Cosa fa parte di un sistema di controllo di sicurezza

IL DUBBIO: Quali componenti fanno parte di un Sistema Strumentato di Sicurezza (SIS)?

Per essere inclusi in un Sistema di Controllo di Sicurezza (SCS – IEC 62061) oppure nelle Parti dei Sistemi di Comando legate alla Sicurezza (SRP/CS – ISO 13849-1), i componenti devono essere supportati da adeguati dati di affidabilità. Poiché non tutti i componenti sono caratterizzati da tali dati, sorge una domanda fondamentale: quali componenti sono effettivamente considerati parte dell’SCS o dell’SRP/CS?

Il diagramma riportato di seguito, tratto dalla ISO 12100, Allegato A, mostra che i seguenti elementi fanno parte di un Sistema di Controllo di Sicurezza:

• Sensori (ad esempio dispositivi di interblocco),
• Sistemi logici (ad esempio PLC di sicurezza),
• Elementi di comando della potenza (ad esempio contattori, valvole).

Al contrario, gli attuatori della macchina, come motori o cilindri, non sono considerati parte dell’SCS. Perché?

Quel diagramma è valido, ad esempio, nel caso di una funzione di Arresto di Emergenza, ossia una funzione di sicurezza che porta il sistema in uno stato sicuro mediante la rimozione dell’energia. In generale si parla di funzione di arresto legata alla sicurezza. Una funzione di arresto legata alla sicurezza (ad esempio avviata da un riparo o da un dispositivo di protezione) deve, non appena necessario dopo l’attuazione, portare la macchina in uno stato sicuro.

La situazione è diversa nel caso di una funzione di Avviamento di Emergenza. Le definizioni rilevanti sono fornite nella IEC 60204-1, Allegato E:

[IEC 60204-1] Allegato E: Spiegazione delle funzioni di emergenza

Arresto di emergenza: Un’operazione di emergenza volta ad arrestare un processo o un movimento divenuto pericoloso.

Avvio di emergenza: Un’operazione di emergenza volta ad avviare un processo o un movimento per eliminare o evitare una situazione di pericolo.

Esistono due filosofie di progettazione dei sistemi di sicurezza:

1. Una perdita di energia provoca l’azione di sicurezza (“de-energize to trip”);
2. Un’applicazione di energia provoca l’azione di sicurezza (“energize to trip”).

Queste definizioni evidenziano che, a seconda della natura della funzione di sicurezza, i confini del sistema — e quindi i componenti da considerare parte dell’SCS — possono dover essere valutati in modo differente. Per quanto riguarda l’azione di sicurezza, il primo caso è generalmente più affidabile del secondo, poiché l’azione di sicurezza si verifica ogni volta che l’energia viene a mancare in qualsiasi punto del sistema di sicurezza. Tutti i guasti legati alla perdita di energia o di segnale sono intrinsecamente sicuri e non devono essere considerati nella valutazione della probabilità di guasti pericolosi. Questo semplifica notevolmente sia l’analisi da eseguire sia la modellazione del sistema di sicurezza. Questa filosofia sembra ideale ed è infatti la soluzione più ampiamente adottata nei sistemi di sicurezza industriali. Tuttavia, il principale svantaggio è l’aumento della probabilità di interventi intempestivi (Spurious Trips).

In alcune applicazioni, tali interventi intempestivi possono avere effetti negativi sull’impianto, come perdite di produzione, instabilità di processo o rischi secondari. In questi casi è necessario limitare le attivazioni indesiderate. Per questo motivo può essere preferita la filosofia “energize to trip”, nonostante richieda una valutazione di affidabilità più complessa.