Antonio Fabiani, Membro CEI, CENELEC e IEC SC 22G e MT 61800-5-1

Marco Franchi, Segretario CEI CT 301/22G
Così, intorno al 1940, Isaac Asimov poneva le regole fondamentali per una cooperazione sicura e senza rischi tra i robot e gli umani. Le tre “Leggi’, partorite dalla fantasia dello scrittore, sono poste a tutela degli umani, a garantire che mai, in nessuna condizione, un essere umano possa essere danneggiato o messo in situazione di pericolo in conseguenza ad una azione o ad una mancata azione da parte di un robot. E di fatto, fin dai primordi dell’interazione reale o fantastica dell’uomo con le macchine, è sorto il non facile tema della sicurezza funzionale, cioè del possibile danno che una macchina può provocare a persone in caso di funzionamento in modo indesiderato.
Ed è fondamentale tener presente come il comportamento indesiderato di una macchina possa consistere sì nella mancata attuazione di quanto ordinato alla sua interfaccia, ma anche da una qualsiasi attuazione non comandata, allo stesso modo di una attuazione parziale o infedele. Un avvio non comandato, una inversione di moto indesiderata, una mancata decelerazione e arresto, un non corretto controllo della coppia sono tutti esempi di azioni indesiderate che, a seconda del contesto, possono trasformare ‘una macchina’ in un oggetto pericoloso o letale.
Con il termine “sicurezza funzionale” (Functional Safety) si intende quindi la valutazione di quanto si possa essere confidenti che una macchina espleti esattamente la funzione che le è ordinata dalla propria interfaccia. E, parimenti, valutare con quale confidenza la macchina riesce a segnalare una propria situazione di guasto o malfunzionamento, oppure la condizione per cui una o più funzioni possono non essere più espletate con la confidenza aspettata.
La pubblicazione della serie di Norme IEC 61508 ha appunto segnato l’introduzione di un approccio diretto e specifico alla sicurezza funzionale delle apparecchiature elettriche, elettroniche ed elettroniche programmabili (EE/EEPE); di fatto, fino a qualche anno fa si faceva invece riferimento a Norme UNI ISO, per loro natura riferibili alla macchina nel suo complesso.
La definizione sopra citata è stata introdotta con la Norma IEC 61800-5-2, proprio per identificare in modo semplice ed immediato un PDS avente almeno una funzione associata ad un livello di SIL, Safety Integrity Level, come definito nella serie di Norme di tipo ‘generico’ IEC 61508-.
Dopo di queste, sono state preparate delle Norme di prodotto capaci, nel rispetto delle linee-guida della serie di Norme ‘generiche’, di integrarle specificando i requisiti che interessano, nel dettaglio, le funzioni per le quali un PDS deve garantire un profilo di sicurezza funzionale, precisando i relativi criteri di valutazione, prova e validazione. Il CT 301/22G, che aveva già collaborato alla stesura della Norma IEC 62061 sulla sicurezza funzionale del macchinario, ha contribuito attivamente alla preparazione sia della IEC 61800-5-2, pubblicata per la prima volta nel 2007 ed ora in fase di manutenzione (Figura 1), sia alla più recente IEC 61800-5-3, relativa agli Encoder a sicurezza funzionale ed ora in fase di prima pubblicazione (Figure 2, 3). Infatti i PDS(SR) (Safety Related PDS) con una o più funzioni di sicurezza funzionale rientrano tra le apparecchiature normate dal CT 301/22G.
Questa attività ha permesso di stabilire senza ambiguità le possibili funzioni a sicurezza funzionale in un PDS(SR), con la determinazione del SIL e dei criteri di verifica fino alla marcatura; sono inoltre definiti i confini logici e fisici del PDS(SR), con le relative interfacce. Da notare come, valutata la tipologia costruttiva dei PDS e lo stato dell’arte della tecnologia, la Norma preveda che il massimo SIL ottenibile per una qualsiasi funzione a sicurezza funzionale in un PDS(SR) sia 3, mentre il livello SIL4 definito nella serie IEC 61508- n non sia ottenibile direttamente.
Tra le possibili funzioni, spesso definite da un acronimo, si hanno, ad esempio: (Safe Torque Off), annullamento sicuro della coppia; SAFE SPEED, velocità di sicurezza garantita, SafeJog, avanzamento passo garantito, ecc.
Ad oggi, la IEC 61800-5-2 è stata recepita come EN 61800-5-2, dotata degli Allegati ZA e ZZ; di conseguenza la conformità normativa a quanto indicato nei punti in essi citati è considerata conformità ai requisiti minimi di sicurezza secondo le Direttive UE ivi citate.
La Direttiva 2006/42/CE è la versione attualmente in vigore della Direttiva Macchine; i suoi scopi principali sono:
• armonizzare i requisiti di sicurezza e di tutela della salute applicabili alle macchine
• garantire la libera circolazione delle macchine nel mercato europeo.
La Direttiva Macchine definisce la macchina come: “Insieme equipaggiato o destinato ad essere equipaggiato di un sistema di azionamento diverso dalla forza umana o animale diretta, composto di parti o di componenti, di cui almeno uno mobile, collegati tra loro solidamente per un’applicazione ben determinata”.
Sempre la Direttiva, riporta anche la definizione per quasi-macchina: “Insiemi che costituiscono quasi una macchina, ma che da soli non sono in grado di garantire un’applicazione ben determinata. Le quasi-macchine sono unicamente destinate ad essere incorporate o assemblate ad altre macchine o ad altre quasi-macchine o apparecchi per costituire una macchina.”
Poiché molti fabbricanti sono specializzati nella produzione di singoli apparati, dalle molteplici applicazioni finali, ne consegue che un gran numero di attrezzature in commercio non possono quindi essere classificate come “macchine” ma più specificatamente come “quasi-macchine”.
Il PDS (Power Drive System) è stato da tempo oggetto di accesa discussione per decidere se classificarlo come appartenente all’insieme ‘quasi-macchina’, oppure come ‘componente da incorporare nelle quasi-macchine, o ancora come appartenente senz’altro alle macchine.
È opinione prevalente che un PDS sia una quasi-macchina in quanto il PDS, per definizione, è una apparecchiatura che, connessa ad una alimentazione elettrica, genera coppia o moto ad una sua interfaccia meccanica.
Ma, solitamente, i Costruttori di BDM e CDM non sono Costruttori di motori né tantomeno di componenti per la connessione, quindi sul mercato si trovano in genere CDM (Complete Drive Module) o, a volte, BDM (Basic Drive Module) e motori forniti da Costruttori diversi e quindi da acquistare separatamente. Il CDM o BDM, a rigore, non producono moto o coppia meccanica finché non sono collegati ad un motore. Per cui, secondo il pensiero ad oggi più accreditato, diventano ‘quasi-macchine’ solo dopo l’integrazione CDM+motore+connessioni.
Il CT 302/22G è sempre stato attento a produrre norme di prodotto idonee a potere ottenere anche l’armonizzazione e gli allegati ZA e ZZ per le Norme CEN.
A decorrere dal 1 di ottobre 2004 per le norme CENELEC sono previsti gli allegati ZA e ZZ, all’interno dei quali si specifica il nesso con i requisiti della rispettiva direttiva.
Si ricorda che la Direttiva definisce i requisiti essenziali in materia di sicurezza e di salute pubblica, ai quali devono rispondere i prodotti nelle fasi di progettazione, fabbricazione e di funzionamento, prima della loro immissione sul mercato europeo; questo allo scopo di permettere e garantire la libera circolazione delle merci all’interno della UE.
A seguito dell’accordo tra CENELEC e la Commissione Europea, un allegato informativo ZZ viene inserito in tutte le nuove norme armonizzate ed elaborate in base al “Nuovo Approccio” (New Approach), nel caso specifico dei PDS con riferimento, qualora applicabile, alle Direttiva Macchine, Direttiva EMC, Direttiva Bassa Tensione, Direttiva RED, Direttiva REMC, Direttiva. Quest’ultimo allegato è inteso a chiarire quali siano i requisiti essenziali della direttiva coperti dalla norma armonizzata.