Validazione del software di sicurezza

-SFXX.Y.Z, SF XX

zione di sicurezza, indica il dispositivo di sicurezza e descrive l’effetto sulle uscite

Y Z

2 Pagina 56 della tesi di Giacomo Comunian. 32

dell’attivazione della funzione. La nomenclatura presentata in questa fase sarà utilizzata

nell’interfaccia di SOFTEMA.

4.2.1.1 -SF10.1.1: Arresto di emergenza

Il pulsante di emergenza è dotato di 2 contatti in parallelo che agiscono su due

Sb0

ingressi distinti del PLC. In figura 4.2 è riportata l’associazione tra la nomenclatura dei

contatti e l’indirizzo hardware del PLC.

Figura 4.2: Collegamento del pulsante di emergenza al PLC

Quando uno dei due contatti o assume uno stato logico basso, il motore

Sb0 1 Sb0 2

della pompa deve essere fermato. E’ possibile che uno dei conduttori delle linee di in-

gresso subisca un guasto a causa della disconnessione fisica o di una dispersione verso

terra di uno dei conduttori. In tal caso, sui due ingressi e sono presenti 2 stati di-

I8 I9

versi. Questa situazione deve essere segnalata la condizione di guasto e il motore deve

essere fermato.

4.2.1.2 -SF20.1.1: Arresto per intervento della barriera di sicurezza al piano terra

La barriera fotoelettrica al piano terra è identificata con la nomenclatura E’ dotata

BFT1.

di due uscite, e per segnalare l’assenza di oggetti nel fascio infrarosso,

BFT1 1 BFT1 2,

associate a due ingressi del PLC secondo lo schema riportato in figura 4.3.

Anche in questo caso il PLC deve ricevere lo stesso stato logico su entrambi gli in-

gressi; in caso contrario, si verifica una condizione di guasto. La barriera indica lo stato

sicuro mediante uno stato logico alto su entrambe le uscite. Se tale condizione non è

verifica, il motore deve essere fermato. 33

Figura 4.3: Collegamento della barriera di sicurezza piano terra al PLC

4.2.1.3 -SF20.2.1: Arresto per intervento della barriera di sicurezza al primo piano

Per la barriera di sicurezza al primo piano, indicata con valgono le stesse conside-

BFT2,

razioni fatte al paragrafo precedente. Lo schema riportato in figura 4.4 illustra l’associa-

e e gli ingressi, e del

zione tra le uscite della barriera ricevente, 1 BFT2 2, I15 IM16,

BFT2

PLC. Figura 4.4: Collegamento della barriera di sicurezza primo piano al PLC

4.2.1.4 -SF30.1.1: Arresto per intervento dei finecorsa al piano terra

Al piano terra sono disposti due finecorsa, e collegati a due differenti ingressi,

FC3 FC4,

e del PLC secondo lo schema riportato in figura 4.5.

I6 I7, 34

Figura 4.5: Collegamento dei finecorsa piano terra al PLC

I finecorsa devono trasmettere lo stesso stato logico agli ingressi del PLC salvo

condizione di guasto. Quando sono attivati, impediscono al motore della pompa di far

proseguire la discesa dell’ascensore.

4.2.1.5 -SF30.2.1: Arresto per intervento dei finecorsa al primo piano

Al primo piano sono disposti altri due finecorsa, e collegati a due ingressi del

FC1 FC2,

PLC, e del PLC secondo lo schema riportato nella figura 4.6.

I4 I5, Figura 4.6: Collegamento dei finecorsa primo piano al PLC

I finecorsa nel normale funzionamento devono inviare lo stesso stato logico agli in-

gressi del PLC. Quando sono azionati, il motore della pompa non può far continuare la

salita dell’ascensore.

4.2.2 Informazioni aggiuntive

4.2.2.1 Lista dei guasti

Si possono individurare i primi scenari di guasto basati sull’hardware scelto. La norma

UNI EN ISO 13849-2, all’appendice D [1], consiglia di considerare i seguenti guasti di

natura elettrica ed elettromeccanica:

1. Cortocircuito tra contatti adiacenti isolati;

35

2. Contatto impedito all’apertura/chiusura;

3. Il teleruttore non si attiva/disattiva;

4. Apertura di ciascuna connessione;

5. Guasti in ciascuna parte della funzione, inclusi guasti software;

La norma prevede di escludere il guasto (1). L’unico dispositivo dotato di contatti adia-

centi isolati è il fungo di emergenza. In caso di cortocircuito, il componente mantiene

la sua funzionalità, poiché è in grado di mantenere e modificare il suo stato logico. La

ridondanza integrata della funzione di sicurezza consente di escludere tale scenario di

guasto.

4.2.2.2 Regole di codifica

Dalla tabella F.2 dell’allegato F [22], norma EN IEC 62061:2022, si ricavano alcune in-

dicazioni riguardanti la codifica. Il nome delle variabili deve permette una distinzione

immediata tra quelle relative alla sicurezza e quelle non correlate alla sicurezza. Inol-

tre dovrebbero essere autoesplicativi, ad esempio contenendo il nome o l’identificati-

vo del dispositivo in considerazione. Ogni dichiarazione deve essere corredata da un

commento.

E’ molto importante che le uscite siano assegnate una sola volta nel programma.

Inoltre, ogni riga di codice o ogni rete deve essere accompagnata da un commento

specifico.

4.2.3 Aggiornamento tabelle SOFTEMA

4.2.3.1 A1 - Specifica delle funzioni di sicurezza

Con le informazioni ottenute al paragrafo 4.2.1 si può compilare la tabella A1 - Specifica

delle funzioni di sicurezza. La tabella è dotata di dodici colonne da compilare. Ogni riga

corrisponde ad una specifica funzione di sicurezza.

Nella colonna si deve indicare il nome univoco della funzione di sicurezza. La

SFK

colonna verrà compilata da SOFTEMA stesso. Le colonne e

Beschreibung Schutz BMK

indicano rispettivamente la descrizione del componente di sicurezza e il suo identifica-

tivo. Nella colonna si deve indicare quale componente è utilizzato per riconoscere

Q1

l’attivazione della funzione di sicurezza; nella colonna si deve selezionare l’effetto che

B1

la funzione di sicurezza ha sull’attuatore. Successivamente si deve indicare il della

PLr

funzione e il tempo di reazione. Nelle colonne e di deve indicare

Prioritat Betriebsart

rispettivamente la priorità della funzione e la modalità di funzionamento.

Si consiglia di assegnare la priorità 1 e la modalità di funzionamento B0 esclusiva-

mente alle funzioni di arresto di emergenza. Per le altre funzioni di sicurezza si consiglia

36

la modalità di funzionamento B1. Il tempo di reazione scelto per l’applicazione è pari a

3

100ms .

Dopo aver compilato le colonne si consiglia di eseguire un controllo formale per rileva-

re eventuali errori di compilazione o informazioni mancanti agendo sul controllo Formale

in alto a destra . Se il controllo va a buon fine, è necessario cliccare sul pulsante

Checks per compilare la colonna e confermare le funzioni di

Alle SF generieren Beschreibung

sicurezza selezionate.

In figura 4.7 si può visionare la compilazione specifica per il caso studio.

Figura 4.7: Compilazione della tabella A1 in SOFTEMA

La colonna consente di attivare o disattivare la funzione all’interno del progetto,

Aktiv

mentre la colonna permette di bloccare le modifiche delle righe. Infine, la colonna

Sperre

è dedicata alla fase di validazione e verifica.

Validerung

4.2.3.2 A2.4 - Lista ingressi e uscite

Per completare la compilazione delle informazioni fin qui ricavate, si deve compilare la

tabella relativa alla lista I/O. Ad ogni ingresso/uscita si deve associare un simbolo univoco

e si deve indicare l’indirizzo hardware. E’ importante definire il tipo della variabile e inse-

rire una descrizione. Si compilano quattro colonne. Nella colonna viene

Beschreibung

riportata la descrizione della variabile, nelle colonne e devono essere

Symbol Adresse

specificati i simboli e gli indirizzi hardware. Nella colonna si deve selezionare il

Datentyp

tipo di dati utilizzato nella programmazione. In figura 4.8 è riportata la compilazione della

tabella.

3 Il PLC esegue un controllo della simultaneità dei canali di ciascuna funzione di sicurezza entro un tempo

di 50ms. Gli ulteriori 50ms considerano eventuali tempi di assestamento degli attuatori.

37

Figura 4.8: Compilazione parziale della tabella A2 in SOFTEMA

La colonna può essere aggiornata solo successivamente alla compilazione

Modul

della tabella B3. Mediante i controlli e si possono escludere gli

Aktiv in C+E Aktiv

ingressi/uscite dalla tabella Causa-Effetto o dall’intero progetto. Si consiglia di disattivare

gli ingressi che non legati alla sicurezza ma che sono cablati con il PLC safety.

4.2.3.3 A3 - Misure applicabili al software

Nella tabella A3 sono riportate 44 misure applicabili al SRASW, estratte dalla norma UNI

EN ISO 13849-1. E’ importante disattivare le misure non pertinenti all’applicazione, sia

per incompatibilità con il sistema che per l’adozione di ulteriori misure seguite. E’ possibi-

le aggiungere ulteriori misure relative ad altre norme di riferimento. Nel caso dei SRASW

programmati in LVL, le misure indicate sono generalmente sufficienti. Tuttavia, sarà ne-

cessario adattare le informazioni specifiche del produttore del sistema di sicurezza. Per

impostazione predefinita, SOFTEMA riporta le informazioni relative alle CPU-Safety di

Siemens.

La tabella raggruppa le varie misure secondo le seguenti categorie:

• Misure generali:

– Nomenclatura delle variabili: ingressi, uscite e variabili interne;

– Commenti;

– Elaborazione del segnale;

– Sviluppo dei propri blocchi funzione;

– Attività dopo le modifiche;

– Documentazione;

– Varie.

• Misure specifiche: 38

– Editor del programma;

– Elaborazione del segnale.

Secondo la norma EN IEC 62061, per i SRASW a complessità limitata è ammessa

l’omissione della regola di programmazione che richiede una nomenclatura differenziata

per variabili correlate e non-correlate alla sicurezza. Per tale motivo si possono disattivare

le righe da a

R1 R6.

Le richieste inerenti ai commenti non possono essere disattivate, poiché sono richie-

ste indipendentemente dall’applicazione.

I teleruttori scelti per l’applicazione non permettono l’implementazione di un ramo di

feedback, pertanto si possono escludere le misure e

R15 R16.

Poiché nel programma non sono stati sviluppati dei blocchi funzione, si possono disat-

tivare le righe da a Inoltre, come riportato nelle ipotesi iniziali, non sono previste

R19 R22.

attività di modifica. Per tale motivo si escludono le misure e

R23 R24.

Alla sezione dell’editor del programma si deve indicare l’editor utilizzato (R32), nel

caso in istanza PNOZmulti Configurator 11.0.4, e si deve selezionare il linguaggio di

programmazione impiegato (R33), in questo caso linguaggio a blocchi funzionali o FBD.

4.2.3.4 A4 - Requisiti normativi

Nella tabella A4 sono riportati 39 requisiti per il SRASW indicando per quale PLr devono

essere applicati. Nel caso in esame, il PLr per tutte le funzioni di sicurezza è Si

d.

possono escludere i requisiti che si applicano esclusivamente PLr e. Nella fattispecie si

può disattivare il requisito in riga A11.

Si possono escluder