SAFETY-WP005-IT-P, Un approccio olistico all`automazione della

Un approccio olistico all’automazione della sicurezza
La tecnologia, gli standard globali ed i sistemi aperti contribuiscono ad accrescere la
produttività ed il rendimento complessivo delle macchine…ecco come
Di: Dan Hornbeck
I costruttori sono anche datori di lavoro e, tra le loro esigenze, c’è
anche quella di creare un luogo di lavoro più sicuro per i propri
dipendenti. Nel contempo, hanno bisogno di ottimizzare i livelli di
produttività e di proteggere le macchine e l’ambiente. A seconda
della cultura aziendale e del paese in cui è insediato lo stabilimento,
i costruttori devono inoltre adeguarsi ad una serie di criteri di
responsabilità sociale e legislativi.
Qual è il segreto del successo di un programma di sicurezza? Prima
di tutto, il sostegno che riceve da parte dell’azienda ed al suo
interno. Questo sostegno inizia con l’impegno dei quadri dirigenti
a supportare il programma e prosegue con il rispetto, da parte di ogni singolo collaboratore, della
filosofia basata sulla “sicurezza prima di tutto”.
Garantite queste premesse, un programma di sicurezza efficace dipende da diversi fattori che vanno
dal corretto uso dei dispositivi di protezione individuale all’adozione di strategie di produzione
moderne, senza dimenticare l’implementazione di un sistema di sicurezza applicato all’automazione
ben progettato ed integrato. Questo articolo intende approfondire proprio quest’ultimo aspetto.
Uno sguardo al passato
Diverse applicazioni cancella di produzione tuttora operative sono basate su tecnologie superate e know-how datati. Alcune di
queste applicazioni sono state sviluppate ignorando del tutto le problematiche di sicurezza e contando solo su un adeguato livello
di attenzione da parte di operatori e tecnici di manutenzione. Altre sono state realizzate come modifiche o aggiunte, in seguito ad
incidenti o per conformarsi a nuovi standard industriali. Si trattava del cosiddetto approccio a “scatola nera” in cui la soluzione di
sicurezza era completamente scissa dal sistema di automazione. In parte, questo tipo di implementazione reattiva e separata era
dovuta anche ai limiti delle tecnologie di sicurezza che spesso, per poter effettuare gli interventi di riparazione e manutenzione
o semplicemente consentire all’operatore di accedere alla macchina, richiedevano l’arresto completo delle macchine. Il problema
era che questi fermi macchina dovuti all’intervento delle funzioni di sicurezza riducevano la produttività, inducendo operatori e
personale di manutenzione a bypassare i sistemi di sicurezza mettendo a rischio la loro stessa incolumità. Altri sistemi ancora sono
stati sviluppati pensando alla sicurezza ma, senza un’adeguata implementazione, incidevano negativamente sui livelli di produttività:
una sorta di compromesso che non soddisfaceva pienamente nessuna delle esigenze.
2 | Un approccio olistico alla sicurezza
Grazie all’applicazione di nuovi standard globali, ai significativi progressi tecnologici e ai sistemi
di gestione dei rischi, tali rischi non sono più necessari o accettabili. Quando implementati
correttamente usando un approccio olistico, i moderni sistemi di sicurezza applicati
all’automazione consentono di ottimizzare tutti gli aspetti della produzione: un ambiente
più sicuro per i lavoratori, riduzione dell’impatto ambientale, miglioramento dei processi e
massimizzazione della produttività.
L’impatto delle norme
Le norme di sicurezza si sono costantemente evolute nel corso del tempo ma la più recente
ondata di revisioni migliora in modo significativo le modalità di progettazione dei sistemi di
sicurezza delle macchine. Si tratta di quelle che vengono comunemente chiamate “norme di
sicurezza funzionale”.
Storicamente prescrittive per natura, le norme di sicurezza fornivano indicazioni su come
strutturare i sistemi di controllo per soddisfare i requisiti di sicurezza. Queste norme si basavano
sui principi di ridondanza, diversità e diagnostica per creare sistemi di sicurezza strutturati a
livelli che aiutassero a garantire l’intervento delle funzioni di sicurezza. Mancava, tuttavia, un
elemento molto importante: il tempo.
Il nuovo approccio delle norme globali alla sicurezza funzionale aggiunge un elemento
temporale, conosciuto come “Probabilità di guasto pericoloso”, ed il suo reciproco ovvero
il “Tempo medio prima di un guasto pericoloso”. Questo elemento temporale rende più
affidabile il corretto funzionamento del sistema di sicurezza, nel presente ed in futuro.
Due importanti norme, ISO13849-1:2006 e IEC62061:2005, applicano l’elemento di tempo ai
sistemi di sicurezza per le macchine. ISO13849-1:2006 si occupa delle “categorie” della struttura
di sicurezza, mentre IEC62061 fa riferimento alla base della struttura ovvero alla cosiddetta
“Tolleranza ai guasti hardware”. In questo contesto, l’aggiunta di un terzo elemento non
del tutto nuovo (la diagnostica) offre al progettista di sistemi di sicurezza tutta la flessibilità
necessaria a soddisfare i requisiti di sicurezza. Mettendo insieme questi tre elementi, è possibile
ottenere un sistema di sicurezza con livello di integrità che tiene conto anche del tempo.
IEC62061 parla di “Livello di integrità della sicurezza” (SIL). Sono solo tre i livelli SIL applicabili alle
macchine: SIL1, SIL2 e SIL3. ISO13849-1:2006 parla di “Livello prestazionale” (PL) e lo integra con
una lettera alfabetica, da PLa a PLe.
I fornitori dei componenti di sicurezza non possono più limitarsi a garantire la sicurezza
funzionale. Ogni componente del sistema di sicurezza deve essere associato anche alla
“probabilità di guasto pericoloso” o al “tempo medio prima di un guasto pericoloso”. Attualmente,
questo tipo di informazione non è sempre disponibile. Esistono diverse norme di progettazione
dei prodotti che vengono modificate per definire i criteri di guasto pericoloso, i requisiti di prova e
gli strumenti statistici da utilizzare per determinare il tempo medio prima di un guasto pericoloso.
Fatto questo, tuttavia, occorrono diversi mesi di prove per confermare il livello ottenuto.
Il mondo della sicurezza delle macchine continua ad evolversi e questo ulteriore passo in avanti
permetterà di ottenere la flessibilità necessaria ad ottenere sistemi più sicuri. Ci vorrà qualche
tempo perché ciò avvenga su larga scala ma il cammino è iniziato. I fornitori di componenti
di sicurezza stanno lavorando per contribuire a rispondere a questi requisiti. Ed i fornitori
di macchine sono sempre più consapevoli dell’importanza della sicurezza funzionale e dei
vantaggi che ne possono conseguire.
Espansione dei confini tecnologici
Questo nuovo approccio funzionale alla sicurezza è stato reso possibile da un’ importante
evoluzione di due elementi fondamentali e tra loro correlati. Da una parte, il notevole sviluppo
delle tecnologie di protezione e controllo e, in particolare, l’avvento delle nuove tecnologie
basate su microprocessore anziché sul controllo elettromeccanico o sul comando a logica
cablata. Dall’altra, l’evoluzione delle norme di sicurezza globali per consentono di integrare nei
sistemi di sicurezza industriali queste nuove tecnologie.
Un approccio olistico alla sicurezza | 3
Le operazioni di diagnostica sui tradizionali sistemi di sicurezza cablati possono risultare difficili
perché, in caso di anomalia, non viene fornita alcuna indicazione. In un’installazione in cui,
ad esempio, diversi pulsanti di emergenza sono collegati tra loro in serie e cablati a un relè
di sicurezza, l’interruzione di un circuito tra due pulsanti fa sì che il relè avvisi il controllore e
che quest’ultimo provveda a raggiungere uno stato sicuro. I tecnici di manutenzione devono
poi scoprire la ragione del circuito interrotto, se dovuto all’azionamento di un pulsante di
emergenza o a qualche altro problema del circuito. Senza una diagnostica adeguata, questo
processo può richiedere molto tempo ed interrompere la produzione oltre il necessario.
Oltre ad essere difficili da diagnosticare, gli arresti di emergenza possono creare anche altri
problemi. Avvenendo, generalmente, quando una macchina è in piena attività, possono
comportare problemi di riallineamento tra le macchine, scarti di materiale, prolungamento dei
tempi di avviamento e, nel tempo, anche danni alle apparecchiature. Tutto questo si traduce
in maggiori tempi di fermo e costi superiori, per la necessità di ripulire, rimuovere, risistemare
o scartare il prodotto in lavorazione e per reinizializzare o riportare la macchina alla posizione
iniziale.
I pulsanti di emergenza, tuttavia, potrebbero essere cablati in un blocco I/O di sicurezza
collegato attraverso una rete di sicurezza, come DeviceNet o EtherNet/IP, al sistema di
automazione programmabile integrato, standard o di sicurezza. In questo caso, le informazioni
diagnostiche vengono fornite al controllore ed all’interfaccia operatore (HMI) in forma
immediatamente accessibile ed il controllore o l’operatore/tecnico di manutenzione può
adottare l’azione più adeguata per rimediare alla situazione. Queste informazioni diagnostiche,
ad esempio, possono rivelare che l’operatore del terzo turno, per eseguire certe operazioni,
preme il pulsante di emergenza anziché seguire la procedura predefinita per portare il sistema
in stato di sicurezza o che, in effetti, esiste un serio problema elettrico che deve essere riparato.
In entrambi i casi, la causa dell’evento viene diagnosticata rapidamente, permettendo allo staff
di manutenzione di risolvere il problema e riprendere la produzione al più presto.
L’altro importante sviluppo delle tecnologie di sicurezza è stato guidato dalle stesse dinamiche
di mercato che hanno portato le aziende ad integrare altre discipline di controllo (sequenziale,
controllo assi, azionamento, controllo di processo). Il risultato è una nuova generazione di
piattaforme di protezione e controllo di sicurezza in cui la tecnologia di sicurezza è integrata
nei prodotti di automazione standard quali controllori di automazione programmabili,
relè di sicurezza programmabili, convertitori di frequenza e servoazionamenti. Le reti di
comunicazione di sicurezza ad alta integrità, inoltre, grazie alla ridondanza dei messaggi, al
controllo incrociato e ad un’attenta gestione dei tempi, consentono di gestire messaggi e
dispositivi di sicurezza e standard sugli stessi supporti fisici.
Storicamente, la sicurezza è stata separata dal controllo standard, sia che fosse implementata
con singoli componenti, quali relè o contattori di sicurezza, o venisse utilizzato un controllore
di sicurezza dedicato con hardware e software differenti. Diversi costruttori apprezzano ancora
questo approccio perché il personale dedicato alla sicurezza è l’unico a conoscere l’hardware
ed il software di sicurezza di un impianto. In altre parole, se gli altri operatori non conoscono
l’hardware o il software di sicurezza, il rischio che la sicurezza venga compromessa è inferiore:
un approccio ragionevole ma generalmente oneroso.
In compenso, la possibilità di implementare il controllo di sicurezza in un’architettura che può
eseguire i quattro principali task di controllo offre importanti vantaggi. Per gli avviatori, i costi
hardware vengono minimizzati perché i componenti del sistema possono essere usati sia dalla
parte standard sia da quella di sicurezza dell’applicazione. Anche i costi software e di assistenza
sono ridotti, perché è possibile utilizzare lo stesso software ed il personale deve imparare a
gestire una sola architettura di rete. A seconda delle esigenze dell’applicazione, inoltre, gli
utenti possono implementare e distribuire l’hardware necessario per rispondere a tali esigenze,
su una singola macchina o all’interno di un’intera struttura.
I sistemi di automazione di sicurezza, attualmente, possono essere completamente integrati nel
sistema di automazione standard dell’impianto, permettendo di eseguire determinate funzioni
di sicurezza, rispondere alle norme di sicurezza e far funzionare efficientemente l’impianto
con una singola piattaforma. In questo scenario, entrambe le parti del sistema di automazione
sono progettate per accompagnare tutte le fasi del ciclo di vita delle macchine, comprese
progettazione, messa in servizio, uso e manutenzione. Questo approccio olistico, inoltre,
4 | Un approccio olistico alla sicurezza
può permettere di eliminare i pericoli già in fase di progettazione, dove possibile, in base a
dettagliate valutazioni dei rischi. Le procedure di manutenzione, poi, possono guadagnare in
rapidità.
Fino ad ora, i costruttori hanno sempre richiesto che fossero i lavoratori stessi a disattivare tutte
le sorgenti di alimentazione di una macchina per potervi accedere ed eseguire le operazioni di
manutenzione, un processo conosciuto come lock-out/tag-out. Questo processo era spesso
lungo e, oltre a ridurre la disponibilità globale delle macchine, veniva spesso bypassato dal
personale di manutenzione dell’impianto.
Con le modifiche alle norme di sicurezza e l’arrivo di un sistema di controllo di sicurezza più
sofisticato, i costruttori possono creare zone di sicurezza da gestire in modo indipendente
in base alle esigenze operative e di manutenzione. Questa flessibilità di progettazione può
contribuire a ridurre il tempo necessario a il funzionamento della macchina dopo gli interventi
di manutenzione migliorando, di conseguenza, la produttività. Inoltre, riduce la tentazione
dell’operatore di bypassare il sistema di sicurezza, accrescendo la sicurezza dell’impianto.
Come dimostrano molti esempi, a livello di produzione i sistemi di sicurezza ben progettati
offrono vantaggi che ne possono giustificare l’implementazione. Inoltre, dato che le norme di
sicurezza funzionale evolvono costantemente per tener conto degli ultimi sviluppi tecnologici,
l’industria può trarre vantaggio dai nuovi strumenti, quali i sistemi di sicurezza integrati, per
migliorare le prestazioni. Un approccio olistico basato su valutazioni dei rischi e tecnologie
moderne contribuisce a garantire che i modi di utilizzare e manutenere una macchina siano
strettamente legati alle modalità di controllo della sicurezza. Non si tratta più di un sistema di
sicurezza ma di una componente critica del sistema di produzione ed automazione dell’intero
impianto.
A questi nuovi scenari stanno collaborando anche i progressi fatti nelle tecnologie di rete e di
comunicazione.
Superare i gap di comunicazione
L’integrazione tra i sistemi di controllo di sicurezza ed il sistema di controllo standard è solo
l’inizio di un futuro fatto di soluzioni di sicurezza flessibili ed efficaci. Un altro elemento
importante è l’integrazione della comunicazione mediante protocolli aperti.
In passato, la comunicazione diretta era quasi impossibile, perché nessuna singola rete era in
grado di integrare sistemi di controllo standard e di sicurezza permettendo, nel contempo, il
trasferimento dei dati attraverso le diverse reti fisiche dell’impianto. Tutto ciò è cambiato con
l’arrivo di CIP Safety, uno standard di rete che consente di collegare i dispositivi di sicurezza
alla stessa rete di comunicazione dei dispositivi di controllo standard. CIP Safety è basato sullo
standard CIP (Common Industrial Protocol), un protocollo di comunicazione aperto per reti
industriali, indipendente dalla rete fisica.
CIP Safety migliora notevolmente il livello di integrazione tra le funzioni di controllo standard
e di sicurezza, aumentando la visibilità della sicurezza nell’intero sistema. La combinazione tra
celle di sicurezza locali a risposta rapida e l’instradamento tra celle dei dati di sicurezza crea
applicazioni di sicurezza con tempi di risposta più rapidi. Questa maggiore flessibilità rende più
veloci anche le operazioni di configurazione, prova e messa in servizio del sistema.
Un altro livello di integrazione che spesso viene trascurato è l’uso dei dati di sicurezza nel
sistema informativo a livello di impianto. Con dati di sicurezza immediatamente disponibili,
il sistema informativo può essere strettamente collegato alla strategia di automazione di
sicurezza. Ciò significa poter disporre di informazioni quali dati diagnostici, causa e frequenza
di intervento delle funzioni di sicurezza, dati statistici per il miglioramento della “lean
manufacturing”, dati di produzione, accessi di sicurezza ed altro.
Una ragione per cui le reti di sicurezza erano tradizionalmente isolate a livello di impianto era
la necessità dei dispositivi di sicurezza ed i controllori di reagire a velocità differenti rispetto alle
Un approccio olistico alla sicurezza | 5
loro controparti standard. In passato, l’utilizzo di una singola rete che accogliesse sia i sistemi
di sicurezza sia quelli standard si è rivelato problematico perché, più una rete si allargava, più
diminuiva la velocità delle prestazioni. Con CIP Safety, invece, la frequenza di aggiornamento di
ogni nodo di rete può essere impostata a differenti velocità. Ciò consente ad ogni dispositivo
di funzionare alla velocità più adatta alla sua funzione di sicurezza, facilitando l’allocazione della
larghezza di banda della rete.
Le funzioni di ponte ed instradamento di CIP Safety sono importanti perché permettono la
comunicazione diretta dei dati standard e di sicurezza su diverse reti fisiche, potenzialmente
differenti tra loro. Questa possibilità elimina il bisogno di stabilire il percorso dei messaggi
e di tradurre i dati, consentendo loro di fluire in modo aperto tra reti e dispositivi con il
minimo sforzo da parte dell’ingegnere di sistema. Una comunicazione diretta che consente
ai costruttori di eseguire il monitoraggio e la raccolta dei dati dei loro sistemi standard e di
sicurezza da qualunque postazione autorizzata all’interno della struttura.
Le misure di protezione all’interno di CIP Safety aiutano ad ottenere comunicazioni ad alta
integrità, quando la comunicazione di sicurezza e quella standard sono combinate. È questo
che consente ai sensori di sicurezza di funzionare accanto a convertitori di frequenza, sensori
standard, controllori di sicurezza con PLC standard ed interruttori di prossimità. Gli utenti
possono installare sulla stessa rete diverse combinazioni di dispositivi standard e di sicurezza,
senza pregiudicare l’integrità del loop di controllo di sicurezza.
Oltre che per le funzioni di ponte ed instradamento senza requisiti di programmazione, CIP
Safety si contraddistingue per facilità d’uso ed affidabilità. Ciò significa processi di formazione
più efficienti, messa in servizio più rapida e migliori capacità diagnostiche. Le capacità di CIP
Safety su DeviceNet e EtherNet/IP sono approvate TÜV con i prodotti attualmente disponibili
su entrambe le reti di diversi fornitori. CIP safety su EtherNet/IP permette di integrare le reti di
sicurezza nella stessa architettura Ethernet usata dai dispositivi di controllo standard, da Internet
e dal resto dell’azienda.
Il futuro promette bene perché un numero sempre maggiore di fornitori di automazione
sviluppa prodotti compatibili con CIP Safety che supportano l’integrazione tra controllori,
dispositivi e reti di sicurezza e standard.
Un’efficace gestione dei rischi
Un altro vantaggio dell’approccio olistico alla sicurezza è il maggiore supporto dell’analisi dei
rischi proattiva da parte dei costruttori. L’obiettivo generale di un sistema di sicurezza è quello
di accrescere la sicurezza di persone, processi e macchine senza pregiudicare la produttività.
I costruttori che conducono valutazioni dei rischi sono molto più vicini a raggiungere questo
obiettivo contribuendo, in tal modo, anche a ridurre il rischio ed i costi associati.
La definizione di formali processi di valutazione dei rischi. che vanno dall’identificazione alla
qualificazione ed alla mitigazione dei rischi, è considerata in diverse norme internazionali e
regionali, tra cui IEC61508, ISO13849 e ANSI/B155.1. I processi di valutazione dei rischi definiti
in queste norme adottano generalmente un approccio al ciclo di vita nel chiarire come
implementare un efficace processo di identificazione dei rischi legati alle macchine e di
quantificazione del livello di rischio in termini di gravità, frequenza di esposizione e probabilità
di evitarlo. Il risultato è un livello di rischio quantificato che deve essere ridotto attraverso
misure di protezione.
Le valutazioni dei rischi offrono ai costruttori un processo per 1) identificare i pericoli specifici di
una macchina; 2) quantificare il rischio che questi pericoli presentano per i lavoratori; 3) valutare
i metodi che possono aiutare a mitigare il rischio. Il processo, inoltre, specifica l’architettura dei
circuiti di sicurezza più adeguata per mitigare la classificazione iniziale del rischio determinata
dal team di valutazione.
Una volta completamente definiti e capiti, i rischi devono essere esclusi dal progetto o il più
possibile mitigati. Le misure di mitigazione dei rischi migliorano fisicamente la macchina in
6 | Un approccio olistico alla sicurezza
modo da ridurre il potenziale in termini di lesioni alle persone, danni all’ambiente ed alle cose.
La mitigazione dei rischi può essere compiuta attraverso diverse attività. Un metodo efficace
per minimizzare il rischio per i lavoratori è quello di usare dispositivi di protezione, come
barriere fotoelettriche, relè di sicurezza ed interruttori a fune.
Un processo di valutazione dei rischi formale offre anche il vantaggio di poter disporre della
documentazione di tutti i rischi identificati, delle misure di protezione e delle protezioni
fisiche installate per mitigarli e del rischio residuo una volta implementati tutti i metodi di
mitigazione. Dimostrando di aver fatto ricorso a buone pratiche di progettazione ed a criteri di
debita diligenza nel fornire un ambiente di lavoro sicuro, una società può abbassare il rischio di
contenzioso in caso di incidente.
Dopo aver implementato e documentato il processo, è importante prevedere adeguate
iniziative di formazione e supervisione. È indispensabile verificare che gli operatori capiscano
le misure di sicurezza, compreso il corretto uso dei dispositivi di protezione personale. Gli
operatori devono essere istruiti ad usare efficacemente le macchine e ad eseguire il loro lavoro
in sicurezza. Questo implica una chiara distinzione tra compiti e processi di loro competenza e
quelli riservati a personale più specializzato e qualificato.
Un programma completo di sicurezza delle macchine può contribuire a migliorare le
operazioni a livello di impianto e la produttività in generale. Considerando i molteplici aspetti
del ciclo di vita dei sistemi di sicurezza delle macchine, per valutare l’efficacia del programma
di sicurezza, è importante collegare tra loro analisi dei rischi, mitigazione dei rischi e processi
di formazione/supervisione delle macchine. È importante che tutto il personale dell’impianto
possa avvalersi delle misure di sicurezza implementate e delle iniziative di formazione messe in
atto.
I vantaggi di un approccio olistico alla sicurezza
Oggi più che mai, i costruttori più innovativi si stanno concentrando su soluzioni di sicurezza
applicate all’automazione in grado di proteggere i lavoratori, mantenere alta la disponibilità
delle macchine ed incrementare i profitti. Grazie ad un approccio olistico alla sicurezza
applicata all’automazione – che punta sull’interazione tra standard globali, tecnologie
innovative, personale qualificato e costante valutazione dei rischi – i costruttori dispongono del
modello migliore per implementare ed ottenere un elevato livello di sicurezza.
www.rockwel lautomation.com
Power, Control and Information Solutions Headquarters
Americhe: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496, USA, Tel: +1 414 382 2000, Fax: +1 414 382 4444
Europa/Medio Oriente/Africa: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgio, Tel: +32 2 663 0600, Fax: +32 2 663 0640
Asia: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tel: +852 2887 4788, Fax: +852 2508 1846
Italia: Rockwell Automation S.r.l., Via Gallarate 215, 20151 Milano, Tel: +39 02 334471, Fax: +39 02 33447701, www.rockwellautomation.it
Svizzera: Rockwell Automation AG, Via Cantonale 27, 6928 Manno, Tel: 091 604 62 62, Fax: 091 604 62 64, Customer Service: Tel: 0848 000 279
Pubblicazione SAFETY-WP005-IT-P – Luglio 2008
Copyright © 2008 Rockwell Automation, Inc. Tutti i diritti riservati. Stampato negli USA.