Progetti in reteScuola e formazioneRegistratiHome page

 

 





AUTOMAZIONE

 

IndietroHome Avanti

Criteri di scelta, installazione e manutenzione dei PLC
(4/6)

3.4 Sicurezza in fase di installazione

Al momento dell'installazione di un controllore programmabile è necessario tenere conto anche dei rischi che possono derivare al personale nell'eventualità che accada un guasto all'impianto. Oltre alle indicazioni precedentemente riportate, vengono segnalati di seguito altri elementi utili per il conseguimento di una maggiore sicurezza (si veda la norma europea CEI EN60204-1 e l'esempio di fig. 12 relativamente ad un teleinvertitore a comando manuale). Un sistema può essere definito sicuro quando la possibilità che compaia un guasto non produce effetti pericolosi; si ha sicurezza totale quando un eventuale guasto non produce in ogni caso situazioni di pericolo.

I guasti possono essere di tipo passivo o attivo:

•  un guasto passivo si traduce in un circuito di uscita aperto, cioè non determina nessuna attivazione di attuatori esterni;

•  un guasto attivo produce l'attivazione di un'uscita.

La pericolosità di un guasto dipende dal tipo di funzione svolta dal dispositivo che si guasta: un guasto passivo è normalmente pericoloso se la funzione svolta era quella di generare un allarme; un guasto attivo può avere effetti pericolosi quando viene attivato un comando indesiderato. L'installazione del PLC deve perciò prevedere un circuito di sicurezza e particolari accorgimenti. Nella maggior parte dei PLC sono disponibili dei bit di sistema e dei bit di difetto che, se utilizzati in modo opportuno dal programma utente, possono aumentare il grado di sicurezza dell'automazione; questi bit possono, ad esempio, interrompere l'elaborazione del programma e disattivare tutte le uscite se arriva un apposito segnale dall'impianto. Sempre al fine di ricercare una maggiore sicurezza, è bene ridurre il più possibile il tasso di guasto di una apparecchiatura. Nel campo dell'automazione, è statisticamente provato che la maggior parte dei guasti si verifica nei trasduttori, negli attuatori e negli organi meccanici. Risulta quindi di particolare importanza l'utilizzo delle funzioni diagnostiche del PLC, al fine di ridurre i tempi di ricerca dei guasti e dei difetti di funzionamento. I PLC hanno in genere dei dispositivi di autodiagnosi che consentono di verificare il corretto funzionamento dei loro organi interni e delle periferiche. Sono presenti, per esempio, circuiti che controllano l'integrità del modulo CPU, del programma applicativo, della memoria e dei circuiti I/O. Questi test vengono effettuati mediante dei LED posizionati sul pannello frontale delle apparecchiature; inoltre, nel programma applicativo, possono essere utilizzati dei bit di sistema di diagnosi di eventuali guasti.

In generale, per effettuare un'installazione che garantisca un elevato grado di sicurezza, occorre considerare i seguenti punti.

•  Le apparecchiature collegate ad un PLC dovrebbero comprendere dispositivi di comando interbloccanti ed interruttori di sicurezza che impediscano il funzionamento durante un guasto dell'impianto.

•  L'alimentazione dell'equipaggiamento elettronico deve essere sempre derivata da un trasformatore d'isolamento, collegato a valle dell'interruttore generale, ed utilizzato anche per gli altri circuiti ausiliari della macchina o dedicato esclusivamente alla componente elettronica.

•  I dispositivi d'ingresso devono essere normalmente costituiti da contatti in chiusura (NO), tranne che per le funzioni di arresto, alle quali è richiesto un contatto in apertura (NC).

•  Occorre provvedere all'interruzione delle uscite ritenute critiche, ai fini della sicurezza, quando la macchina non è in funzione o quando si deve intervenire all'interno della macchina stessa (messa a punto, manutenzione, ecc.). Il circuito di tali uscite deve essere interrotto da un contatto pulito di un interruttore o di un relè e non da un dispositivo a semiconduttore (transistor, Triac).

•  Ogni modulo o circuito di uscita va collegato ad un solo carico ed in conformità alle specifiche del costruttore (per ciò che attiene, per esempio, alla potenza massima assorbita e alla sopportabilità in termini di potenza reattiva).

•  Bisogna escludere il controllo dal PLC con una predisposizione esterna e realizzare un comando ad impulsi esterno per la messa a punto della macchina o per il caricamento del programma; in caso di guasto del PLC, devono rimanere efficaci i dispositivi di emergenza e gli interruttori di sicurezza. Questi dispositivi di sicurezza devono agire direttamente sugli organi attuatori nella parte di potenza del comando.

•  In presenza di comandi a distanza, la cui attivazione potrebbe produrre sulla macchina situazioni di pericolo, è necessario prevedere un dispositivo di esclusione a chiave, che consenta ai manutentori ed agli operatori di porsi, all'occorrenza, in situazioni di sicurezza contro avvii o consensi intempestivi provenienti da zone remote.

•  Per l'utilizzo delle funzioni di sicurezza, l'impiego del PLC è fortemente limitato. Infatti, per funzioni di emergenza in categoria 0 (arresto mediante sospensione dell'energia), non può essere usato il PLC; per funzioni di emergenza in categoria 1 (arresto controllato), bisogna preferire in ogni caso componenti elettromeccanici cablati. Se comunque è necessario utilizzare un PLC, esso deve fornire una protezione, in caso di guasto, equivalente a quella di un equipaggiamento elettromeccanico con funzioni di sicurezza. Per soddisfare queste rigorose richieste si è affermata un'architettura ibrida. L'impianto viene comandato da un PLC, mentre per le funzioni di sicurezza sono utilizzati circuiti con componenti elettromeccanici. è necessario prevedere, quindi, un circuito, con pulsanti di emergenza o finecorsa di sicurezza, per l'interruzione generale dell'alimentazione di tutti gli organi di uscita del PLC (può essere tolta anche l'alimentazione ai circuiti di ingresso), oppure per provocare l'arresto del motore che muove la parte dell'impianto che il finecorsa è chiamato a proteggere. Con l'azionamento del dispositivo di emergenza deve essere garantito il raggiungimento di uno stato non pericoloso per le persone e per l'impianto. Per esempio, gli attuatori e gli azionamenti, dai quali possono dipendere stati pericolosi (come l'azionamento di un mandrino di una macchina utensile), devono essere disinseriti; al contrario, gli attuatori e gli azionamenti, il cui disinserimento è pericoloso per le persone e per gli impianti (per esempio, dispositivi di bloccaggio), non devono essere disattivati. Allo scopo di prevenire gli effetti legati ad un malfunzionamento della CPU, si può utilizzare un'uscita esterna speciale che si attiva quando si verifica un guasto interno al PLC. Con questa uscita è possibile, mediante il circuito di sicurezza, porre l'impianto in condizioni sicure. Qualora tale uscita non sia presente, è disponibile un'uscita interna speciale che cambia stato logico quando si ha un malfunzionamento alla CPU. Con essa è possibile attivare un'uscita esterna, ottenendo così il medesimo risultato visto in precedenza (nei PLC Omron C40H oppure CQM1H, per esempio, l'uscita interna speciale 25313, normalmente chiusa, può attivare una qualsiasi uscita esterna).

•  è necessario predisporre all'interno del programma del PLC la gestione dei dati che possono arrivare in caso di azionamento dei dispositivi di sicurezza, dotati di ulteriori contatti ausiliari e installati per questo scopo.

•  Occorre prevedere, nel caso di interruzioni del programma principale a causa dell'azionamento di un dispositivo di emergenza, un secondo programma che gestisca la situazione di emergenza; le norme antinfortunistiche impongono che, dopo ogni interruzione del programma, questo debba poter essere completato, o che le parti della macchina o dell'impianto possano essere ricondotte in sicurezza nello stato di inizio ciclo.

•  Le apparecchiature in uscita vanno collegate fra un morsetto di output del PLC e l'altra polarità del circuito di alimentazione. Può però essere necessario, a volte, collegare il contatto NC del relè termico fra la bobina del contattore e la polarità dei comandi collegata al circuito di protezione equipotenziale, al fine di disattivare il motore asincrono, per così dire, via hardware. è bene effettuare però il cablaggio con cura, in modo che vengano scongiurati i guasti a massa nel tratto di connessione fra questo e la bobina. Un guasto del genere cortocircuiterebbe il contatto del relè termico, inibendo l'azione protettiva, demandando l'arresto dell'impianto al solo PLC e, solo nel caso che questi riceva il segnale dal contatto NO, del relè termico. Questo problema può essere risolto utilizzando PLC con uscite separate, per esempio a relè, che poi vengono collegate tra di loro in modo opportuno.

•  È indispensabile ottenere una buona messa a terra, che è sempre molto importante nella progettazione dell'impianto. Infatti, parti metalliche accessibili non devono costituire un pericolo quando vengono toccate, anche in presenza di guasti. Questa esigenza è soddisfatta se tutte le parti metalliche con le quali si può venire in contatto, quali le guide di montaggio, i montanti di sostegno e l'armadio elettrico, sono collegate in modo elettricamente sicuro con il conduttore di protezione PE. La massima resistenza ammissibile tra il punto di allacciamento al conduttore di protezione e la parte da proteggere accessibile al contatto deve essere di 0,5 W .

•  Bisogna sopprimere o attenuare gli eventuali disturbi da rumore elettrico.

I problemi dovuti ai disturbi elettrici sono prevalentemente riscontrabili sotto forma di guasti software e, in minor numero, sotto forma di danni provocati all'hardware: ciò comporta comunque, in entrambi i casi, un malfunzionamento dell'impianto. Quando si verifica un guasto di tipo software, il programma si modifica e, generalmente, il controllore va in blocco, inviando una segnalazione di errore e disabilitando le uscite. Come si è già detto, se il guasto modifica lo stato degli I/O, si possono verificare una movimentazione o operazioni errate della macchina che il PLC controlla. Si deve in questo caso provvedere all'installazione di circuiti di autoprotezione, specialmente quando si tratta di uscite che possono diventare pericolose per l'operatore o per la macchina. La protezione può essere di tipo software, elettromeccanica o comprendere entrambe le soluzioni, ovviamente coordinate. Nel primo caso, si possono portare le uscite ritenute pericolose su degli ingressi, mandando in blocco la macchina o azionando degli allarmi.

Fig. 10 - Serie software tra comando (IN) e uscita (OUT) pilotata.

È possibile rendere più sicuro l'impianto utilizzando contatti elettromeccanici sia in ingresso sia in uscita, per esempio sul ciclo manuale. Alcune case costruttrici hanno in listino dei moduli di uscita a Triac o a transistor autoprotetti. In questi moduli, si trovano circuiti che controllano l'eventuale discordanza tra il segnale di comando proveniente dall'unità centrale e il segnale che realmente si ha sul campo esterno (se il segnale di comando dice al Triac di condurre, ma questo è interrotto a causa di un guasto, l'uscita non si attiverà), provocando, in caso di errore, la bruciatura di un fusibile di protezione e isolando in tal modo quell'uscita dal circuito esterno al PLC.

Fig. 11 - Esempio di uso di contatti in ingresso e in uscita.

3.5 Installazione del software

L'installazione del software può avvenire in vari modi:

•  mediante la tastiera dell'unità di programmazione;

•  installando una EPROM/EEPROM, con il programma precedentemente memorizzato, e facendone una copia nella RAM;

•  trasferendo da una memoria di massa (floppy disk, memory card) il programma in RAM;

•  sostituendo la RAM dell'unità centrale con una EPROM/EEPROM su cui è memorizzato il programma che deve eseguire il controllore. Quest'ultima soluzione è da preferire se ci si vuole mettere al riparo da possibili perdite di memoria, causate da mancanza di alimentazione per lo scaricarsi della batteria tampone.

I metodi di installazione possono variare a seconda del modello di PLC; è quindi opportuno consultare i relativi manuali. In generale, comunque, si può dire che è prudente non operare sul controllore durante la fase di trasferimento del programma, pena la perdita di dati. Bisogna inoltre fare attenzione, prima di toccare i piedini delle EEPROM, EPROM e RAM con le mani: soprattutto in ambienti secchi, l'elettricità statica può danneggiare tali dispositivi. In questi casi, è opportuno prima scaricare l'eventuale elettricità statica accumulata dal corpo umano toccando un oggetto metallico collegato a terra, e poi effettuare le operazioni sulle memorie. Quando si installano memorie a semiconduttore, bisogna ricordarsi sempre di scollegare l'alimentazione del PLC. Dopo aver effettuato il trasferimento del programma nel PLC, si deve verificare che il programma installato sia identico a quello contenuto nella memoria da cui il programma è copiato. In alcuni PLC, e in determinate situazioni, è possibile eseguire una simulazione del programma dopo averlo caricato, anche senza mettere in funzione l'impianto. Questa caratteristica è particolarmente utile, quando il programma è di grosse dimensioni e la sequenza prevede situazioni pericolose o critiche. Risulta di notevole aiuto, durante questa fase, la possibilità che hanno alcuni controllori di eseguire tutto il programma una riga alla volta: in questo modo è agevole seguire l'andamento del ciclo e verificare le reazioni dell'impianto. Può essere utile durante la fase di collaudo, mediante l'unità di programmazione, forzare degli ingressi o delle uscite per verificare il funzionamento del programma e dei collegamenti I/O. Dopo aver trasferito il programma e averlo collaudato, è opportuno, sempre per motivi di sicurezza, scollegare dal PLC l'unità di programmazione, onde evitare che qualche operatore inesperto possa modificare il programma o addirittura cancellarlo, con evidenti danni all'impianto e alle persone. Qualora fosse necessario modificare, durante il funzionamento dell'impianto, il valore di preset di temporizzatori o contatori, si possono utilizzare apposite unità predisposte per questo scopo (pannelli per operatori, unità di supervisione, ecc.). Normalmente, l'impiego dell'apparecchiatura di programmazione non deve interferire con i dispositivi I/O del PLC; quindi, non si deve lasciare l'unità di programmazione collegata al controllore durante il normale funzionamento dell'impianto, evitando così sia malfunzionamenti sia avviamenti o arresti intempestivi dell'impianto, pericolosi per il personale di servizio e per l'impianto stesso.

 


continua...

Inizio pagina

 

Prodotto da Elektro 2000

Diritti sul Copyright