Moduli di sicurezza analogici Mosaic (MA2 – MA4) e sensori analogici

Molto spesso nelle macchine e negli impianti industriali, sono presenti processi che richiedo funzioni di sicurezza in grado di raggiungere i livelli PL o SIL. Ad esempio, la norma EN528 per i trasloelevatori, richiede un controllo di peso con un performance level PL r=d. Per rispondere a questa esigenza, nella gamma Mosaic sono stati aggiunti i moduli MA2 e MA4 in grado di effettuare una valutazione in sicurezza di grandezze analogiche.

I moduli MA2 e MA4 sono certificati secondo la Direttiva macchine 2006/42/CE. Sono anche conformi anche agli standard delle serie EN IEC 61508, quindi possono essere utilizzati anche negli impianti di processo, per sistemi SIS e funzioni SIF.


I moduli MA2 e MA4 possono gestire 2 o 4 canali di ingresso analogici. Questi ingressi possono essere usati singolarmente oppure in coppia.

  • Quando gli ingressi vengono utilizzati singolarmente, a seconda dei sensori collegati, il sistema può raggiungere un livello di sicurezza fino a SIL 1 o SIL 2 e PL d.
  • Quando gli ingressi sono utilizzati in coppia, a seconda dei sensori collegati, il sistema può raggiungere un livello di sicurezza pari a SIL 3 / PLe.

Ogni ingresso analogico è completamente isolato fino a 500 VDC. MA2 e MA4 possono essere configurati per essere connessi a 1 o 2 sensori con uscita in corrente (0÷20mA, 4÷20mA) o sensori con uscita in tensione (0÷10V). Sono inoltre possibili diverse configurazioni di collegamento.

Esistono inoltre sensori in grado di misurare valori sia positivi che negativi. I moduli analogici Mosaic possono accettare dai sensori anche valori negativi (ad esempio un flusso può andare nelle due direzioni, la pressione può anche essere vuoto, ecc.).

In questo caso il segnale di output potrà avere, per esempio:

  • Un fondo scala minimo che si riferisce a un valore negativo (4 mA)
  • Un fondo scala massimo che si riferisce a un valore positivo (20 mA)
  • Il valore zero sarà posizionato al centro della scala (12 mA)

Moduli MA2, MA4 utilizzati con sensori analogici di sicurezza

In commercio sono disponibili sensori analogici già certificati SIL (Tipicamente secondo IEC 61508).
Questa Norma è utilizzata principalmente nel mondo dell’industria di processo e meno conosciuta nel mondo delle macchine e dell’automazione industriale dove vengono utilizzate le EN ISO 13849-1/2 e EN 62061. Per esempio:

  • Sensori di temperatura
  • Sensori di flusso
  • Sensori di pressione
  • Sensori di LEL (Lower explosive limit) per zone Atex
  • Sensori di peso
  • Sensori fiamma
  • Trasduttori di grandezze fisiche in segnali di corrente da 4 a 20 mA sempre con certificazioni SIL.

L’utilizzo di questi sensori già classificati SIL facilita il calcolo dell’integrità di sicurezza complessiva della funzione di sicurezza. per calcolare il livello di sicurezza raggiungibile, anche se necessario.

Semplificando il più possibile, analizziamo questi esempi:

Livello di sicurezza secondo la IEC 61508

SensoreMA2, MA4Livello di sicurezza applicazione
1 sensore SIL 3SIL 3SIL 3
2 sensori SIL 2SIL 3SIL 3
2 sensori SIL 1SIL 3SIL 2
1 sensore SIL 2SIL 3SIL 2
1 sensore SIL 1SIL 3SIL 1

 

Moduli MA2, MA4 utilizzati con sensori analogici non di sicurezza

Esistono sensori analogici non di sicurezza. Utilizzando i moduli analogici Mosaic MA2 e MA4 questi sensori possono essere utilizzati anche per funzioni di sicurezza secondo la EN ISO 13849. Prendiamo in considerazione la EN ISO 13849-1 in quanto è la norma che viene più frequentemente utilizzata nell’ambito delle macchine.

Le caratteristiche dei moduli MA2 MA4 permettono di connettere 2 sensori di misura, di metterli in relazione tra loro realizzando la ridondanza ed il cross monitoring per incrementare il livello di sicurezza totale ottenibile dal sistema. In questo modo è possibile ottenere la verifica della misurazione ed ottenere un livello di sicurezza superiore a quello ottenibile usando un solo sensore.

Possono essere utilizzati sensori di automazione, ovvero senza livello di sicurezza PL/SIL dichiarato dal costruttore e raggiungere comunque un livello di sicurezza anche molto elevato, fino a SIL 3 / PLe, naturalmente soddisfacendo tutte le condizioni richieste dalle normative. A fianco una rappresentazione logica del sistema.
Di seguito verrà presentato un esempio dove saranno analizzati gli aspetti più importanti delle valutazioni da eseguire e verranno messe in evidenza le procedure che devono essere messe in atto per assicurare che, con il sistema Mosaic, venga raggiunto il livello di sicurezza richiesto.

Nell’esempio sono rappresentati: Sensori non di sicurezza (senza PL/SIL dichiarato dal costruttore) 4-20 mA e Mosaic M1S con modulo MA4.

Analizzeremo quindi quale è il PL raggiungibile e a quali condizioni.


Questa architettura rappresenta una coppia di sensori analogici che misurano la stessa grandezza fisica.


Occorre verificare che:

  • La Funzione di sicurezza SF (Safety Function), generi un segnale di arresto (qui non rappresentato) al superamento di un certo valore di soglia
  • Il comportamento in caso di guasto sia stato ben identificato. Con i sistemi di sicurezza che misurano grandezze analogiche, la valutazione del comportamento in caso di guasto è più complessa. Il comportamento va valutato molto bene e la decisione è spesso non univoca. In generale si può dire che, in caso di guasto di un componente, il sistema si deve comportare come se il segnale che ne proviene avesse superato la soglia oltre la quale la macchina deve essere arrestata (guasto orientato verso la sicurezza).
  • Il software relativo alla sicurezza sia stato realizzato secondo EN ISO13849-1 §4.6
  • Siano verificati ed esclusi i guasti sistematici (EN ISO13849-1 Allegato G)
  • Sia verificata la capacità di eseguire la funzione di sicurezza alle condizioni ambientali previste

L’architettura con 2 sensori indica una categoria 3 o 4 per la presenza della ridondanza. Verificheremo quali condizioni si devono rispettare per ottenere la Categoria 4 o la Categoria 3.

Bisogna far riferimento alla tabella 10 della ISO 13849-1, che si occupa di fare una prima classificazione:

 

CategoriaRiassunto delle caratteristicheComportamento del sistemaPrincipi usati per ottenere la
sicurezza
MTTFD di
ogni canale
Copertura
diagnostica
(DCavg)
Guasti di
modo comune (CCF)
BProgettazione secondo i
principi di base della sicurezza
Un guasto può portare alla perdita della condizione di
sicurezza
Selezione dei
componenti
BassoNessuno
1Come B + uso di componenti e principi ben provatiCome B ma meno probabileCome BAltoNessuno
2Come B + Test delle funzioni di sicurezza ad intervalli “adeguati”Un guasto può portare alla perdita della condizione
sicura tra un test e l’altro.
Il test riconosce la perdita della funzione di sicurezza
ArchitetturaBassoBasso – MedioValutare
3Come B + un singolo guasto non deve portare alla perdita della condizione sicura e se possibile, il singolo guasto deve essere identificatoUn guasto non può portare alla perdita della condizione sicura. Alcuni guasti devono essere identificati.
L’accumulazione di guasti può portare alla perdita della condizione sicura
ArchitetturaBassoBasso – MedioValutare
4Come B + un singolo guasto non deve portare alla perdita della condizione sicura. Il singolo guasto deve essere identificato prima della necessità di intervento e comunque l’accumulo di guasti non deve portare alla perdita della
condizione sicura
Un guasto non può portare alla perdita della condizione sicura.
L’identificazione dei guasti (alta DCavg) accumulati riduce la probabilità di perdita della condizione sicura
ArchitetturaAltoAlto e include l’accumulo dei guastiValutare

Seguendo le istruzioni della tabella occorre:

  • Conformità alle norme pertinenti per la resistenza alle influenze previste (Verificare il datasheet del costruttore dei sensori).
  • Utilizzo di principi di sicurezza di base.
  • Utilizzo di principi di sicurezza ben provati.
  • Singola tolleranza al guasto e rilevamento dei guasti ragionevolmente prevedibili

NOTA: Sensori con uscite in tensione 0-5V. Questi sensori possono essere collegati a moduli configurati per ingresso in tensione selezionando nel Software MSD un valore di fondo scala due volte superiore. Esempio: se il fondo scala è 100 kg a 5V, occorre selezionare 200 kg . In questo caso, 1 bit di risoluzione andrà perso sui 16 disponibili.