Implicazioni di sicurezza nelle attività di controllo remoto delle macchine

Un’esigenza che ci hanno espresso alcuni utilizzatori è quella di poter modificare i parametri di funzionamento della macchina (velocità, ecc.) e di potere tacitare gli allarmi direttamente dai supervisori di reparto (postazioni di «controllo remoto») una volta collegate le macchine alla rete aziendale per scopi di supervisione e raccolta dati (fermi macchina, produzione, ecc.).

Però, per garantire la sicurezza della macchina, devono essere tenute in considerazione alcune questioni tecniche. 

Ad esempio, non deve essere possibile comandare il ripristino dei circuiti di comando della macchina a seguito dell’intervento dei dispositivi di sicurezza da postazioni di comando remoto, in quanto questa funzione è considerata critica per la sicurezza  (vedi punti 5.1 e 5.2.2 della norma UNI EN ISO 13849-1:2008) e come tale deve essere gestita nell’ambito del circuito di comando della macchina.

Inoltre l’operatore che aziona il comando di ripristino dovrebbe trovarsi in una posizione dalla quale può vedere la zona protetta e quindi accertarsi dell’assenza di persone esposte; devono inoltre essere soddisfatti i requisiti per i comandi di ripristino dei circuiti di comando.

Soddisfacendo le condizioni per il ripristino dei circuiti di comando sopra indicate è possibile consentire di impartire comandi di avvio e di modificare le condizioni di funzionamento da postazioni di comando remoto, purché questi comandi interessino esclusivamente elementi delle macchine protetti e non raggiungibili; questo perché ragionevolmente non possono essere presenti all’interno delle zone pericolose protette persone esposte (eseguendo il ripristino dei circuiti di comando da postazioni dalle quali è possibile vedere le zone pericolose protette) o comunque queste persone sono avvisate in anticipo dell’avvio degli elementi pericolosi ed hanno il tempo di uscire dalle zone pericolose.

Dovrebbero essere soddisfatti i seguenti requisiti:

  • in ogni momento deve essere attiva una sola postazione di comando, sia essa remota o locale;
  • l’attivazione della postazione di comando remota deve essere possibile solamente per mezzo di un comando posto localmente;
  • la modifica remota di parametri di funzionamento delle macchine che possano causare rischi deve essere possibile solamente a seguito di una conferma locale;
  • un indicazione locale sulla macchina deve segnalare che la stessa è controllata da postazione remota;
  • in prossimità delle macchine devono essere apposti cartelli di avvertimento al riguardo della possibilità di avviamento automatico delle macchine stesse.

Inoltre le istruzioni per l’uso delle macchine che possono essere controllate da postazioni remote devono contenere requisiti di addestramento per gli operatori, sia quelli presenti localmente che quelli che controllano la postazione remota.

Per una consapevolezza da parte dell’utilizzatore degli interventi sulla sua macchina, è necessario impedire che sia possibile accedere alla macchina senza il consenso esplicito dell’utilizzatore, per esempio utilizzando un selettore a chiave che esclude l’alimentazione del modem, del router o del firewall (o dispositivi similari che permettono l’accesso remoto alla macchina) o interrompe il cavo di comunicazione (telefonica o di rete) della macchina con il mondo esterno oppure mediante sistemi software che permettano l’accesso alla sola macchina selezionata (ad esempio nel caso di più macchine connesse alla stessa rete).

I sistemi di connessione software possono essere utilizzati se in grado di assicurare — con ragionevole grado di affidabilità, anche in caso di malfunzionamenti — che:

  • non sia possibile connettersi ad una macchina diversa da quella selezionata;
  • la trasmissione dei dati da e verso la macchina sia sufficientemente immune agli errori di trasmissione;
  • non sia possibile connettersi ad una macchina senza l’esplicito consenso da parte dell’utilizzatore e comunque da parte di un operatore locale che si trova nelle vicinanze della macchina.

A proposito del controllo remoto, la norma UNI EN ISO 10218-2:2011 Robot e attrezzature per robot – Requisiti di sicurezza per robot industriali – Parte 2: Sistemi ed integrazione di robot(1) prescrive:

5.6.5 Remote access for manual intervention

A robot system may be network enabled (e.g. LAN, modem, and internet) which allows remote access for diagnostics, technical consultation and testing, etc.

If a robot system is to be remotely controlled by an operator who is physically away from the robot (e.g. in a distant office), the following shall be required:

a) manual remote control shall only be possible when the robot system is in manual mode;

b) at any one time, only one source of control – local or remote – shall be active (single point of control);

c) the type of control listed in b) shall not override local selection and cause any local hazardous situation;

d) activation of the manual remote control function shall be possible only from the local control;

e) all controller functions that may cause a hazard (e.g. motion of robot, forcing outputs that control hazardous equipment, changing values that influence the robot in a hazardous way, acknowledgement of safety functions, hold to run, etc.) shall be possible only from the single selected source of control;

f) it shall not be possible for remote changes to the parameters, related to limiting robot motion by means of safety-rated soft axis and space limiting as described in 5.4.3, to take effect without local action to confirm the acceptability of the change and that it did not create a hazard;

g) an indication at the local control (control panel, teach pendant, etc.) shall show that the robot system is being remotely controlled;

h) attended manual intervention shall only be possible when the robot system is in manual reduced speed;

i) if no one is in the safeguarded space and safeguards are active, remote functions may be performed without any local activities;

j) when a person is required to be in the safeguarded space, control functions by a remote operator that may cause a hazard can only be performed when the local operator enables the function by pressing an enabling device;

k) any equipment not needed for the remote action that could create a hazard shall be maintained in a safe state.

The information for use shall include appropriate requirements for training both the remote and local operators for the remote tasks.

(1) Pur se la norma UNI EN ISO 10218-2:2011 riguarda una tipologia specifica di macchine, si possono prendere a riferimento le indicazioni da essa fornite in quanto utili per uno specifico problema di sicurezza; qualora non esistano norme di tipo B che coprono un particolare aspetto di sicurezza è lecito utilizzare una parte di una norma di tipo C di valenza sufficientemente generale a essere estesa al di fuori della tipologia di macchine oggetto della norma; infatti nel caso specifico il fatto che gli elementi da controllare da postazioni remote appartengano a isole robotizzate o ad altri tipi di macchine non cambia la natura dei rischi presenti e quindi delle misure di sicurezza che possono essere adottate.

Condividi ora!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su