Gestione arresto di emergenza macchina

[fedefak]

Buongiorno,

sono nuovo quindi mi scuso in anticipo se non sono nella sezione giusta.

Stiamo sviluppando un quadro elettrico e il software con un S7-1500F e non mi è ancora chiara la gestione dei pulsanti di emergenza della macchina. Premetto che prima venivano usate delle centraline di sicurezza tra cui quella per i pulsanti di emergenza toglieva la tensione a tutto il quadro compreso il PLC (tranne la centralina stessa) e la fermata della macchina avveniva per inerzia (non sono richieste particolari manovre per l'arresto di emergenza).

Ora con l'utilizzo del PLC di sicurezza non potendo togliere tensione allo stesso ho qualche dubbio sulla correttezza del circuito, mi spiego:

Viene utilizzato un UPS per alimentare il PLC, le espansioni che comunicano in Profinet e le schede relè dei comandi (in quanto se viene a mancare tensione la macchina deve fare una manovra per scaricare il materiale fuso e non intasare la filiera) e un alimentatore a monte che va ad alimentare gli ausiliari del quadro (contattori di motori, resistenze ecc) che sono "tagliati" da diversi contattori legati ad uscite di sicurezza del PLC.

Premendo un pulsante di emergenza vado a togliere tensione a motori e resistenze ma il PLC e le relative schede relè che comandano anche alcune elettrovalvole rimangono alimentate, può essere un problema?

In più dovrei interfacciare il circuito dei pulsanti di emergenza con un quadro di una macchina posta precedente alla nostra, posso farlo con un'uscita di sicurezza del PLC e due contattori?

Sperando di essere stato esaustivo nella spiegazione, grazie in anticipo

[dina_supertramp]

10 minuti fa, fedefak ha scritto:

Premendo un pulsante di emergenza vado a togliere tensione a motori e resistenze ma il PLC e le relative schede relè che comandano anche alcune elettrovalvole rimangono alimentate, può essere un problema?

Su macchine "in linea" generalmente i controllori (PLC, CNC, PC, ecc.) restano alimentati perché continuano a scambiare dati diagnostici con la linea appunto.
Se Il 400V che alimenta i motori diretti è spento,
se la parte di potenza di inverter/drive è disalimentata 

se le tensioni ausiliarie che alimentano gli attuatori (Elettrovalvole, motorini, cilindri, altro) sono spente,

poco importa se il PLC rimane alimentato, anzi, dal punto di vista del programmatore è meglio perché sappiamo sempre in che stato siamo.
 

12 minuti fa, fedefak ha scritto:

In più dovrei interfacciare il circuito dei pulsanti di emergenza con un quadro di una macchina posta precedente alla nostra, posso farlo con un'uscita di sicurezza del PLC e due contattori?

Se la macchina prima della tua ha anch'essa un PLC-F (o una centralina Profisafe), farete un scambio di segnali sw tramite Profisafe (scambio dati safety tramite Profinet).
Altrimenti dovrai fare un scambio di segnali hw, cioè comandare delle uscite safety (gestite da logiche safety) e dare i segnali cablati al quadro con cui parli.

[batta]

17 minuti fa, fedefak ha scritto:

toglieva la tensione a tutto il quadro compreso il PLC

Ecco, questa è una delle cazz.... uno degli errori più grossi che si possano fare.

Spegnere il PLC significa perdere il controllo di tutto e non avere più nemmeno la diagnostica.
Il circuito di emergenza deve tagliare potenza ai motori (o intervenire su STO se presente) ed impedire ogni movimento.

Per quanto riguarda le elettrovalvole, non solo devono essere tagliati anche i comandi delle elettrovalvole, ma si dovrebbe anche installare una valvola generale, di sicurezza, che scarica pressione dall'impianto. E qui si deve prestare particolare attenzione ad eventuali movimenti indesiderati (per esempio, meccanismo che scende per il suo stesso peso).

 

25 minuti fa, fedefak ha scritto:

In più dovrei interfacciare il circuito dei pulsanti di emergenza con un quadro di una macchina posta precedente alla nostra, posso farlo con un'uscita di sicurezza del PLC e due contattori?

Sì, certo.

 

Se non hai mai programmato la parte safety, fai molta attenzione, che non basta prendere gli ingressi dei funghi di emergenza e tagliare l'uscita di sicurezza, ma devi utilizzare le funzioni safety adeguate, tipo ESTOP1 e FDBACK.

 

Prima di mettere mano alla parte safety, ti consiglierei vivamente di fare un corso. 

 

[fedefak]

Grazie per le risposte. Per quanto riguarda la parte safety non è il primo che faccio, ho dovuto convertire un quadro che veniva fatto dalla ditta che c'era prima di noi e mettere il PLC di sicurezza quindi ero un attimo perplesso.

Quindi dai vostri messaggi capisco che se i relè che comandano le elettrovalvole sono posti in un box a bordo macchina devo predisporre il circuito in modo che mi tenga alimentata l'espansione del PLC ma mi tolga l'alimentazione ai comandi delle elettrovalvole.

Mentre per quanto riguarda l'interfacciamento delle emergenze con la macchina prima della nostra mi vengono chiesti 2 contatti puliti, quindi dovrò fare con uscite e relativi contattori.

Per caso va fatto anche qui il controllo sul feedback del contatto NC dei contattori per il riarmo?

Grazie 

 

[Roberto Gioachin]

50 minuti fa, batta ha scritto:

Prima di mettere mano alla parte safety, ti consiglierei vivamente di fare un corso. 

Io aggiungerei una considerazione: Se qualcuno subisce un danno fisico e a seguito dei controlli da un perito risulta che il programma safety è errato, verrai perseguito penalmente, ricordalo in modo da non trattare questi argomenti con troppa leggerezza, non voglio fare terrorismo, ma ne ho viste troppe.

[dina_supertramp]

1 ora fa, batta ha scritto:

Ecco, questa è una delle cazz.... uno degli errori più grossi che si possano fare.

Spegnere il PLC significa perdere il controllo di tutto e non avere più nemmeno la diagnostica

Condivido pienamente, chi spegne il controllore lo bastonerei...

 

1 ora fa, batta ha scritto:

Prima di mettere mano alla parte safety, ti consiglierei vivamente di fare un corso. 

 

18 minuti fa, Roberto Gioachin ha scritto:

non voglio fare terrorismo, ma ne ho viste troppe.

 

Condivido anche questo. Non approcciarti al software safe senza aver fatto un corso e soprattutto aver chiaro in testa quello che ti hanno spiegato.
Scrivere un codice safe, per quanto banale possa essere, significa che hai la responsabilità della sicurezza altrui nei tuoi polpastrelli.
E' un attimo che fai un parallelo di troppo, oppure interroghi una memoria o un timer non safe o altro...
Prenditi del tempo e decide se ti conviene investire in formazione e farlo tu, oppure dare la parte safe da fare fuori su tue indicazioni funzionali.

 

[batta]

1 ora fa, Roberto Gioachin ha scritto:

Io aggiungerei una considerazione: Se qualcuno subisce un danno fisico e a seguito dei controlli da un perito risulta che il programma safety è errato, verrai perseguito penalmente

Per essere precisi, non verrà perseguito penalmente il programmatore, ma chi ha rilasciato le certificazioni.

 

Io programmo parti safety, ma non firmo nulla!
Se mi dovessi prendere una simile responsabilità, anche il mio compenso dovrebbe essere adeguato.

 

Modificato: 7 maggio da batta

[fedefak]

Tralasciando l'aspetto della mia competenza sulla parte safety, so che un controllo per raggiungere il grado SIL3 di sicurezza consiste nel feedback dei contattori per fare in modo che non vengano riarmati se per caso sono incollati. Secondo voi questo controllo va fatto anche sull'emergenza in scambio con un altro quadro elettrico o no?

 

[Roberto Gioachin]

40 minuti fa, fedefak ha scritto:

Secondo voi questo controllo va fatto anche sull'emergenza in scambio con un altro quadro elettrico o no?

Assolutamente si

 

1 ora fa, batta ha scritto:

non verrà perseguito penalmente il programmatore, ma chi ha rilasciato le certificazioni.

Anche questo non è vero, salvo prescrizioni scritte a priori, la responsabilità e di tutte le persone coinvolte, e quindi anche di chi ha fisicamente scritto il programma.

Non solo, ma anche di chi ha fisicamente cablato il tutto se risulta una discordanza fra schema elettrico e cablaggio, e non importa che sia un esperto o un operaio non esperto, fatto salvo solo se è un apprendista. Per questo dico di fare molta attenzione, perchè va sempre tutto bene,,,,,,,,  fichè non succede nulla.

[fedefak]

15 minuti fa, Roberto Gioachin ha scritto:

Assolutamente si

Ti ringrazio

[Livio Orsini]

1 ora fa, Roberto Gioachin ha scritto:

Anche questo non è vero, salvo prescrizioni scritte a priori, la responsabilità e di tutte le persone coinvolte, e quindi anche di chi ha fisicamente scritto il programma.

Non solo, ma anche di chi ha fisicamente cablato il tutto se risulta una discordanza fra schema elettrico e cablaggio, e non importa che sia un esperto o un operaio non esperto, fatto salvo solo se è un apprendista. Per questo dico di fare molta attenzione, perchè va sempre tutto bene,,,,,,,,  fichè non succede nulla.

 

Concordo solo parzialmente.

30 anni fa, su di una macchina automatizzata dall'azienda di cui io ero il responsabile della progettazione, capitò che, premendo un fungo di emergenza, la macchina continuò tranquillamente a lavorare. Un altro operatore ebbe la presenza di spirito di premere un altro fungo, così la macchina si arrestò immediatamente.

Furtunatamente l'unico effetto fu un po' di spavento, oltre a qualche metro di prodotto gettato nello scarto.

Ne nacque comunque un contenzioso con il cliente.

Una nostra verifica stabilì che la causa dipendeva da un'errata modifica della macchina eseguita dalla manutenzione del cliente.

La proprietà dell'azienda in cui lavoravo, volle andare a fondo sulle possibili conseguenze legali di casi similari, anche per tutelarsi. Incaricò uno studio legale, specializzato in questo tipo di controversie, di redigere un parere tecnico legale.

Tradotto in italiano corrente sono coinvolti, nelle responsabilità, tutti coloro che hanno "firmato" i vari documenti relativi alla progettazione, realizzazione e messa in esercizio dell macchina.

Ad esempio non è suffiiciente che il progettista abbia progettato gli arresti di emergenza a regola d'arte, ma è necessario che questi sian stati collaudati e verificati, ed il verificatore che ha apposto la firma sul verbale di collaudo, assume la sua parte di responsabilità.

 

Ricordate sicuramente il caso di quell'operaia di Prato, uccisa da una macchina orditrice. In pratica venne catturata dal subbio, su cui si avvolgono i fili del'ordito, e stritolata. Questo perchè eran state rimosse le tipiche sicurezze che comandano l'arresto di emergenza, se una persona entra nel perimetro di rispetto.

Queste sono le "furbate" tipiche di certe aziende, dove i manutentori rimuovono certe sicurezze per rendere più spedite certe operazioni, quindi aumentare la produttività della macchina.

Nel caso in oggetto tutti i vari responsabili della progettazione e costruzione della macchina vennero coinvolti nell'inchiesta; poi, quasi certamente, le responsabiltà furono addebitate solo ai responsabili dell'azienda, perchè sarà risultata chiaramente la manomissione delle sicurezze.

Modificato: 7 maggio da Livio Orsini

[Roberto Gioachin]

@Livio OrsiniSono daccordo con te sul fatto che alla fine i responsabili sono quelli che hanno firmato documenti o dato ordini di fare modifiche pericolose, ma questo non toglie che tutte le persone coinvolte debbano difendersi in una causa penale se un perito dichiara che sono stati fatti degli errori, poi quello che decide il giudice non è sempre prevedibile.

Io una riflessione la farei.

[Livio Orsini]

47 minuti fa, Roberto Gioachin ha scritto:

ma questo non toglie che tutte le persone coinvolte debbano difendersi in una causa penale

 

Oramai praticamente tutte le aziende sono certificate ISO900x, quindi per ogni fase è individuato un responsabile, quindi al limite, sono queste persone che potrebbero essere coinvolte in un'inchiesta penale.

Il perito del tribunale può stabilre se c'è stato un errore, se èn errore di progettazione, di costruzione o di manutenzione; poi sono i responsabili che sono chiamati a risponderne, gli esecutori ne rispondono se, e solo se, hanno disatteso una precisa direttiva o prescrizione, e questa mancanza è documentata