Cos'è ElectroYou | Login Iscriviti

ElectroYou - la comunità dei professionisti del mondo elettrico

5
voti

Implicazioni di sicurezza nelle attività di controllo remoto delle macchine

Un'esigenza di alcuni utilizzatori è quella di potere collegare le macchine alla loro rete aziendale per scopi di supervisione e raccolta dati (fermi macchina, produzione, ecc.).

Dai supervisori di reparto (postazioni di «comando remoto») l'esigenza degli utilizzatori è quella di poter modificare i parametri di funzionamento della macchina (velocità, ecc.) e di potere tacitare gli allarmi; attualmente non viene però consentito l'avviamento di elementi della macchina da postazioni di comando remoto.

Non deve essere possibile comandare il ripristino dei circuiti di comando della macchina a seguito dell'intervento dei dispositivi di sicurezza da postazioni di comando remoto,in quanto questa funzione è considerata critica per la sicurezza (vedi punti 5.1 e 5.2.2 della norma UNI EN ISO 13849-1:2008) e come tale deve essere gestita nell'ambito del circuito dicomando della macchina; inoltre l'operatore che aziona il comando di ripristino dovrebbe trovarsi in una posizione dalla quale può vedere la zona protetta equindi accertarsi dell'assenza di persone esposte.

Soddisfacendo le condizioni per il ripristino dei circuiti di comando sopra indicate, è possibile consentire di impartire comandi di avvio e di modificare le condizioni di funzionamento da postazioni di comando remoto, purché questi comandi interessino esclusivamente elementi delle macchine protetti e non raggiungibili; questo perché ragionevolmente non possono essere presenti all'interno delle zone pericolose protette persone esposte (eseguendo il ripristino dei circuiti di comando da postazioni dalle quali è possibile vedere le zone pericolose protette) o comunque queste persone sono avvisate in anticipo dell'avvio degli elementi pericolosi ed hanno il tempo di uscire dalle zone pericolose.


Dovrebbero essere soddisfatti i seguenti requisiti:

  • in ogni momento deve essere attiva una sola postazione di comando, sia essa remota o locale;
  • l'attivazione della postazione di comando remota deve essere possibile solamente per mezzo di un comando posto localmente;
  • la modifica remota di parametri di funzionamento delle macchine che possano causare rischi deve essere possibile solamente aseguito di una conferma locale;
  • un'indicazione locale sulla macchina deve segnalare che la stessa è controllata da postazione remota;
  • in prossimità delle macchine devono essere apposti cartelli di avvertimento al riguardo della possibilità di avviamento automatico delle macchine stesse.

Inoltre le istruzioni per l'uso delle macchine che possono essere controllate da postazioni remote devono contenere requisiti di addestramento per gli operatori, sia quelli presenti localmente che quelli che controllano la postazione remota.

Per una consapevolezza da parte dell'utilizzatore degli interventi sulla sua macchina, è necessario impedire che sia possibile accedere alla macchina senza il consenso esplicito dell'utilizzatore, per esempio utilizzando un selettore a chiave che esclude l'alimentazione del modem, del router o del firewall (o dispositivi similari che permettono l'accesso remoto alla macchina) o interrompe il cavo di comunicazione (telefonica o di rete) della macchina con il mondo esterno oppure mediante sistemi software che permettano l'accesso alla sola macchina selezionata (ad esempio nel caso di più macchine connesse alla stessa rete).

I sistemi di connessione software possono essere utilizzati se in grado di assicurare — con ragionevole grado di affidabilità, anche in caso di malfunzionamenti — che:

  • non sia possibile connettersi ad una macchina diversa da quella selezionata;
  • la trasmissione dei dati da e verso la macchina sia sufficientemente immune agli errori di trasmissione;
  • non sia possibile connettersi ad una macchina senza l'esplicito consenso da parte dell'utilizzatore e comunque da parte di un operatore locale che si trova nelle vicinanze della macchina.


A proposito del controllo remoto, la norma UNI EN ISO 10218-2:2011 – Robot e attrezzature per robot – Requisiti di sicurezza per robot industriali – Parte 2: Sistemi ed integrazione di robot prescrive:

5.6.5 Remote access for manual intervention A robot system may be network enabled (e.g. LAN, modem, and internet)which allows remote access for diagnostics, technical consultation and testing,etc. If a robot system is to be remotely controlled by an operator who is physically away from the robot e.g. in a distant office), the following shall be required:

a) manual remote control shall only be possible when the robot system is in manual mode;

b) at any one time, only one source of control –local or remote – shall be active (single point of control);

c) the type of control listed in b) shall not override local selection and cause any local hazardous situation;

d) activation of the manual remote control function shall be possible only from the local control;

e) all controller functions that may cause a hazard (e.g. motion of robot, forcing outputs that control hazardous equipment,changing values that influence the robot in a hazardous way, acknowledgement ofsafety functions, hold to run, etc.) shall be possible only from the single selected source of control;

f) it shall not be possible for remote changes to the parameters, related to limiting robot motion by means of safety-ratedsoft axis and space limiting as described in 5.4.3, to take effect without local action to confirm the acceptability of the change and that it did not create a hazard;

g) an indication at the local control (controlpanel, teach pendant, etc.) shall show that the robot system is being remotely controlled;

h) attended manual intervention shall only be possible when the robot system is in manual reduced speed;

i) if no one is in the safe guarded space and safeguards are active, remote functions may be performed without any local activities;

j) when a person is required to be in thesa feguarded space, control functions by a remote operator that may cause ahazard can only be performed when the local operator enables the function bypressing an enabling device;

k) any equipment not needed for the remote action that could create a hazard shall be maintained in a safe state.

The information for use shall include appropriate requirements for training both the remote and local operators for the remote tasks.

Pur se la norma UNI EN ISO 10218-2:2011 riguarda una tipologia specifica di macchine, si possono prendere a riferimento le indicazioni da essa fornite in quanto utili per uno specifico problema di sicurezza; qualora non esistano norme di tipo B che coprono un particolare aspetto di sicurezza, è lecito utilizzare una parte di una norma di tipo C di valenza sufficientemente generale a essere estesa al di fuori della tipologia di macchine oggetto della norma. Infatti nel caso specifico il fatto che gli elementi da controllare da postazioni remote appartengano a isole robotizzate o ad altri tipi di macchine non cambia la natura dei rischi presenti e quindi delle misure di sicurezza che possono essere adottate.

Estratto da "https://www.electroyou.it/mediawiki/index.php?title=UsersPages:Ernestocappelletti:implicazioni-di-sicurezza-nelle-attivit-di-controllo-remoto-delle-macchine"
8

Commenti e note

Inserisci un commento

di ,

Grazie Ernesto per la chiara risposta. Nello specifico le condizioni di inserimento in linea sui sistemi di gestione dell'impianto sono open,non saprei dire con certezza se ci sia o meno (immagino di si) un consenso da parte dell'utilizzatore proverò ad approfondire.Per quanto concerne le condizioni di sicurezza sono più che soddisfatte particolarmente in caso di operatività a campo per un intervento su parti di mpianto.

Rispondi

di ,

L'importante è che il collegamento da remoto sia confermato localmente da una persona che può accertarsi dell'assenza di persone esposte nelle zone pericolose se si possono verificare situazioni pericolose generate dal collegamento remoto. Negli altri casi non ci sono problemi di sicurezza, ma semplicemente di consenso esplicito da parte dell'utilizzatore di effettuare il collegamento, per impedire che persone terze possano da remoto connettersi ad insaputa dell'utilizzatore. Lo stato del PLC non interessa, purché vengano rispettate le condizione sopra indicate. Saluti, Ernesto

Rispondi

di ,

Mi permetto di porre una domanda anch'io a tal proposito, e premetto che mi riferisco ad impianti di Making molto vasti. Il collegamento in rete dei PLC per consentire l'accesso per un eventuale teleassistenza da un luogo diverso e lontano da quello dove è allocato il sistema (impianto),prevede (normativamente parlando) che il PLC sia in condizioni "RUN P" sempre o debba essere attivato al momento dal tecnico che segue l'intervento ?

Rispondi

di ,

La possibilità di intervento a distanza sulle macchine è prevista normalmente per consentire la rilevazione dei parametri di funzionamento, la diagnostica e la riparametrizzazione delle macchine. Come indica anche la norma UNI EN ISO 10218-2:2011 sulle isole robotizzate, l'intervento remoto sulle macchine è possibile solo ad alcune condizioni, come ad esempio la conferma locale di alcune operazioni, che impediscano che si possano generare situazioni pericolose e che si possa intervenire sulle macchine in modo "non autorizzato". Tieni presente che la situazione che ho descritto, ovvero il collegamento in rete delle macchine e la teleassistenza, sta diventando sempre più lo stato dell'arte nei sistemi industriali evoluti. Saluti, Ernesto

Rispondi

di ,

Mi permetto di chiederti un parere: lavoro in una realtà industriale complessa, solo nell'area di mia competenza ci sono più di cento PLC (Siemens S7 300 o 400) e per la stragrande maggioranza collegati in rete di stabilimento. Dunque dal mio ufficio, lontano dagli impianti di competenza, potrei intervenire direttamente sui programmi, e così come me in linea teorica anche altri portebbero collegarsi e farlo. Ritengo questa situazione pericolosa, essa è anche 'fuori norma'?

Rispondi

di ,

Interessante. Grazie.

Rispondi

di ,

Grazie Ernesto! Veramente molto interessante! Un saluto, -carlo manenti.

Rispondi

Inserisci un commento

Per inserire commenti è necessario iscriversi ad ElectroYou. Se sei già iscritto, effettua il login.