Diagnostica di un circuito di sicurezza a doppio canale

Una funzione di sicurezza è quella parte della macchina il cui guasto può provocare un immediato aumento del o dei rischi.
La norma UNI EN ISO 13849-1 è uno standard che specifica le parti relative alla sicurezza dei sistemi di controllo delle macchine: in pratica stabilisce come realizzare funzioni di sicurezza affidabili.
L’indice performance level (PL) indica il livello di affidabilità di una funzione di sicurezza: maggiore è il PL, maggiore è l’affidabilità del sistema.
La norma stabilisce che per realizzare circuiti di sicurezza molto affidabili, quindi con un valore alto di PL, occorre ricorrere anche alla diagnostica, cioè a quella funzione che permette il rilevamento tempestivo di eventuali guasti o malfunzionamenti.
In questo articolo viene mostrato un esempio di come può essere realizzata la diagnostica di un circuito di sicurezza a doppio canale.

• Di seguito viene schematizzato la parte di un quadro elettrico di una macchina relativa alla funzione di sicurezza del comando di arresto di emergenza.
  Il circuito mostrato è formato da:
• un sezionatore di tipo allucchettabile;
• un alimentatore che fornisce la tensione di 24 V;
• un modulo di sicurezza (in questo caso di produzione Pilz);
• 3 contattori a 400V: i primi due hanno lo scopo di tagliare l’alimentazione elettrica quando interviene il modulo di sicurezza (contattori in rosso) mentre il terzo (contattore in verde) è quello gestito dalla logica di automazione ossia dal PLC della macchina;
• un pulsante di arresto di emergenza;
• un pulsante di ripristino emergenza;
• un pulsante di marcia e arresto;
• un motore trifase (l’attuatore che si vuole disalimentare in seguito all’attivazione del pulsante di arresto d’emergenza).

quadro elettrico

Una volta che il quadro è alimentato è necessario premere il pulsante di ripristino in modo che la logica di sicurezza possa abilitare il passaggio di corrente all’interno del circuito e, quando viene premuto il pulsante di avvio, possa mettere in rotazione il motore.
Nel momento in cui viene premuto il pulsante di arresto di emergenza la logica di sicurezza genera l’apertura dei contatti dei primi due contattori in modo da disalimentare l’alimentazione del motore elettrico.
Per poter di nuovo mettere in rotazione il motore bisogna disinnestare il fungo di emergenza. Occorre specificare che il disinserimento del dispositivo non deve riavviare il motore ma solo portare la logica di sicurezza nello stato per cui può essere ripristinata.
Il circuito di sicurezza mostrato è del tipo a doppio canale: esistono due contattori installati in serie e con lo scopo di assicurare il taglio dell’alimentazione al motore se i contatti di uno dei due contattori si dovesse incollare (se cioè i contatti per un guasto si saldano e permettono il passaggio di corrente anche quanto il contatto dovrebbe essere aperto). Il circuito è pertanto costituito da due canali indipendenti che devono essere attivati contemporaneamente per garantire il funzionamento di una funzione di sicurezza. Se uno dei canali presenta un guasto o un malfunzionamento, l’altro canale deve essere in grado di rilevarlo e interrompere immediatamente l’operazione per evitare situazioni pericolose.

Questo è uno dei contattori (in rosso) che permette di tagliare l’alimentazione elettrica agli attuatori nel momento in cui premo il pulsante di arresto di emergenza.
Questo contattore ha i contatti della trifase normalmente aperti (NA), per cui qui non passa corrente:
sul davanti abbiamo i contatti ausiliari normalmente chiusi (NC).
Quando il motore sta ruotando avrò che:

• si chiudono i contatti della trifase (passaggio da NA a NC) – ho passaggio di corrente;
• i contatti ausiliari passano da NC a NA – non ho un passaggio di corrente.
  Nel momento in cui premo il pulsante di arresto di emergenza:
• si aprono i contatti della trifase (passaggio da NC a NA) – non ho passaggio di corrente;
• il contatto ausiliario passa da NA a NC – ho passaggio di corrente.

Precisiamo che i contatti di potenza dei due contattori adibiti a disalimentare gli attuatori in situazione di emergenza sono normalmente aperti (NA) per cui in condizioni di riposo non permettono il passaggio di corrente.
La Diagnostica viene realizzata mediante il modulo di sicurezza che invia una corrente a 24 V all’interno dei contattori ausiliari normalmente chiusi (NC) dei due contattori e che arriva in ingresso al pulsante di ripristino.
La logica di sicurezza si legge la corrente di ritorno quando viene premuto il pulsante di arresto di emergenza.
In seguito all’attivazione del pulsante di ripristino i contatti di potenza passano da aperti a chiusi (permettono potenzialmente l’alimentazione del motore) e i contatti ausiliari passano da chiusi ad aperti.
Se uno dei due contattori subisce un guasto e i contatti di potenza restano incollati questo comporta che il contatto ausiliario NC resta aperto. Quando si prova a ripristinare la logica di sicurezza, premendo il pulsante di ripristino, il circuito non si chiuderà a causa del contatto ausiliario del contattatore che è rimasto aperto. In questo modo la lo logica di sicurezza non si ripristina e non è più possibile abilitare i movimenti pericolosi della macchina. Il circuito costituito dal pulsante di ripristino e dai contatti NC dei due contattori è il circuito che permette la diagnostica del circuito: è quindi la parte del circuito di sicurezza che permette il rilevamento tempestivo di eventuali guasti o malfunzionamenti.