SAFETY-WP005-IT-P, Un approccio olistico all`automazione della
Transcript
SAFETY-WP005-IT-P, Un approccio olistico all`automazione della
Un approccio olistico all’automazione della sicurezza La tecnologia, gli standard globali ed i sistemi aperti contribuiscono ad accrescere la produttività ed il rendimento complessivo delle macchine…ecco come Di: Dan Hornbeck I costruttori sono anche datori di lavoro e, tra le loro esigenze, c’è anche quella di creare un luogo di lavoro più sicuro per i propri dipendenti. Nel contempo, hanno bisogno di ottimizzare i livelli di produttività e di proteggere le macchine e l’ambiente. A seconda della cultura aziendale e del paese in cui è insediato lo stabilimento, i costruttori devono inoltre adeguarsi ad una serie di criteri di responsabilità sociale e legislativi. Qual è il segreto del successo di un programma di sicurezza? Prima di tutto, il sostegno che riceve da parte dell’azienda ed al suo interno. Questo sostegno inizia con l’impegno dei quadri dirigenti a supportare il programma e prosegue con il rispetto, da parte di ogni singolo collaboratore, della filosofia basata sulla “sicurezza prima di tutto”. Garantite queste premesse, un programma di sicurezza efficace dipende da diversi fattori che vanno dal corretto uso dei dispositivi di protezione individuale all’adozione di strategie di produzione moderne, senza dimenticare l’implementazione di un sistema di sicurezza applicato all’automazione ben progettato ed integrato. Questo articolo intende approfondire proprio quest’ultimo aspetto. Uno sguardo al passato Diverse applicazioni cancella di produzione tuttora operative sono basate su tecnologie superate e know-how datati. Alcune di queste applicazioni sono state sviluppate ignorando del tutto le problematiche di sicurezza e contando solo su un adeguato livello di attenzione da parte di operatori e tecnici di manutenzione. Altre sono state realizzate come modifiche o aggiunte, in seguito ad incidenti o per conformarsi a nuovi standard industriali. Si trattava del cosiddetto approccio a “scatola nera” in cui la soluzione di sicurezza era completamente scissa dal sistema di automazione. In parte, questo tipo di implementazione reattiva e separata era dovuta anche ai limiti delle tecnologie di sicurezza che spesso, per poter effettuare gli interventi di riparazione e manutenzione o semplicemente consentire all’operatore di accedere alla macchina, richiedevano l’arresto completo delle macchine. Il problema era che questi fermi macchina dovuti all’intervento delle funzioni di sicurezza riducevano la produttività, inducendo operatori e personale di manutenzione a bypassare i sistemi di sicurezza mettendo a rischio la loro stessa incolumità. Altri sistemi ancora sono stati sviluppati pensando alla sicurezza ma, senza un’adeguata implementazione, incidevano negativamente sui livelli di produttività: una sorta di compromesso che non soddisfaceva pienamente nessuna delle esigenze. 2 | Un approccio olistico alla sicurezza Grazie all’applicazione di nuovi standard globali, ai significativi progressi tecnologici e ai sistemi di gestione dei rischi, tali rischi non sono più necessari o accettabili. Quando implementati correttamente usando un approccio olistico, i moderni sistemi di sicurezza applicati all’automazione consentono di ottimizzare tutti gli aspetti della produzione: un ambiente più sicuro per i lavoratori, riduzione dell’impatto ambientale, miglioramento dei processi e massimizzazione della produttività. L’impatto delle norme Le norme di sicurezza si sono costantemente evolute nel corso del tempo ma la più recente ondata di revisioni migliora in modo significativo le modalità di progettazione dei sistemi di sicurezza delle macchine. Si tratta di quelle che vengono comunemente chiamate “norme di sicurezza funzionale”. Storicamente prescrittive per natura, le norme di sicurezza fornivano indicazioni su come strutturare i sistemi di controllo per soddisfare i requisiti di sicurezza. Queste norme si basavano sui principi di ridondanza, diversità e diagnostica per creare sistemi di sicurezza strutturati a livelli che aiutassero a garantire l’intervento delle funzioni di sicurezza. Mancava, tuttavia, un elemento molto importante: il tempo. Il nuovo approccio delle norme globali alla sicurezza funzionale aggiunge un elemento temporale, conosciuto come “Probabilità di guasto pericoloso”, ed il suo reciproco ovvero il “Tempo medio prima di un guasto pericoloso”. Questo elemento temporale rende più affidabile il corretto funzionamento del sistema di sicurezza, nel presente ed in futuro. Due importanti norme, ISO13849-1:2006 e IEC62061:2005, applicano l’elemento di tempo ai sistemi di sicurezza per le macchine. ISO13849-1:2006 si occupa delle “categorie” della struttura di sicurezza, mentre IEC62061 fa riferimento alla base della struttura ovvero alla cosiddetta “Tolleranza ai guasti hardware”. In questo contesto, l’aggiunta di un terzo elemento non del tutto nuovo (la diagnostica) offre al progettista di sistemi di sicurezza tutta la flessibilità necessaria a soddisfare i requisiti di sicurezza. Mettendo insieme questi tre elementi, è possibile ottenere un sistema di sicurezza con livello di integrità che tiene conto anche del tempo. IEC62061 parla di “Livello di integrità della sicurezza” (SIL). Sono solo tre i livelli SIL applicabili alle macchine: SIL1, SIL2 e SIL3. ISO13849-1:2006 parla di “Livello prestazionale” (PL) e lo integra con una lettera alfabetica, da PLa a PLe. I fornitori dei componenti di sicurezza non possono più limitarsi a garantire la sicurezza funzionale. Ogni componente del sistema di sicurezza deve essere associato anche alla “probabilità di guasto pericoloso” o al “tempo medio prima di un guasto pericoloso”. Attualmente, questo tipo di informazione non è sempre disponibile. Esistono diverse norme di progettazione dei prodotti che vengono modificate per definire i criteri di guasto pericoloso, i requisiti di prova e gli strumenti statistici da utilizzare per determinare il tempo medio prima di un guasto pericoloso. Fatto questo, tuttavia, occorrono diversi mesi di prove per confermare il livello ottenuto. Il mondo della sicurezza delle macchine continua ad evolversi e questo ulteriore passo in avanti permetterà di ottenere la flessibilità necessaria ad ottenere sistemi più sicuri. Ci vorrà qualche tempo perché ciò avvenga su larga scala ma il cammino è iniziato. I fornitori di componenti di sicurezza stanno lavorando per contribuire a rispondere a questi requisiti. Ed i fornitori di macchine sono sempre più consapevoli dell’importanza della sicurezza funzionale e dei vantaggi che ne possono conseguire. Espansione dei confini tecnologici Questo nuovo approccio funzionale alla sicurezza è stato reso possibile da un’ importante evoluzione di due elementi fondamentali e tra loro correlati. Da una parte, il notevole sviluppo delle tecnologie di protezione e controllo e, in particolare, l’avvento delle nuove tecnologie basate su microprocessore anziché sul controllo elettromeccanico o sul comando a logica cablata. Dall’altra, l’evoluzione delle norme di sicurezza globali per consentono di integrare nei sistemi di sicurezza industriali queste nuove tecnologie. Un approccio olistico alla sicurezza | 3 Le operazioni di diagnostica sui tradizionali sistemi di sicurezza cablati possono risultare difficili perché, in caso di anomalia, non viene fornita alcuna indicazione. In un’installazione in cui, ad esempio, diversi pulsanti di emergenza sono collegati tra loro in serie e cablati a un relè di sicurezza, l’interruzione di un circuito tra due pulsanti fa sì che il relè avvisi il controllore e che quest’ultimo provveda a raggiungere uno stato sicuro. I tecnici di manutenzione devono poi scoprire la ragione del circuito interrotto, se dovuto all’azionamento di un pulsante di emergenza o a qualche altro problema del circuito. Senza una diagnostica adeguata, questo processo può richiedere molto tempo ed interrompere la produzione oltre il necessario. Oltre ad essere difficili da diagnosticare, gli arresti di emergenza possono creare anche altri problemi. Avvenendo, generalmente, quando una macchina è in piena attività, possono comportare problemi di riallineamento tra le macchine, scarti di materiale, prolungamento dei tempi di avviamento e, nel tempo, anche danni alle apparecchiature. Tutto questo si traduce in maggiori tempi di fermo e costi superiori, per la necessità di ripulire, rimuovere, risistemare o scartare il prodotto in lavorazione e per reinizializzare o riportare la macchina alla posizione iniziale. I pulsanti di emergenza, tuttavia, potrebbero essere cablati in un blocco I/O di sicurezza collegato attraverso una rete di sicurezza, come DeviceNet o EtherNet/IP, al sistema di automazione programmabile integrato, standard o di sicurezza. In questo caso, le informazioni diagnostiche vengono fornite al controllore ed all’interfaccia operatore (HMI) in forma immediatamente accessibile ed il controllore o l’operatore/tecnico di manutenzione può adottare l’azione più adeguata per rimediare alla situazione. Queste informazioni diagnostiche, ad esempio, possono rivelare che l’operatore del terzo turno, per eseguire certe operazioni, preme il pulsante di emergenza anziché seguire la procedura predefinita per portare il sistema in stato di sicurezza o che, in effetti, esiste un serio problema elettrico che deve essere riparato. In entrambi i casi, la causa dell’evento viene diagnosticata rapidamente, permettendo allo staff di manutenzione di risolvere il problema e riprendere la produzione al più presto. L’altro importante sviluppo delle tecnologie di sicurezza è stato guidato dalle stesse dinamiche di mercato che hanno portato le aziende ad integrare altre discipline di controllo (sequenziale, controllo assi, azionamento, controllo di processo). Il risultato è una nuova generazione di piattaforme di protezione e controllo di sicurezza in cui la tecnologia di sicurezza è integrata nei prodotti di automazione standard quali controllori di automazione programmabili, relè di sicurezza programmabili, convertitori di frequenza e servoazionamenti. Le reti di comunicazione di sicurezza ad alta integrità, inoltre, grazie alla ridondanza dei messaggi, al controllo incrociato e ad un’attenta gestione dei tempi, consentono di gestire messaggi e dispositivi di sicurezza e standard sugli stessi supporti fisici. Storicamente, la sicurezza è stata separata dal controllo standard, sia che fosse implementata con singoli componenti, quali relè o contattori di sicurezza, o venisse utilizzato un controllore di sicurezza dedicato con hardware e software differenti. Diversi costruttori apprezzano ancora questo approccio perché il personale dedicato alla sicurezza è l’unico a conoscere l’hardware ed il software di sicurezza di un impianto. In altre parole, se gli altri operatori non conoscono l’hardware o il software di sicurezza, il rischio che la sicurezza venga compromessa è inferiore: un approccio ragionevole ma generalmente oneroso. In compenso, la possibilità di implementare il controllo di sicurezza in un’architettura che può eseguire i quattro principali task di controllo offre importanti vantaggi. Per gli avviatori, i costi hardware vengono minimizzati perché i componenti del sistema possono essere usati sia dalla parte standard sia da quella di sicurezza dell’applicazione. Anche i costi software e di assistenza sono ridotti, perché è possibile utilizzare lo stesso software ed il personale deve imparare a gestire una sola architettura di rete. A seconda delle esigenze dell’applicazione, inoltre, gli utenti possono implementare e distribuire l’hardware necessario per rispondere a tali esigenze, su una singola macchina o all’interno di un’intera struttura. I sistemi di automazione di sicurezza, attualmente, possono essere completamente integrati nel sistema di automazione standard dell’impianto, permettendo di eseguire determinate funzioni di sicurezza, rispondere alle norme di sicurezza e far funzionare efficientemente l’impianto con una singola piattaforma. In questo scenario, entrambe le parti del sistema di automazione sono progettate per accompagnare tutte le fasi del ciclo di vita delle macchine, comprese progettazione, messa in servizio, uso e manutenzione. Questo approccio olistico, inoltre, 4 | Un approccio olistico alla sicurezza può permettere di eliminare i pericoli già in fase di progettazione, dove possibile, in base a dettagliate valutazioni dei rischi. Le procedure di manutenzione, poi, possono guadagnare in rapidità. Fino ad ora, i costruttori hanno sempre richiesto che fossero i lavoratori stessi a disattivare tutte le sorgenti di alimentazione di una macchina per potervi accedere ed eseguire le operazioni di manutenzione, un processo conosciuto come lock-out/tag-out. Questo processo era spesso lungo e, oltre a ridurre la disponibilità globale delle macchine, veniva spesso bypassato dal personale di manutenzione dell’impianto. Con le modifiche alle norme di sicurezza e l’arrivo di un sistema di controllo di sicurezza più sofisticato, i costruttori possono creare zone di sicurezza da gestire in modo indipendente in base alle esigenze operative e di manutenzione. Questa flessibilità di progettazione può contribuire a ridurre il tempo necessario a il funzionamento della macchina dopo gli interventi di manutenzione migliorando, di conseguenza, la produttività. Inoltre, riduce la tentazione dell’operatore di bypassare il sistema di sicurezza, accrescendo la sicurezza dell’impianto. Come dimostrano molti esempi, a livello di produzione i sistemi di sicurezza ben progettati offrono vantaggi che ne possono giustificare l’implementazione. Inoltre, dato che le norme di sicurezza funzionale evolvono costantemente per tener conto degli ultimi sviluppi tecnologici, l’industria può trarre vantaggio dai nuovi strumenti, quali i sistemi di sicurezza integrati, per migliorare le prestazioni. Un approccio olistico basato su valutazioni dei rischi e tecnologie moderne contribuisce a garantire che i modi di utilizzare e manutenere una macchina siano strettamente legati alle modalità di controllo della sicurezza. Non si tratta più di un sistema di sicurezza ma di una componente critica del sistema di produzione ed automazione dell’intero impianto. A questi nuovi scenari stanno collaborando anche i progressi fatti nelle tecnologie di rete e di comunicazione. Superare i gap di comunicazione L’integrazione tra i sistemi di controllo di sicurezza ed il sistema di controllo standard è solo l’inizio di un futuro fatto di soluzioni di sicurezza flessibili ed efficaci. Un altro elemento importante è l’integrazione della comunicazione mediante protocolli aperti. In passato, la comunicazione diretta era quasi impossibile, perché nessuna singola rete era in grado di integrare sistemi di controllo standard e di sicurezza permettendo, nel contempo, il trasferimento dei dati attraverso le diverse reti fisiche dell’impianto. Tutto ciò è cambiato con l’arrivo di CIP Safety, uno standard di rete che consente di collegare i dispositivi di sicurezza alla stessa rete di comunicazione dei dispositivi di controllo standard. CIP Safety è basato sullo standard CIP (Common Industrial Protocol), un protocollo di comunicazione aperto per reti industriali, indipendente dalla rete fisica. CIP Safety migliora notevolmente il livello di integrazione tra le funzioni di controllo standard e di sicurezza, aumentando la visibilità della sicurezza nell’intero sistema. La combinazione tra celle di sicurezza locali a risposta rapida e l’instradamento tra celle dei dati di sicurezza crea applicazioni di sicurezza con tempi di risposta più rapidi. Questa maggiore flessibilità rende più veloci anche le operazioni di configurazione, prova e messa in servizio del sistema. Un altro livello di integrazione che spesso viene trascurato è l’uso dei dati di sicurezza nel sistema informativo a livello di impianto. Con dati di sicurezza immediatamente disponibili, il sistema informativo può essere strettamente collegato alla strategia di automazione di sicurezza. Ciò significa poter disporre di informazioni quali dati diagnostici, causa e frequenza di intervento delle funzioni di sicurezza, dati statistici per il miglioramento della “lean manufacturing”, dati di produzione, accessi di sicurezza ed altro. Una ragione per cui le reti di sicurezza erano tradizionalmente isolate a livello di impianto era la necessità dei dispositivi di sicurezza ed i controllori di reagire a velocità differenti rispetto alle Un approccio olistico alla sicurezza | 5 loro controparti standard. In passato, l’utilizzo di una singola rete che accogliesse sia i sistemi di sicurezza sia quelli standard si è rivelato problematico perché, più una rete si allargava, più diminuiva la velocità delle prestazioni. Con CIP Safety, invece, la frequenza di aggiornamento di ogni nodo di rete può essere impostata a differenti velocità. Ciò consente ad ogni dispositivo di funzionare alla velocità più adatta alla sua funzione di sicurezza, facilitando l’allocazione della larghezza di banda della rete. Le funzioni di ponte ed instradamento di CIP Safety sono importanti perché permettono la comunicazione diretta dei dati standard e di sicurezza su diverse reti fisiche, potenzialmente differenti tra loro. Questa possibilità elimina il bisogno di stabilire il percorso dei messaggi e di tradurre i dati, consentendo loro di fluire in modo aperto tra reti e dispositivi con il minimo sforzo da parte dell’ingegnere di sistema. Una comunicazione diretta che consente ai costruttori di eseguire il monitoraggio e la raccolta dei dati dei loro sistemi standard e di sicurezza da qualunque postazione autorizzata all’interno della struttura. Le misure di protezione all’interno di CIP Safety aiutano ad ottenere comunicazioni ad alta integrità, quando la comunicazione di sicurezza e quella standard sono combinate. È questo che consente ai sensori di sicurezza di funzionare accanto a convertitori di frequenza, sensori standard, controllori di sicurezza con PLC standard ed interruttori di prossimità. Gli utenti possono installare sulla stessa rete diverse combinazioni di dispositivi standard e di sicurezza, senza pregiudicare l’integrità del loop di controllo di sicurezza. Oltre che per le funzioni di ponte ed instradamento senza requisiti di programmazione, CIP Safety si contraddistingue per facilità d’uso ed affidabilità. Ciò significa processi di formazione più efficienti, messa in servizio più rapida e migliori capacità diagnostiche. Le capacità di CIP Safety su DeviceNet e EtherNet/IP sono approvate TÜV con i prodotti attualmente disponibili su entrambe le reti di diversi fornitori. CIP safety su EtherNet/IP permette di integrare le reti di sicurezza nella stessa architettura Ethernet usata dai dispositivi di controllo standard, da Internet e dal resto dell’azienda. Il futuro promette bene perché un numero sempre maggiore di fornitori di automazione sviluppa prodotti compatibili con CIP Safety che supportano l’integrazione tra controllori, dispositivi e reti di sicurezza e standard. Un’efficace gestione dei rischi Un altro vantaggio dell’approccio olistico alla sicurezza è il maggiore supporto dell’analisi dei rischi proattiva da parte dei costruttori. L’obiettivo generale di un sistema di sicurezza è quello di accrescere la sicurezza di persone, processi e macchine senza pregiudicare la produttività. I costruttori che conducono valutazioni dei rischi sono molto più vicini a raggiungere questo obiettivo contribuendo, in tal modo, anche a ridurre il rischio ed i costi associati. La definizione di formali processi di valutazione dei rischi. che vanno dall’identificazione alla qualificazione ed alla mitigazione dei rischi, è considerata in diverse norme internazionali e regionali, tra cui IEC61508, ISO13849 e ANSI/B155.1. I processi di valutazione dei rischi definiti in queste norme adottano generalmente un approccio al ciclo di vita nel chiarire come implementare un efficace processo di identificazione dei rischi legati alle macchine e di quantificazione del livello di rischio in termini di gravità, frequenza di esposizione e probabilità di evitarlo. Il risultato è un livello di rischio quantificato che deve essere ridotto attraverso misure di protezione. Le valutazioni dei rischi offrono ai costruttori un processo per 1) identificare i pericoli specifici di una macchina; 2) quantificare il rischio che questi pericoli presentano per i lavoratori; 3) valutare i metodi che possono aiutare a mitigare il rischio. Il processo, inoltre, specifica l’architettura dei circuiti di sicurezza più adeguata per mitigare la classificazione iniziale del rischio determinata dal team di valutazione. Una volta completamente definiti e capiti, i rischi devono essere esclusi dal progetto o il più possibile mitigati. Le misure di mitigazione dei rischi migliorano fisicamente la macchina in 6 | Un approccio olistico alla sicurezza modo da ridurre il potenziale in termini di lesioni alle persone, danni all’ambiente ed alle cose. La mitigazione dei rischi può essere compiuta attraverso diverse attività. Un metodo efficace per minimizzare il rischio per i lavoratori è quello di usare dispositivi di protezione, come barriere fotoelettriche, relè di sicurezza ed interruttori a fune. Un processo di valutazione dei rischi formale offre anche il vantaggio di poter disporre della documentazione di tutti i rischi identificati, delle misure di protezione e delle protezioni fisiche installate per mitigarli e del rischio residuo una volta implementati tutti i metodi di mitigazione. Dimostrando di aver fatto ricorso a buone pratiche di progettazione ed a criteri di debita diligenza nel fornire un ambiente di lavoro sicuro, una società può abbassare il rischio di contenzioso in caso di incidente. Dopo aver implementato e documentato il processo, è importante prevedere adeguate iniziative di formazione e supervisione. È indispensabile verificare che gli operatori capiscano le misure di sicurezza, compreso il corretto uso dei dispositivi di protezione personale. Gli operatori devono essere istruiti ad usare efficacemente le macchine e ad eseguire il loro lavoro in sicurezza. Questo implica una chiara distinzione tra compiti e processi di loro competenza e quelli riservati a personale più specializzato e qualificato. Un programma completo di sicurezza delle macchine può contribuire a migliorare le operazioni a livello di impianto e la produttività in generale. Considerando i molteplici aspetti del ciclo di vita dei sistemi di sicurezza delle macchine, per valutare l’efficacia del programma di sicurezza, è importante collegare tra loro analisi dei rischi, mitigazione dei rischi e processi di formazione/supervisione delle macchine. È importante che tutto il personale dell’impianto possa avvalersi delle misure di sicurezza implementate e delle iniziative di formazione messe in atto. I vantaggi di un approccio olistico alla sicurezza Oggi più che mai, i costruttori più innovativi si stanno concentrando su soluzioni di sicurezza applicate all’automazione in grado di proteggere i lavoratori, mantenere alta la disponibilità delle macchine ed incrementare i profitti. Grazie ad un approccio olistico alla sicurezza applicata all’automazione – che punta sull’interazione tra standard globali, tecnologie innovative, personale qualificato e costante valutazione dei rischi – i costruttori dispongono del modello migliore per implementare ed ottenere un elevato livello di sicurezza. www.rockwel lautomation.com Power, Control and Information Solutions Headquarters Americhe: Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496, USA, Tel: +1 414 382 2000, Fax: +1 414 382 4444 Europa/Medio Oriente/Africa: Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgio, Tel: +32 2 663 0600, Fax: +32 2 663 0640 Asia: Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tel: +852 2887 4788, Fax: +852 2508 1846 Italia: Rockwell Automation S.r.l., Via Gallarate 215, 20151 Milano, Tel: +39 02 334471, Fax: +39 02 33447701, www.rockwellautomation.it Svizzera: Rockwell Automation AG, Via Cantonale 27, 6928 Manno, Tel: 091 604 62 62, Fax: 091 604 62 64, Customer Service: Tel: 0848 000 279 Pubblicazione SAFETY-WP005-IT-P – Luglio 2008 Copyright © 2008 Rockwell Automation, Inc. Tutti i diritti riservati. Stampato negli USA.