Errori nel codice di scrittura del safety software

saecon pannello di comando macchina laser

Il safety software rappresenta quella componente fondamentale di sicurezza che c’è, ma non si vede.

Come si può quindi essere sicuri del corretto funzionamento?
Quando si avvia una nuova macchina o si installa un nuovo software di comando, solitamente le prove vengono eseguite sul normale ciclo di funzionamento, senza dare peso alle funzioni di sicurezza implementate. In caso di guasto o di condizioni anomale, però, le variabili di funzione potrebbero assumere valori non desiderati e causare movimenti inattesi della macchina.

Questo tipo di anomalie si possono tracciare solo attraverso una validazione del software di sicurezza in modo esauriente, che vada cioè a tracciare anche quelle condizioni di anomalia o di guasto che permettano di evidenziare errori di progettazione nelle funzioni di sicurezza della macchina.

Vediamo per esempio cosa è successo nello stabilimento di un nostro cliente.

Malfunzionamento del sistema antincendio

Siamo stati coinvolti da un nostro cliente nella valutazione di un nuovo sistema antincendio da installare su alcune fresatrici CNC. L’utilizzatore era chiamato a scegliere tra due sistemi di antiincendio: il nuovo modello plus o quello standard, entrambi proposti dalla stessa casa produttrice. Il nuovo, rispetto al suo predecessore, assicurava prestazioni più elevate e rispondenti ai rischi che il macchinario poteva presentare. Dopo la nostra analisi, che ha dimostrato l’effettiva necessità di installare il modello più evoluto, il cliente ha quindi acquistato il nuovo sistema e lo ha applicato a tutte le nuove attrezzature del suo parco macchine.

Dopo alcune settimane, durante una lavorazione è avvenuto l’imprevisto: all’interno della cabina lavoro si sono prodotte delle scintille che hanno generato delle fiamme con conseguente avvio del sistema antincendio.

saecon sicurezza macchine industriali

Il dispositivo si è regolarmente attivato nella cabina, contenendo la propagazione delle fiamme e bloccando l’apertura delle porte. Dopo 3 secondi, però, il sistema in cabina si è fermato e i micro di sicurezza installati sui ripari mobili sono rimasti bloccati, impedendo l’accesso all’interno dell’area di lavoro. I ripari sono stati sbloccati manualmente, agendo sui dispositivi di sicurezza.

Passata l’emergenza, all’interno dello stabilimento i responsabili hanno evidenziato un problema rilevante: perché il sistema antincendio sì è fermato in così poco tempo? In questo caso, è andata bene, il fuoco è stato spento. Il tempo di azionamento, però, non sarebbe stato sufficiente a interrompere un incendio più avviato, con ingenti rischi e danneggiamenti per tutto il resto del capannone.

Come la validazione software può evitare incidenti

In seguito a questo incidente il cliente ha avviato una verifica accurata insieme al fabbricante del dispositivo di sicurezza venendo a scoprire che c’era un errore di programmazione nel blocco di codice che governava la funzione di sicurezza che gestiva il sistema.
Un’anomalia che, come visto, sarebbe stata impossibile da scovare, se non simulando effettivamente un comportamento non corretto in sede di validazione del software.

Come effettuare la corretta validazione del software?

Gli errori di programmazione nei software sono difficili da trovare. Impossibile pensare di poter controllare le singole stringhe del codice in cui sono scritti. Limitarsi a controllare che il sistema risponda ai comandi in condizioni di normale utilizzo della macchina, però, non è sufficiente per garantire la conformità del sistema di sicurezza.

saecon logica input output

Come visto nel caso preso in esame, le criticità nascoste in un errore di scrittura del codice si manifestano solo in caso di guasto o di condizioni anomale, altrimenti sarebbero impossibili da individuare.

Per rendere la validazione esaustiva si rende quindi necessario effettuare analisi, verifica del software di sicurezza anche con prove in campo delle connessioni riportate sullo schema elettrico con i cablaggi realizzati nell’equipaggiamento elettrico. Per ogni funzione di sicurezza implementata si effettuano prove di guasto atte a simulare eventuali guasti direttamente sui cablaggi. Ad esempio, disconnessione canali, cortocircuito tra i canali, bypass, etc. In questo modo è possibile verificare la reazione del sistema (PLC) in presenza di guasti.

RICORDA CHE

La sicurezza della tua macchina inizia dalla fase di progettazione.

Affiancare l’ufficio tecnico già nei primi step consente di evitare interventi di adeguamento successivi.