modalità degradata che è stato analizzata e definita durante la progettazione della macchina.”

“Il lavoro in modalità degradata è soggetto all'autorizzazione del Manager o del Safety Manager. La durata del lavoro in modalità degradata è limitata nel tempo.”

Start e Stop:

“Il controllo di arresto ha la priorità sui controlli di avvio.”

“L’azionamento in modalità automatica può essere fatto solo attivando volontariamente un comando di avvio.”

Il riavvio automatico è possibile solo quando i mezzi necessari per proteggere le persone contro i rischi associati alle funzioni controllate automaticamente sono in atto e funzionano correttamente.” “C'è una modalità normale di spegnimento che permette di mettere in posizione sicura la macchina e i mezzi, e di tagliare tutte le energie che espongono gli operatori a un rischio.”

“C'è una modalità di spegnimento che consente di mantenere certe energie senza esporre i collaboratori ad un rischio.”

Direttiva Macchine 2006/42/CE e NORME UNI

La Direttiva Macchine nell'Allegato I dedica un intero capitolo (1.2) relativo ai requisiti di sicurezza dei sistemi di comando delle macchine. In particolare:

“1.2.1. Sicurezza ed affidabilità dei sistemi di comando”

I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che:

- un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose, - errori della logica del sistema di comando non creino situazioni pericolose,

- errori umani ragionevolmente prevedibili nelle manovre non creino situazioni pericolose. - Inoltre, vengono elencate nel dettaglio altre caratteristiche con le quali essi devono essere

progettati e costruiti e che bisogna osservare.

“1.2.2. Dispositivi di comando”

I dispositivi di comando devono essere:

- chiaramente visibili e individuabili utilizzando, se del caso, pittogrammi, - disposti in modo da garantire una manovra sicura, univoca e rapida,

- progettati in modo tale che il movimento del dispositivo del comando sia coerente con l'azione del comando,

- situati fuori delle zone pericolose tranne il caso, all'occorrenza, di taluni dispositivi di comando, come un arresto di emergenza o una pulsantiera pensile,

- sistemati in modo che la loro manovra non causi rischi supplementari,

- progettati o protetti in modo che l'azione comandata, se comporta un pericolo, possa avvenire soltanto in seguito ad un'azione deliberata,

- fabbricati in modo da resistere alle sollecitazioni prevedibili. Particolare attenzione sarà data ai dispositivi di arresto di emergenza che possono essere soggetti a grosse sollecitazioni.

Iter progettuale di un sistema di comando legato alla sicurezza, chiamato con l’acronimo SRP/CS6. Lo stato dell’arte in materia di circuiti elettrici ed elettronici di comando e controllo presenti sulle macchine è rappresentato dalla Norma CEI EN 60204-1.

L’osservanza di questa norma e di altre norme collegate a cui essa rimanda per l’approfondimento di argomenti specifici comporta l’osservanza dei requisiti al cui punto 1.2.1 dell’Allegato I, tranne che per quelli inerenti la prevenzione contro i guasti (hardware e software) e contro gli errori umani. Per essi occorre rivolgersi alla Norma UNI EN ISO 13849-1 e UNI EN ISO 13849-2.

La serie di norme UNI EN ISO 13849, comprendente la classificazione delle categorie di sicurezza (1,2,3 o 4) correlata all’architettura circuitale e all’eventuale presenza di un monitoraggio, sviluppano l’obiettivo dell’effettiva affidabilità dei sistemi di sicurezza, prevedendo un iter progettuale che integra il concetto deterministico delle categorie di sicurezza con criteri affidabili e qualitativi inerenti:

• il tempo medio di guasto pericoloso (MTTFd) di ogni singolo componente e del sistema nel suo insieme,

• la copertura diagnostica (DC), ove presente, in relazione al suo livello, • le precauzioni adottate contro il verificarsi di guasti per causa comune (CCF)

• La norma UNI EN 13849-1 classifica i sistemi in 5 livelli di prestazione (PL), indentificati con le lettere: a – b – c – d – e.

5.13. Procedura di determinazione del PLr

Cosi come richiesto dalla precedente UNI EN 954-1 per le categorie di sicurezza, anche il livello di prestazione PL garantito dal sistema deve essere commisurato all’entità del rischio che il sistema stesso è chiamato ad abbattere.

Le norme della serie EN ISO 13849 si applicano a tutte le tecnologie: • meccanica; • idraulica; • pneumatica; • elettromeccanica; • elettronica.

Un’ulteriore norma, la CEI EN 62061 è stata invece concepita specificatamente per i sistemi elettronici complessi e programmabili, realizzati tramite PLC o PC, e svicolati dalle classiche architetture circuitali. Questa norma classifica i sistemi in tre livelli di affidabilità crescente: SIL1, SIL2 e SIL3.

Sia i livelli di prestazione (PL) che i livelli di integrità della sicurezza (SIL) esprimono un medesimo fattore: la probabilità di guasto pericoloso per ogni ora di funzionamento (PFHd). Il che consente al progettista, entro certi limiti e con idei accorgimenti, di trasferisti da una norma all’altra.

Figura 5.13. Percorso di sviluppo normativo, che ha portato alle attuali norme inerenti ai sistemi di comando