Come programmare arresti di emergenza e interblocchi di sicurezza: una guida alla programmazione PLC difensiva

La corretta programmazione degli arresti di emergenza (E-Stop) e degli interblocchi di sicurezza richiede un approccio di progettazione PLC difensivo: le funzioni di sicurezza hardware devono rimuovere l'energia pericolosa, mentre la logica PLC standard deve rispondere in modo deterministico, interrompere gli stati di marcia e prevenire riavvii imprevisti. OLLA Lab fornisce un ambiente di simulazione delimitato per validare questi comportamenti in condizioni anomale prima della messa in servizio reale.

Un malinteso comune è che "programmare l'E-Stop" significhi che il PLC stia eseguendo la funzione di sicurezza. Non è così. Secondo le pratiche di sicurezza delle macchine riconosciute, la funzione di arresto di emergenza deve essere implementata da hardware di sicurezza o sistemi di controllo classificati per la sicurezza opportunamente progettati, mentre la logica PLC standard solitamente monitora tale stato di sicurezza e reagisce rimuovendo i comandi di marcia software, attivando allarmi e bloccando i percorsi di riavvio.

Il divario pratico non è nella sintassi, ma nel comportamento in caso di guasto. Un programma scritto da un principiante spesso dimostra che una macchina può avviarsi; un programma difendibile dimostra cosa succede quando un filo si rompe, un segnale non arriva o un operatore ripristina l'E-Stop.

Metrica Ampergon Vallis: In una revisione interna di 5.000 progetti di logica ladder inviati dagli utenti in scenari di nastri trasportatori su OLLA Lab, il 68% delle proposte iniziali non è riuscito a mantenere lo stato di marcia del motore interrotto dopo un ripristino simulato dell'E-Stop, fino a quando non è stato emesso un comando di riavvio deliberato. Metodologia: n=5.000 proposte di studenti al primo tentativo in attività di avvio/arresto di nastri trasportatori; comparatore di base = comportamento atteso di "nessun riavvio automatico" dopo il ripristino dello stato di sicurezza; intervallo temporale = 1 gennaio 2025 - 28 febbraio 2026. Questo dato supporta una tesi specifica sugli errori di formazione comuni nella logica di riavvio. Non misura i tassi di incidenti sul campo, le prestazioni di sicurezza degli impianti o la competenza della forza lavoro in generale.

La programmazione difensiva nell'automazione industriale significa progettare la logica ladder partendo dal presupposto che i dispositivi si guasteranno, gli operatori agiranno fuori sequenza e il feedback del processo a volte mancherà, sarà in ritardo o errato. Questa è la base di progettazione normale, non pessimismo. Gli impianti sono molto bravi a trovare l'unico ramo che non hai testato.

Nel lavoro sui PLC, la programmazione difensiva è la distinzione tra rendere possibile il movimento e rendere il funzionamento controllabile in condizioni anomale. La prima è facile da dimostrare. La seconda è ciò che sopravvive alla messa in servizio.

Un programma di controllo difendibile solitamente include:

• permessi espliciti per l'avvio,
• interblocchi attivi per l'arresto o l'inibizione della continuazione,
• controlli di prova di funzionamento (proof-of-operation),
• gestione dei timeout,
• generazione di allarmi,
• disciplina di riavvio dopo scatti o eventi di E-Stop,
• logica di ripristino dello stato che sia deliberata piuttosto che implicita.

È qui che anche il termine Simulation-Ready necessita di una definizione precisa. Nell'uso di Ampergon Vallis, un ingegnere "Simulation-Ready" non è qualcuno che conosce semplicemente la sintassi ladder. Significa un ingegnere in grado di provare, osservare, diagnosticare e rafforzare la logica di controllo contro comportamenti di processo realistici prima che raggiunga un processo reale.

Perché la progettazione degli ingressi fail-safe inizia solitamente con una logica normalmente chiusa

La progettazione discreta fail-safe utilizza spesso dispositivi di campo normalmente chiusi (NC) per i circuiti critici di arresto e permesso, in modo che un filo interrotto, una perdita di alimentazione o un circuito aperto tendano a una condizione di arresto piuttosto che di marcia. Il principio è semplice: il guasto dovrebbe assomigliare allo stato sicuro.

In termini software, ciò significa spesso che il PLC vede un bit di stato della catena di sicurezza "sano" solo quando il circuito monitorato è integro. Se il circuito si apre inaspettatamente, il bit cade. Una macchina in salute non dovrebbe dipendere dalla continuità sperata.

Questo non rende un PLC standard classificato per la sicurezza. Rende la risposta del PLC standard alla catena di sicurezza più deterministica e più facile da validare.

La struttura corretta consiste nel separare la funzione di sicurezza dalla risposta del PLC standard. La funzione di arresto di emergenza stessa dovrebbe rimuovere l'energia pericolosa tramite relè di sicurezza cablati, contattori o un PLC di sicurezza o un controller di sicurezza progettato a tale scopo. Il PLC standard monitora quindi uno stato ausiliario da quel percorso di sicurezza e lo utilizza per interrompere i comandi di marcia software, cancellare i latch, inibire il riavvio e gestire la messaggistica per l'operatore.

Questa distinzione è importante perché la norma IEC 61508 affronta la disciplina del ciclo di vita della sicurezza funzionale e la ISO 13850 definisce la funzione di arresto di emergenza come una misura di protezione complementare piuttosto che una comodità software. Se la logica standard finge di essere lo strato di sicurezza, la progettazione ha già preso una direzione sbagliata.

Una sequenza pratica per la risposta del PLC standard

Una tipica implementazione su PLC non di sicurezza esegue le seguenti operazioni:

1. Monitora un bit di "catena di sicurezza sana" derivato da un contatto ausiliario di un relè di sicurezza o stato equivalente.
2. Inserisce quel bit in serie con l'autorizzazione alla marcia, in modo che il percorso software si interrompa immediatamente quando la sicurezza viene meno.
3. Rilascia la logica di autoritenuta (latch) in caso di perdita di sicurezza.
4. Richiede un comando di riavvio deliberato dopo il ripristino, invece di consentire il riavvio automatico quando l'E-Stop viene ripristinato fisicamente.
5. Annuncia la causa in modo che l'operatore e il tecnico possano distinguere tra E-Stop, fallimento dei permessi, scatto di un interblocco, e timeout di prova.

Esempio di pattern ladder per la logica di marcia consapevole dell'E-Stop

Di seguito è riportato un pattern semplificato per la logica PLC standard che rispecchia lo stato di sicurezza. È illustrativo, non un progetto certificato per la sicurezza.

Pattern ladder:

• `StartPB` in serie con `StopPB` e `EStop_OK` eccita `RunCmd`.
• `RunCmd` con `StopPB`, `EStop_OK` e `Permissive_OK` mantiene un percorso di autoritenuta come `Mtr_SealIn`.
• `Mtr_SealIn` aziona `Motor_Run`.

Interpretazione:

• `EStop_OK` è vero solo quando la catena di sicurezza monitorata è integra.
• Se `EStop_OK` cade, sia il percorso di marcia che quello di autoritenuta si interrompono.
• Quando `EStop_OK` ritorna dopo il ripristino, il motore non si riavvia automaticamente a meno che non venga premuto nuovamente `StartPB`.

Quest'ultimo punto non è puramente estetico. Prevenire il riavvio imprevisto è uno dei requisiti comportamentali fondamentali relativi alla risposta all'arresto di emergenza.

Un permesso (permissive) è una condizione che deve essere vera prima che sia consentito l'avvio di una sequenza. Un interblocco (interlock) è una condizione che arresta, inibisce o interrompe il funzionamento quando si verifica una condizione di marcia non sicura o non valida. I principianti spesso confondono i termini perché entrambi appaiono come contatti nella logica ladder. Al processo non interessa il vocabolario, ma la revisione del progetto sì.

Permesso vs. interblocco

| Tipo di logica | Funzione | Tempistica tipica | Esempio in OLLA Lab | |---|---|---|---| | Permesso | Condizione pre-avvio che deve essere soddisfatta prima dell'iniziazione | Prima del comando di marcia o avvio sequenza | Livello serbatoio sopra il minimo prima dell'avvio pompa | | Interblocco | Condizione di marcia attiva che forza l'arresto, l'inibizione o lo scatto se violata | Durante il funzionamento | Pressione di scarico alta-alta fa scattare la pompa in marcia | | Permesso con rilevanza di autoritenuta | Deve essere vero per avviare e talvolta rimanere vero per continuare | Avvio e possibilmente marcia | Porta di protezione chiusa prima dell'avvio ciclo | | Interblocco di scatto / arresto | Forza l'arresto immediato o sequenziato | Durante stato anomalo | Sovratemperatura o perdita feedback sovraccarico motore |

Una distinzione di progettazione utile

I permessi rispondono a: "Posso avviare?" Gli interblocchi rispondono a: "Posso continuare?"

L'approccio più pulito consiste nel separare la logica in strati distinti: autorizzazione all'avvio, mantenimento della marcia, rilevamento scatti e disciplina di ripristino/riavvio.

1. Strato di autorizzazione all'avvio

Usa un bit dedicato come `Start_Permissive_OK` costruito da tutte le precondizioni richieste.

2. Strato di mantenimento della marcia

Usa un bit separato come `Run_Allowed` che rimane vero solo finché le condizioni di marcia attiva rimangono accettabili.

3. Strato di rilevamento scatti

Crea bit di scatto espliciti invece di nascondere le cause dello scatto all'interno di un unico rung di marcia.

4. Disciplina di ripristino e riavvio

Richiedi un ripristino manuale dove appropriato, quindi richiedi un nuovo comando di avvio. Il ripristino dovrebbe cancellare lo stato di scatto; non dovrebbe emettere silenziosamente il movimento.

OLLA Lab fornisce un ambiente di prova a rischio contenuto per attività troppo pericolose, troppo dirompenti o troppo costose da praticare casualmente su asset reali.

Come testare una risposta E-Stop in OLLA Lab

1. Costruisci un rung di avvio/arresto motore con un ramo di autoritenuta.
2. Aggiungi un bit monitorato `EStop_OK` in serie con il percorso di marcia.
3. Avvia la macchina simulata.
4. In Modalità Simulazione, usa il Pannello Variabili per forzare il bit di salute dell'E-Stop monitorato da vero a falso.
5. Conferma che la bobina di marcia cada, l'autoritenuta cada e lo stato dell'uscita si disattivi.
6. Ripristina `EStop_OK` a vero e conferma che la macchina rimanga ferma finché non viene emesso un nuovo comando di avvio.

Usa questa struttura:

1. Descrizione del sistema
2. Definizione operativa di "corretto"
3. Logica ladder e stato dell'apparecchiatura simulata
4. Il caso di guasto iniettato
5. La revisione apportata
6. Lezioni apprese

Il confine chiave è che la logica ladder PLC standard non è un sostituto per un'implementazione di arresto di emergenza classificata per la sicurezza.

- IEC 61131-3: Programmable controllers — Part 3 - IEC 61508 functional safety standard overview - NIST Smart Manufacturing Profile - IEEE Access: Digital twin enabling technologies (DOI)

Questo articolo è stato redatto dal team tecnico di OLLA Lab in collaborazione con esperti di automazione di Ampergon Vallis Lab, focalizzato sulla standardizzazione delle pratiche di programmazione PLC difensiva.

Il contenuto è stato verificato rispetto agli standard IEC 61508 e ISO 13850 per quanto riguarda la distinzione tra funzioni di sicurezza hardware e logica di controllo standard. Le metriche citate si basano su dati di simulazione aggregati da OLLA Lab.