Controllo della velocità in sicurezza

I sistemi di controllo della velocità di sicurezza che usano sensori (encoder, proximity) per la misura della velocità, devono essere in grado di rilevare possibili guasti pericolosi dei sensori stessi.

Combinazioni tra sensori e controllori di sicurezza

Encoder di sicurezza certificati Sin/Cos SIL3

Encoder di sicurezza certificatiSin/Cos SIL3

+

Moduli Mosaic per il controllo in sicurezza della velocità MV1 o MV2

=

SIL 3
PL e
Cat. 4

L’Encoder è un sensore di sicurezza con classificazione SIL. I moduli Mosaic (MV1 o MV2) controllano:

  • Le informazioni fornite dal sensore (sin/cos)
  • Eventuali guasti sui cavi di collegamento

È possibile applicare l’esclusione del guasto meccanico (allentamento o perdita di accoppiamento meccanico con il motore). Il sistema di accoppiamento deve essere progettato, costruito e validato com specificato nella tabella B 8 della norma EN 61800-5-2:2016.

Nota: Nel caso il livello di sicurezza dell’encoder fosse SIL 2, il risultato della combinazione (encoder + moduli MV del sistema Mosiac) diventerebbe SIL 2 – Pl d.

Encoder non di sicurezza TTL o HTL o Sin/Cos

Encoder non di sicurezza
TTL o HTL o Sin/Cos

+

1 Proximity

+

Moduli Mosaic per il controllo in sicurezza della velocità MV1 o MV2

=

Up to SIL 3 PL e
Cat. 3

I due sensori non di sicurezza (encoder e proximity) formano un sistema doppio canale. I moduli Mosaic (MV1 o MV2) controllano:

  • Le informazioni fornite dai due sensori (ad esempio le differenze tra i due valori misurati)
  • Eventuali guasti sui cavi di collegamento

Il sistema doppio canale ha una copertura diagnostica pari al 90% (DCavg = 90% medio)

Il sistema di accoppiamento meccanico del encoder con il motore deve essere progettato, costruito e validato com specificato nella tabella B 8 della norma EN 61800-5-2:2016. Utilizzando opportune soluzioni meccaniche, devono inoltre essere esclusi guasti meccanici sull’accoppiamento della ruota fonica utilizzata dal proximity.

La soluzione con sistema doppio canale permette di raggiungere la Cat. 3.
I due canali non sono omogenei perche i due sensori utilizzano diverse tecnologie. Questo permette di ridurre i guasti di causa comune aumentano il punteggio relativo al CCF (Common Cause Failure).

Per il calcolo del PL, è necessario conoscere i valori di MTTFd di entrambi i sensori.

2 Proximity

2 Proximity

+

Modulo Mosaic per il controllo in sicurezza della velocità MV0

=

Up to SIL 3 – PL e – Cat. 3

I due proximity non di sicurezza formano un sistema doppio canale.

  • I due proximity devono essere installati in modo da generare segnali interlacciati.
  • Il modulo Mosaic (MV0) verifica che i due sensori misurino la stessa velocità. Il guasto di uno dei due canali (elettrico o meccanico) provoca una diversità nei valori misurati rilevata dal controllore che genera un segnale di allarme.
  • Utilizzando opportune soluzioni meccaniche, devono essere esclusi guasti meccanici sull’accoppiamento della ruota fonica utilizzata dai proximity.

Se si verificano le condizioni elencate, la copertura diagnostica è pari al 90% (DCavg = 90% medio).

Anche in quato caso abbiamo un sistema doppio canale che permette di raggiungere la Cat. 3

I due canali sono omogenei (sensori di uguale tecnologia). Questo può aumentare la possibilità di guasti di causa comune rispetto alla soluzione Encoder + Proximity, rendendo più difficile il raggiungimento del punteggio minimo (65) del fattore CCF (Common Cause Failure).

Per il calcolo del PL, è necessario conoscere i valori di MTTFd di entrambi i sensori.

2 Encoder non di sicurezza TTL o HTL o Sin/Cos

2 Encoder non di sicurezza TTL o HTL o Sin/Cos

+

Moduli Mosaic per il controllo in sicurezza della velocità MV1 o MV2

=

Up to SIL 3 PL e
Cat. 3

I due encoder non di sicurezza formano un sistema doppio canale.

  • I moduli Mosaic (MV1 o MV2) verificano che i due sensori misurino la stessa velocità. Il guasto di uno dei due canali (elettrico o meccanico) provoca una diversità nei valori misurati rilevata dal controllore che genera un segnale di allarme.
  • È possibile applicare l’esclusione del guasto meccanico (allentamento o perdita di accoppiamento meccanico con il motore). Il sistema di accoppiamento deve essere progettato, costruito e validato com specificato nella tabella B 8 della norma EN 61800-5-2:2016.

La soluzione con sistema doppio canale permette di raggiungere la Cat. 3 con una copertura diagnostica è pari al 90% (DCavg = 90% medio).

I due canali sono omogenei (sensori di uguale tecnologia). Questo può aumentare la possibilità di guasti di causa comune
rendendo più difficile il raggiungimento del punteggio minimo (65) del fattore CCF (Common Cause Failure).

Per il calcolo del PL, è necessario conoscere i valori di MTTFd di entrambi i sensori.

Encoder non di sicurezza TTL o HTL o Sin/Cos

Encoder non di sicurezza TTL o HTL o Sin/Cos

+

Moduli Mosaic per il controllo in sicurezza della velocità MV1

=

Cat. B PL b

L’utilizzo di un singolo sensore (singolo canale) non permette al modulo Mosaic MV1 di eseguire dei controlli di palusibilità sulle informazioni ricevute.

Un guasto meccanico o elettrico sul canale non può quindi essere rilevato. Il controllore Mosaic è in grado di rilvare solo eventuali problemi di collegamento dei cavi.

Non è possibile una copertura diagnistica, quindi DCavg = 0

Questa soluzione permette di raggiungere la Cat. B, mentre il limite massimo raggiungibile di livello di sicurezza è PL b.

Utilizzando opportune soluzioni meccaniche, possono essere esclusi guasti meccanici sull’accoppiamento tra l’encoder ed il motore.

Per il calcolo del PL, è necessario conoscere il valorl di MTTFd dell’encoder.

Questa soluzione potrebbe raggiungere il livello di sicurezza SIL 1 – PL c – Cat. 1 solo se l’encoder utilizzato può considerarsi un componente “ben provato” per applicazioni di sicurezza (EN ISO 13849-1 tab. 10) e il suo MTTFd è più alto di 30 anni. Sebbene teoricamente possibile, questa soluzione non è consigliata per le seguente ragioni:

  • La ISO EN 13849-1 (§ 6.2.4) fornisce le seguenti definizioni:
    Un “componente ben provato” è un componente che è stato:
    ampiamente utilizzato in passato con risultati positivi in applicazioni simili
    realizzato e verificato utilizzando principi che ne dimostrano l’idoneità, l’affidabilità e la robustezza per applicazioni legate alla sicurezza. La qualificazione di un componente come ben provato dipende dalla sua applicazione. Esempio, un interruttore di posizione con contatti ad apertura positiva può essere ben provato per una macchina utensile ed allo stesso tempo inappropriato per l’applicazione nell’industria alimentare.
  • Componenti elettronici complessi (per esempio: PLC, microprocessori, circuiti integrati relativi ad applicazioni specifiche) non possono essere considerati componenti ben provati
    Gli encoder non fanno parte dell’elenco dei componenti ben provati della tabella D3 della ISO EN 13849-2
  • Un encoder può essere dichiarato un componente ben provato per applicazioni di sicurezza solo se l’utilizzatore dell’encoder può dimostrare e documentare il suo corretto comportamento e l’elevata affidabilità in tutte le condizioni ambientali che possono essere assunte per l’intera vita del dispositivo, per un sufficiente numero di parti e per un tempo adeguatamente lungo
1 proximity

1 proximity

+

Moduli Mosaic per il controllo in sicurezza della velocità MV0

=

PL b – Cat. B

Il proximity deve avere due uscite antivalenti.

L’utilizzo di un singolo sensore (singolo canale) non permette al modulo Mosaic MV0 di eseguire dei controlli di palusibilità sulle informazioni ricevute.

Un guasto meccanico o elettrico sul canale non può quindi essere rilevato. Il controllore Mosaic è in grado di rilvare solo eventuali problemi di collegamento dei cavi.

Non è possibile una copertura diagnistica, quindi DCavg = 0

Questa soluzione permette di raggiungere la Cat. B, mentre il limite massimo raggiungibile di livello di sicurezza è PL b.

Utilizzando opportune soluzioni meccaniche, possono essere esclusi guasti meccanici sull’accoppiamento tra l’encoder ed il motore.

Per il calcolo del PL, è necessario conoscere il valorl di MTTFd dell’encoder.

Attenzione: Quando si utilizzano ruote foniche, potrebbe verificarsi un problema a causa dell’isteresi del sensore. Se la ruota fonica si ferma in una posizione in cui la zona rilevata dal sensore si trova al limite (destro o sinistro) della zona rilevabile (es. a destra o a sinistra del dente della ruota), il sistema può eseguire erroneamente il conteggio di questa zona.

Questa soluzione potrebbe raggiungere il livello di sicurezza SIL 1 – PL c – Cat. 1 solo se il prozimity utilizzato può considerarsi un componente “ben provato” per applicazioni di sicurezza (EN ISO 13849-1 tab. 10) e il suo MTTFd è più alto di 30 anni. Sebbene teoricamente possibile, questa soluzione non è consigliata per le stesse ragioni indicate al punto precedente. Quanto indicato per l’encoder è valido anche per il proximity.

Elenco dei principi generali di sicurezza validi per tutte le combinazioni illustrate.

I sensori devono essere fissati, installati e cablati secondo le istruzioni del produttore. Rispettare i principi di sicurezza meccanica ed elettrica di base (solo per le parti non fornite dal produttore del sensore). In particolare su:

  • Meccanico:
    – Corretto dimensionamento e sagomatura
    – Selezione, combinazione, disposizioni, assemblaggio e installazione corretti dei componenti / sistema
    – Fissaggio corretto
  • Elettrico:
    – Selezione, combinazione, disposizioni, assemblaggio e installazione corretti dei componenti / sistema
    – Corretto incollaggio protettivo
    – Resistente alle condizioni ambientali
    – Fissaggio sicuro dei dispositivi di ingresso
    – Protezione del circuito di controllo Orientamento in modalità guasto

Principi di sicurezza aggiuntivi per combinazioni di livelli di sicurezza SIL1 – PL c, SIL2 – PL d, SIL 3 – PL e

Rispettare i principi di sicurezza meccanica ed elettrica ben collaudati (solo per le parti non fornite dal produttore del sensore). In particolare su:

  • Meccanico:
    – Fattore di sovradimensionamento / sicurezza
    – Posizione sicura
    – Accurata selezione, combinazione, disposizione, assemblaggio e installazione di componenti / sistemi relativi all’applicazione
    – Accurata selezione del fissaggio in relazione all’applicazione
    – Gamma limitata di forza e parametri simili
    – Gamma limitata di velocità e parametri simili.
  • Elettrico:
    – Prevenzione dei guasti nei cavi
    – Limitazione dei parametri elettrici
    – Nessun stato indefinito
    – Orientamento della modalità di guasto
    – Modalità di guasto orientata
    – Riduzione al minimo della possibilità di guasti.

La tabella D.8 della norma IEC EN 61800-5-2 (2016)ci fornisce l’elenco dei guasti pericolosi considerati per questi sensori e delle possibili esclusioni di guasto.

  • Maggiore sarà la quantità di guasti rilevati dal controllore, più alta sarà la copertura diagnostica e quindi migliore il livello di sicurezza raggiungibile per la funzione considerata.
  • La possibilità di applicare l’esclusione dei guasti elimina la necessità di controllarli e aumenta la prestazione di
    sicurezza raggiungibile.
  • Al fine di confermare l’esclusione del guasto per tutta la vita del dispositivo, possono essere applicate ulteriori misure atte a garantire che le condizioni ambientali di utilizzo (Vibrazioni, urti, temperatura) non superino quelle stabilite che hanno portato alla decisione di escludere il guasto.