RICERCA DI SISTEMA ELETTRICO
Agenzia Nazionale per le Nuove Tecnologie, l’Energia e lo Sviluppo Economico Sostenibile
RICERCA DI SISTEMA ELETTRICO
Progettazione consolle di concezione avanzata per l’impianto di irraggiamento Calliope
X. Xxxxxxx, X. Xxxxx, X. Xxxxxxxxx, X. Xxxxx
Report RdS/2011/224
PROGETTAZIONE CONSOLLE DI CONCEZIONE AVANZATA PER L’IMPIANTO DI IRRAGGIAMENTO CALLIOPE
X. Xxxxxxx, X. Xxxxx – ENEA, X. Xxxxxxxxx, X. Xxxxx – UNIROMA La Sapienza Settembre 2011
Report Ricerca di Sistema Elettrico
Accordo di Programma Ministero dello Sviluppo Economico – ENEA Area: Governo, Gestione e sviluppo del sistema elettrico nazionale
Progetto: Nuovo nucleare da fissione: collaborazioni internazionali e sviluppo competenze in materia nucleare
Responsabile Progetto: Xxxxxx Xxxxxx, ENEA
Sigla di identificazione Distrib. I Pag. di
Ei'Eh. Ricerca Sistema Elettrico
R I 1 96
Progettazione consolle di concezione avanzata per I'impianto di irraggiamento Calliope
Ente emittente ENEA, ClRTEN
PAGINA DI GUARDIA
Tipologia del documento: Collocazione contrattuale:
Rapporto Tecnico
Accordo di programma ENEA-MSE: tema di rice rca "Nuovo nucleare da fissione"
Argomenti trattati: Ingegneria nucleare
Ingegneria elettronica:Apparati e componenti elettronici
L'attivita prevede la progettazione di una consolle di concezione avanzata per la facility Calliope (C.R. XXXX Xxxxxxxx). Sono stati definiti i requisiti del sistema e del software di controllo con I'obiettivo di conseguire un livello di sicurezza SIL 3. E' stata altresl definita una architettura di riferimento per iI sistema di acquisizione e reporting che faciliti I' esecuzione e la documentazione dei test di irraggiamento, il tutto nella stretta osservanza del criterio generale che prevede la netta separazione fra Ie funzioni di controllo di sicurezza e di processo E' stato infine progettato e messo a punta un sistema di monitoraggio della movimentazione della sorgente di 60 Co deli'impianto Calliope mediante I'impiego di sensori ottici. Tale sistema, pur risultando completamente svincolato da qualsiasi componente dei sistemi di sicurezza e degli organi di movimentazione della sorgente dell'impianto (come richiesto da normativa), permette di definire in tempo reale ed in modo univoco i parametri necessari per la determinazione della dose assorbita dai provini sottoposti ad irraggiamento. In tal modo tutti i dati relativi aile diverse fasi del processo di irraggiamento saranno registrati e resi disponibili per I'emissione dei certificati di irraggiamento. II sistema realizzato affianca in modo indipendente i sistemi di sicurezza previsti neli'impianto, garantendo inoltre una precisa tracciabilita di ogni
evento anomalo.
Autori: X.Xxxxxxx, X.Xxxxx - ENEA UTIMAT
X.Xxxxxxxxx, X. Xxxxx - Universita degli Studi di Roma 'La Sapienza'
NOME
C
NOME
o
FIRMA NOME FIRMA
EMISSIONE NOME X. Xxxxxxx
FIRMA ). -
REV.
DESCRIZIONE
DATA
REDAZIONE CONVALIDA APPROVAZIONE
INDICE
1 IMPIANTO DI IRRAGGIAMENTO GAMMA CALLIOPE 6
1.1 Descrizione dell’impianto 6
1.2 Metodi dosimetrici impiegati presso l’impianto Calliope 9
2 QUALIFICAZIONE DI SISTEMI E COMPONENTI 11
3 PROGETTAZIONE CONSOLLE DI CONCEZIONE AVANZATA PER L’IMPIANTO DI IRRAGGIAMENTO CALLIOPE 16
3.5 Relazioni fra SCS e SAR 18
3.6 Revamping del Sistema di Controllo Sorgente 19
3.6.1 Premessa inerente la Sicurezza Sanitaria e Ambientale 19
3.6.4 Linee guida per il nuovo sviluppo 20
3.6.5 Analisi delle Procedure Operative Attuali 24
3.6.6 Sinottico della nuova consolle 26
3.6.7 Specifica per lo sviluppo del programma PLC 27
3.6.7.2 Segnali Analogici in ingresso 27
3.6.7.3 Segnali Digitali in Ingresso 28
3.6.7.4 Segnali Digitali virtuali o derivati 29
3.6.7.5 Segnali Digitali provenienti dalla HMI 30
3.6.7.6 Segnali Digitali in uscita 31
3.6.7.7 Variabili numeriche 32
3.6.7.11 Transizioni in condizioni operative normali 41
3.6.7.11.2 X00 (XXXX🡪CHANGE) 42
3.6.7.11.3 T34 (CHANGE🡪PRE) 42
3.6.7.11.8 T43 (PRE🡪CHANGE) 45
3.6.7.11.9 X00 (XXXXXX🡪IDLE) 45
3.6.7.12 Transizioni che implicano lo SCRAM 46
3.6.7.12.3 X00 (XXXX🡪SCRAM) 48
3.6.7.13 Transizioni verso lo stato MAINT 48
3.6.7.13.1 T89 (SCRAM🡪MAINT) 48
3.6.7.13.3 X00 (XXXX🡪MAINT) 49
3.6.7.13.4 X00 (XXXXXX🡪MAINT) 49
3.6.7.14.3 Macroblocchi di controllo di stato 52
3.6.7.14.4 Macroblocchi di controllo di Transizione 55
3.6.7.14.5 Crosscheck con secondo dispositivo 57
3.6.7.14.6 Gestione output (azionamento utenze) 59
3.6.7.14.7 Gestione output (HMI) 60
3.6.7.15.1 Touch-Screen – schermata di controllo 60
3.6.7.15.3 Schermata Logbook 62
3.6.7.16 Qualificazione del software 64
3.6.7.17 Qualificazione dell’hardware 66
3.6.7.17.1 Parallelo dei segnali di campo 67
3.6.7.17.2 Collegamento dell’argano 67
3.6.7.17.3 Azionamento ventilatori 68
3.7 Implementazione di un Sistema di Acquisizione e Reporting 69
3.7.2 Sistema di acquisizione 69
3.7.2.2 Evoluzione del sistema 70
3.7.3.1.1 Struttura interna dei dati 70
3.7.3.1.3 Memorizzazione dati 73
3.7.4.1 Database dei provini 75
3.7.4.2.1 Curva di Decadimento sorgente 76
3.7.4.2.2 Dose Rate Profile 76
3.7.4.3 Possibilità di implementazione nel sistema attuale 79
3.7.4.3.1 Acquisizione dati Analogici e Digitali dal Monarch 79
3.7.4.3.2 Estrazione del segnale di sorgente dalla consolle in logica cablata 80
4 SISTEMA DI MONITORAGGIO DELLA MOVIMENTAZIONE SORGENTE DELL’IMPIANTO CALLIOPE 80
4.2 Descrizione sistema di rivelazione ottica 81
4.3 Acquisizione dati con riferimento temporale 84
4.4 Download dati su database ed elaborazione dati con software su personal computer 85
A4 Blocco di verifica della sequenza S1/S2/S3 92
A7 Monitoraggio movimentazione sorgente 95
INTRODUZIONE
Nell’ambito dell’Accordo di Programma Ministero dello Sviluppo Economico (MSE) – ENEA sul tema della ricerca nucleare, il Tema di Ricerca 1.3 – Linea Progettuale 5 – Obiettivo C.2 prevede la “Progettazione di una consolle di concezione avanzata per l’impianto di irraggiamento gamma Calliope”, situato presso il C.R. XXXX Xxxxxxxx.
L’attività prevista si inserisce all’interno delle tematiche riguardanti la qualifica di componenti e sistemi che trovano applicazione in campo nucleare.
In particolare, è prevista la progettazione di una nuova consolle di comando dotata di una moderna architettura concettuale per l'impianto di irraggiamento gamma Calliope (energia media 1.25 MeV e attività massima consentita 100 kCi), unico in Italia e tra i pochi in Europa. L’impianto Calliope risponde a numerose richieste nazionali ed internazionali consentendo test di qualifica in termini di affidabilità e di resistenza a radiazione di sistemi e componenti. La facility Calliope è dotata di una consolle di comando di concezione tradizionale, che non consente operazioni di monitoraggio ed acquisizione a distanza; all’impianto in senso stretto sono infatti annessi un laboratorio di dosimetria e laboratori di caratterizzazione per test pre‐ e post‐irraggiamento che potrebbero acquisire informazioni dell’andamento del test di irraggiamento anche on‐line. Una nuova architettura concettuale della consolle può consentire pertanto lo sviluppo di nuove metodologie di test per la qualificazione di materiali e componenti, nel rispetto delle normative di riferimento nazionali ed internazionali.
Nel presente documento viene descritto in modo approfondito il lavoro svolto, frutto di una stretta collaborazione tra ENEA e CIRTEN.
Dopo una breve descrizione della facility Calliope ed una panoramica sui processi di qualificazione nucleare in cui l’impianto è fortemente impegnato, verranno evidenziati gli aspetti salienti relativi alla progettazione della nuova consolle (attività ENEA-CIRTEN). La seconda parte svolta da ENEA, è dedicata alla realizzazione e messa in opera di un sistema di monitoraggio della movimentazione della sorgente di 60Co mediante l’impiego di sensori ottici: questo sistema permette di definire in modo univoco ed in tempo reale i parametri necessari per la determinazione della dose assorbita dai provini sottoposti ad irraggiamento, anche in caso di irraggiamenti simultanei.
I due metodi proposti o realizzati per il monitoraggio della movimentazione della sorgente e la relativa acquisizione sono assolutamente indipendenti: ciò consente una ridondanza dell’informazione con una conseguente maggiore affidabilità in relazione agli aspetti di sicurezza e di preparazione dei certificati relativi ai test di irraggiamento.
1.1 Descrizione dell’impianto
L’impianto di irraggiamento Calliope, realizzato alla fine degli anni sessanta presso il Centro Ricerche ENEA, Casaccia, è largamente impegnato in attività di ricerca e di servizio non solo a livello italiano, ma anche europeo. Le principali applicazioni che richiedono l’impiego della radiazione γ riguardano [1]:
1) lo sviluppo nel settore dei materiali (polimeri, fibre ottiche, cristalli e amorfi) al fine di studiare l’effetto dell’irraggiamento sulle proprietà chimico-fisiche dei materiali analizzati;
2) l’irraggiamento di componenti dell’industria aerospaziale, nucleare ed elettronica in condizioni che simulano l’ambiente radioattivo ostile nel quale questi dispositivi si troveranno a lavorare ed in esperimenti di fisica delle alte energie;
3) lo sviluppo di nuovi processi nel settore agro-alimentare, dei beni culturali, medico- biologico e della salvaguardia ambientale.
La facility Calliope è un impianto a piscina, con stoccaggio a umido della sorgente, costituita da 48 barrette di 60Co [2]. Questo radioisotopo emette due fotoni γ emessi in coincidenza (1.17 e 1.33 MeV) con un’energia media di 1,25 MeV. Le barrette di 60Co sono inserite in opportuni moduli porta sorgenti, a loro volta posizionati in una rastrelliera di geometria cilindrica (diametro pari a circa 20 cm ed altezza circa 26 cm), la cui struttura è riportata in Figura 1. L’impianto è licenziato per un’attività massima di 3.7x1015 Bq (100kCi). In virtù delle dimensioni della cella di irraggiamento e della geometria della sorgente, è possibile effettuare irraggiamenti a valori di intensità di dose (dose rate) variabili, raggiungendo il valore massimo attuale di 2.5kGy/h in aria.
Fig. 1: Rastrelliera cilindrica portasorgenti del “Calliope”, schema di decadimento del 60Co ed “effetto Cherenkov”
L’impianto è dotato di una cella di irraggiamento di grandi dimensioni (7x6x3.9 metri) realizzata in cemento baritico (spessore fino a 180 cm), di una piscina (2x4.5x8 metri) e di due pozzetti ricavati sul fondo della piscina stessa, necessari per lo stoccaggio della sorgente in caso di emergenza; sul tetto è inoltre presente un’apertura che permette la movimentazione
dei materiali radioattivi in caso di ricarica della sorgente L’acqua della piscina, che costituisce lo schermo biologico verso l’esterno per la radiazione γ, viene parzialmente demineralizzata da un impianto, posto al di fuori della cella di irraggiamento, costituito da un sistema di filtri e colonne a scambio ionico.
Nelle Fig. 2 e 3 sono riportate la sezione laterale e la pianta dell’impianto Calliope. All’interno della cella è posizionato un sistema (PolygaTM, AMPERE S.p.A) per la misurazione dell’umidità dell’aria, dell’ozono e della temperatura, collegato ad un apposito registratore. Tale sistema di registrazione dati è particolarmente utile in caso di evento accidentale, in quanto permette di conoscere esattamente il momento in cui è avvenuto lo scream della sorgente (ritorno della rastrelliera in posizione di ricovero, sul fondo della piscina). Al momento, i dati possono essere trasferiti su PC solo tramite flash card: sarebbe però molto utile, anche ai fini dell’emissione dei certificati di irraggiamento, poter disporre direttamente di tutti i dati necesari alla determinazione della dose assorbita da ogni singolo provino in modo autonomo ed indipendente.
Per permettere l’irraggiamento contemporaneo di più campioni in posizioni di isodose, è stata progettata e realizzata una piattaforma d’acciaio, dotata di un foro circolare per il passaggio della sorgente, che è posizionata in corrispondenza della piscina. Tale piattaforma è inoltre dotata di dispositivi portadosimetri semicircolari che permettono di individuare correttamente le posizioni di isodose (Fig. 4): ciascun sistema è costituito da due archi paralleli in acciaio fissati ad un sostegno che ne permette lo spostamento verticale. In tal modo è possibile determinare sperimentalmente l’uniformità di dose secondo un asse verticale, informazione di notevole importanza nel caso di irraggiamento di oggetti di altezza non trascurabile.
Fig. 2: Vista laterale dell’impianto Calliope
Fig. 3: Pianta dell’impianto Calliope
Fig. 4: Piattaforma d’acciaio posta in corrispondenza della piscina e dettaglio di un arco portadosimetri.
Sorgente: | 60Co |
Geometria: | rastrelliera cilindrica; contenitori portasorgente posti su due livelli sulla superficie esterna della rastrelliera; |
Radiazione emessa: | 2 fotoni γ emessi in coincidenza; |
Energia dei fotoni emessi: | 1.173 e 1.332 MeV (energia media: 1.25 MeV); |
Massima attività permessa: | 3.7*1015 Bq; |
Massima intensità di dose: | 35.9 kGy/h. |
In Tabella 1 sono riassunte le principali caratteristiche dell’impianto descritto. Tabella 1: Principali caratteristiche dell’impianto CALLIOPE
1.2 Metodi dosimetrici impiegati presso l’impianto Calliope
La facility Calliope è dotata di laboratori dosimetrici in grado di determinare con accuratezza e precisione i valori di dose assorbita dai materiali sottoposti ad irraggiamento. Vengono utilizzati tre differenti metodi dosimetrici: il dosimetro assoluto Xxxxxx (per intervalli di dose compresi tra 20 e 400 Gy)ed i dosimetri relativi Red Perspex (5-40 kGy) e sistema EPR- alanina (fino a circa 500 kGy) [3]. Questi ultimi vengono periodicamente calibrati con un metodo di tipo assoluto (Xxxxxx). Ciascuno di questi metodi sfrutta la misura di un parametro chimico o fisico del materiale sottoposto ad irraggiamento: tale variazione è proporzionale alla dose assorbita dal materiale stesso. Con la costruzione di opportune curve di taratura sarà quindi possibile determinare i valori di dose ed intensità di dose in diverse posizioni di irraggiamento, tenendo conto della durata dell’irraggiamento stesso.
Al fine di valutare il valore del campo di radiazione nella cella di irraggiamento, è stata ottenuta una simulazione del profilo di intensità di dose utilizzando il codice di calcolo FLUKA [4]. Mediante tale codice, versione adattata ed estesa del codice EGS4, tenendo conto dei fenomeni elettromagnetici, della curva di decadimento del 60Co e della distribuzione dei materiali posizionati intorno alla sorgente,è possibile ottenere risultati con livelli di accuratezza estremamente elevati. Nella simulazione operata si è deciso di fornire la migliore approssimazione per valori di dose misurati sperimentalmente con sistemi dosimetrici tipo Xxxxxx, o “acqua-equivalenti”. In Fig.5 sono riportate in dettaglio le simulazioni del campo di radiazione nelle zone più vicine alla rastrelliera porta sorgente e nell’intera cella di irraggiamento.
(a) (b)
(c)
Fig.5: Vista dall’alto del profilo di intensità di dose nella zona più vicina alla sorgente (a) ed all’interno della cella di irraggiamento (b) nel piano (x-y) e (c) nel piano (x-z).
2 QUALIFICAZIONE DI SISTEMI E COMPONENTI
I processi di qualificazione in ambito nucleare rivestono una grande importanza in relazione alle tematiche legate alla sicurezza. L’affidabilità dei sistemi di sicurezza viene infatti garantita progettando gli impianti secondo diversi principi tra i quali l’adozione della qualificazione dei sistemi, dei componenti e delle strutture per le specifiche condizioni ambientali dovute ad eventi incidentali o a rischi esterni.
Il processo di qualificazione nucleare consiste nel sottoporre tutti i sistemi, i componenti e le strutture rilevanti ai fini della sicurezza nucleare ad un complesso sistema di prove sperimentali, per verificare che essi continuino a svolgere le funzioni per le quali sono stati progettati con la massima affidabilità, consentendo di mantenere sotto controllo i sistemi in qualunque situazione [5].
Il processo è regolato da norme internazionali che prevedono, essenzialmente, quattro metodi generali: prove di tipo, esperienza operativa, analisi, qualificazione combinata.
Il metodo con il minor margine di incertezza e che, per questo, è quello adottato nella grande maggioranza dei casi è il ricorso alle prove di tipo: questo implica la necessità di condurre attività sperimentali di misura e prove in laboratori adeguati.
Una tipica sequenza delle prove di tipo richieste per la qualificazione nucleare prevede tra l’altro lo studio del danneggiamento subito da componenti e sistemi quando vengono sottoposti a processi di invecchiamento accelerato. Tra gli agenti fisici, sono indicati dalle varie normative la temperatura, l’umidità, le vibrazioni, l’irraggiamento gamma e beta e le radiazioni elettromagnetiche.
Presso il Centro Ricerche ENEA della Casaccia (Roma) sono concentrati, in un unico sito, un complesso di importanti laboratori e infrastrutture sperimentali di prova (tra i quali l’impianto Calliope) in cui è possibile condurre l’intero processo di qualificazione nucleare di componenti, dispositivi e sistemi inerenti la sicurezza nucleare.
La possibilità di poter eseguire contestualmente tutte le prove di qualificazione previste dalle norme di sicurezza nucleare costituisce un’interessante opportunità per le industrie italiane che operano nel settore dell’energia nucleare e che potrebbe rilanciarle, con investimenti contenuti, anche nel contesto internazionale: le industrie italiane che operano nell’ambito nucleare sono infatti capaci di contribuire in grande misura al complesso di forniture di componenti, dispositivi e sistemi di una centrale elettrica nucleare, purché siano in grado di qualificare i propri prodotti secondo le normative vigenti.
Il mantenimento e il costante aggiornamento e approfondimento delle competenze consentono inoltre all’ENEA di mettere a disposizione dell’industria nazionale tutto il suo patrimonio di professionalità e conoscenze, di avanzati e complessi laboratori ed infrastrutture sperimentali localizzati nei diversi Centri di Ricerca, per attività di studi, misure e prove multidisciplinari, a supporto del processo di qualificazione nucleare.
Grazie alle molteplici competenze tecnico-scientifiche ed ai laboratori dedicati, è possibile inoltre eseguire misure e prove a supporto dell’attività di qualificazione nucleare, dallo stadio di fattibilità, alla fase di prequalifica fino al supporto alle verifiche funzionali durante il processo di qualifica vero e proprio.
La tecnologia legata all’energia di origine nucleare, per la sua complessità e per gli stretti vincoli di sicurezza, costituisce da sempre un potente volano per l’innovazione tecnologica che può senz’altro, contribuire ad innalzare il livello di competitività scientifica ed industriale anche in ambito internazionale.
Proprio in tale contesto si inseriscono le attività di qualifica per il nucleare da fissione, da fusione, per la Fisica delle Alte Energie e per le applicazioni spaziali condotte presso l’impianto Calliope: la facility è infatti dotata non solo di un laboratorio di caratterizzazione pre- e post irraggiamento, ma anche di un laboratorio dosimetrico in grado di permettere la determinazione diretta della dose assorbita dai materiali irraggiati, necessaria ai fini dell’emissione di certificazione dosimetrica.
Proprio per le sue caratteristiche, l’impianto Calliope risponde a numerose richieste nazionali ed internazionali consentendo test di affidabilità e di resistenza a radiazione di sistemi e componenti. Attualmente però la consolle di comando di concezione tradizionale di cui è dotato l’impianto non consente operazioni di monitoraggio ed acquisizione a distanza.
La progettazione di una nuova consolle di concezione più avanzata (oggetto della presente attività) potrebbe pertanto consentire, mediante l’acquisizione delle informazioni sull’andamento di test di irraggiamento anche on‐line, lo sviluppo di nuove metodologie di test per la qualificazione di materiali e componenti, nel rispetto delle normative di riferimento nazionali ed internazionali.
A livello operativo, di grande interesse ed utilità è la possibilità di acquisizione automatica di ogni dato riferito a ciascun campione sottoposto ad irraggiamento e la relativa emissione, anch’essa informatizzata, del relativo certificato dosimetrico di irraggiamento (fac-simile riportato in Fig. 6a, 6b e 6c).
In tal modo, tutti i dati richiesti ai fini dell’emissione dei certificati dosimetrici e di irraggiamento verrebbero in tempo reale direttamente forniti su supporto elettronico, minimizzando tra l’altro la possibilità di errore da parte dell’operatore ed assicurando una elevata affidabilità.
Come si può osservare, all’interno del certificato dosimetrico e di irraggiamento vengono indicati in modo preciso il tempo e la posizione di irraggiamento, i valori dei parametri ambientali, la tipologia di dosimetro utilizzato per la determinazione dell’intensità di dose e la data in cui essa è stata effettuata ed altri dati di interesse.
Fig. 6a: Fac-simile di certificato di irraggiamento emesso dall’impianto di irraggiamento Calliope
Fig. 6b: Fac-simile di certificato di irraggiamento emesso dall’impianto di irraggiamento Calliope
Fig. 6c: Fac-simile di certificato dosimetrico emesso dall’impianto di irraggiamento Calliope
3 PROGETTAZIONE CONSOLLE DI CONCEZIONE AVANZATA PER L’IMPIANTO DI IRRAGGIAMENTO CALLIOPE
Rif. 3 ENEA, TDA-86/034D - Allegato 1, Lista di Controllo Giornaliero dell’Impianto Rif. 4 ENEA, TDI-87/050E, Consolle di Comando e Controllo
Rif. 6 IEC 61508-1, Functional safety of electrical/electronic/programmable electronic safety-related systems Rif. 7 MONARCH INSTRUMENT, Data-Chart 2000, Instruction manual
sigla | Descrizione |
CA | Corrente Alternata |
CC | Corrente Continua |
HMI | Human-Machine Interface |
NC | Normalmente Chiuso (riferito a contatti elettrici) |
NO | Normalmente aperto (Open, riferito a contatti elettrici) |
PAS | Process Automation System |
PICS | Process Information Control System |
SAR | Sistema di Acquisizione e Reporting |
SAS | Safety Automation System |
SCADA | Supervisory Control And Data Acquisition |
SCS | Sistema Controllo Sorgente |
SICS | Safety Information Control System |
SIL | Safety Integrity Level (vedi Rif. 6) |
E’ stata ipotizzata una consolle di concezione avanza per la facility Calliope. Sono stati definiti i requisiti del sistema e del software di controllo con l’obiettivo di conseguire un livello di sicurezza SIL 3. E’ stata altresì definita una architettura di riferimento per il sistema di acquisizione e reporting che faciliti l’esecuzione e la documentazione dei test di
irraggiamento, il tutto nella stretta osservanza del criterio generale che prevede la netta separazione fra le funzioni di controllo di sicurezza e di processo.
Nell’ambito dell’Accordo di Programma MSE-ENEA sulla Ricerca di Sistema Elettrico (Piano Annuale di Realizzazione 2008-2009, Progetto 1.3 “Nuovo Nucleare da Fissione”) è inserito lo “ Sviluppo procedure e messa a punto di tecnologie innovative per test e componenti” (attività LP5-C). Il secondo task di tale attività (LP5-C.2) è inerente alla “Progettazione consolle di concezione avanzata per l’impianto di irraggiamento Calliope”. L’impianto di irraggiamento Calliope (già diffusamente descritto) impiega una rastrelliera contenente la sorgente gamma. Quando la sorgente è a riposo, la rastrelliera è posta sul fondo della piscina. Per poter irraggiare i campioni in prova, la sorgente viene sollevata da un argano fino alla quota del tavolo su cui sono posti i campioni, e che si trova al di sopra del pelo libero della piscina. Inoltre, l’accesso al bunker (o cella di irraggiamento) è rigorosamente inibito durante il funzionamento della facility (sorgente alta), e per un certo tempo immediatamente successivo alla condizione di “fine irraggiamento” (sorgente riportata sul fondo della piscina). L’innalzamento/abbassamento (comando manuale) della sorgente, e l’interdizione/controllo (automatico) degli accessi al bunker sono gestiti da una apposita consolle in cui è implementata la logica di controllo e l’interfaccia operatore. La consolle attuale impiega una logica “cablata” (cioè a relé), di estrema affidabilità, ma con le prevedibili difficoltà di manutenzione legate all’età (risale agli anni ’70), e alla mancanza di moderne funzioni di monitoraggio ed acquisizione a distanza. Attigui all’impianto vi sono il laboratorio di dosimetria e i laboratori di caratterizzazione per test di pre e post- irraggiamento. Entrambi potrebbero avvantaggiarsi dalla disponibilità di informazioni sull’andamento in tempo reale del test di irraggiamento. La richiesta di una nuova architettura concettuale della consolle nasce quindi dalla necessità di operare un revamping del sistema di controllo, e di dare un impulso allo sviluppo di nuove metodologie di test per la qualificazione di materiali e componenti, che scaturisce dalla disponibilità di informazioni in tempo reale.
Alla luce di quanto enunciato, i temi trattati saranno i seguenti:
1. Revamping del Sistema di Controllo Sorgente (SCS, cap. 3.6)
2. Implementazione di un Sistema di Acquisizione e Reporting (SAR, cap. 3.7)
Il tema delle interrelazioni fra i due sistemi è trattato nel cap. 3.5, cioè prima ancora della loro descrizione, perché sancisce un principio fondamentale che sta alla base sia della revisione del progetto dello SCS attuale, che dello sviluppo (praticamente ex-novo) del SAR. Verrà redatto un System Requirement Document (SRD), cioè un documento che:
• definisca le motivazioni per la progettazione di un nuovo sistema,
• definisca le linea guida del progetto
• elenchi i requisiti tecnici e normativi
• illustri le soluzioni possibili
Il progetto (in senso stretto) è la risposta ad una specifica tecnica che nasce proprio da una successiva elaborazione dello SRD.
Il presente documento dovrebbe trattare esclusivamente i temi inerenti la consolle, il che escluderebbe riferimenti al resto dell’impianto (es. rivelatori gamma e ozono, livello acqua piscina,termostato, rivelatore di sisma, pulsanti, catenelle, ecc.). Il conseguimento o il mantenimento di un determinato livello di sicurezza è tuttavia un concetto valido a livello di sistema (di cui la consolle è un sottosistema), e nell’esposizione si tenterà di tener conto di tale circostanza. In particolare si evidenzieranno le situazioni in cui è necessario l’adeguamento di un determinato componente o sottosistema, pena il declassamento del livello di sicurezza della consolle stessa.
I due sottosistemi sono quasi completamente indipendenti perché il ruolo dello SCS, che è quello di movimentare la sorgente nel rigoroso rispetto degli obbiettivi di sicurezza sanitaria e ambientale, non ammette interferenze o subordinazioni ad altre esigenze, pur importanti, come quelle di acquisire, o comunque gestire, i dati di prova. In tal senso (e non si può comunque parlare di deroga alla regola suddetta), l’unica connessione possibile è un canale di comunicazione unidirezionale (SCS 🡪 SAR), sui cui lo SCS “pone” informazioni sullo stato del sistema. Il concetto è graficamente esposto in Fig. 7.
Safety Relevant Channel/Device Non Safety Relevant Channel/Device
NO!
Attuazione
Dati
Dati
Dati
SCS
Sistemi Cella
SAR
Attuazione
Fig. 7: Connessione SCS – SAR
Sempre con riferimento a Fig. 7, va sottolineata la distinzione fra canali 1 “safety relevant” e “non safety relevant”, nonché il ruolo autonomo e autoconsistente dello SCS. La natura e la composizione del canale unidirezionale fra SCR e SAR è illustrata nella sezione 3.7.3.1.2.
3.6 Revamping del Sistema di Controllo Sorgente
3.6.1 Premessa inerente la Sicurezza Sanitaria e Ambientale
L’eventualità di un esposizione di un operatore alla sorgente ad alta intensità, come quella di Xxxxxxxx, avrebbe conseguenze gravissime, anche fatali. Il requisito essenziale per l’operatività dell’impianto è dunque il rispetto degli obiettivi di sicurezza sanitaria e ambientale. Ogni considerazione legata al progetto, e alle modalità di esercizio e manutenzione dell’impianto devono essere informate a tale scopo.
Lo SCS garantisce il rispetto degli obiettivi di sicurezza mentre svolge le sue due funzioni primarie che sono:
• sovrintendere alla movimentazione della sorgente
• gestire gli accessi alla camera di irraggiamento
Tali funzioni sono strettamente interconnesse, poiché l’abilitazione alla movimentazione della sorgente è subordinata all’accertamento della condizione di interdizione di accesso alla camera di irraggiamento. La violazione di tale condizione, l’insorgenza di condizioni ambientali avverse (es. sisma, incendio), l’intervento volontario di un operatore (es. azionamento di un pulsante di emergenza), provocano l’intervento dello SCS che inibisce la possibilità di innalzamento della sorgente, oppure (se questa è parzialmente o totalmente sollevata) ne provoca l’immediata discesa sul fondo della piscina.
Le motivazioni che spingono al revamping dello SCS sono le seguenti:
• La logica del sistema è “cablata”, cioè realizzata collegando tra loro più di 50 relé, il che implica una notevole complessità circuitale, pur nella semplicità della logica implementata, con prevedibili conseguenze sui tempi di manutenzione (specialmente nell’eventualità di dover operare un “debugging”).
• L’interfaccia operatore (HMI, Human Machine Interface) è datata, non adeguata ai moderni standard ergonomici, è criticabile dal punto di vista della chiarezza della
1 astrazione per indicare linee elettriche per il trasferimento di gruppi di segnali
informazione mostrata, non fornisce indicazioni su situazioni anomale passate (comunemente indicato come “Storico Allarmi”).
• Data l’età dell’impianto (più di 30 anni) vi è la ragionevole possibilità che certi componenti (es. relé, lampadine) possano non essere più disponibili sul mercato (“Phase-out” della componentistica).
• Un eventuale richiesta di adeguamento del sistema a seguito di cambiamenti normativi sarebbe di difficile attuazione.
• L’attuale implementazione non garantisce un livello di sicurezza comparabile a quello di un moderno sistema di comando e protezione, sul tipo di quelli applicati, ad esempio, ai centri di lavorazione meccanica. In particolare sono assenti alcune ridondanze (es. teleruttori azionamento motore argano, pulsanti e catenelle di emergenza) che costituiscono condizione necessaria per il raggiungimento di un adeguato SIL.
3.6.4 Linee guida per il nuovo sviluppo
Il problema del revamping dello SCS può essere risolto nei seguenti modi:
1. ricorrere ancora alla logica cablata, ma impiegando componenti moderni, e implementando le nuove funzioni richieste;
2. ricorrere ad uno (o più) PLC, cioè ad un microprocessore industriale, che implementi vecchie e nuove funzioni a livello software;
3. ricorrere ad un sistema ibrido.
Il novero delle ipotesi non contempla l’uso un PC (naturalmente “industriale”, sia dal punto di vista hardware, che del sistema operativo) per le seguenti ragioni:
• La disponibilità (affidabilità) di un PC è inferiore a quella di un PLC
• l’uso del PC è giustificato, ad esempio, nei controlli coordinati assi delle macchine utensili, o nei controlli di impianti petrolchimici, o anche negli impianti nucleari, cioè in quelle situazioni dove è richiesta una complicata elaborazione in tempo reale2 dei dati di processo.
• La necessaria separazione fra i ruoli di gestione processo e gestione sicurezza (trattata nel cap. 3.5) imporrebbe di circoscrivere le funzioni del PC alle sole funzioni
2 I tempi di intervento richiesti per Xxxxxxxx sono dell’ordine del secondo, cioè 2÷6 ordini grandezza più lunghi di quelli che caratterizzano gli esempi citati.
di sicurezza (vedi anche Fig. 11), per cui, se svolge i compiti dello SCS, non può svolgere anche quelli del SAR.
Tornando alle ipotesi ammissibili, la prima soluzione ha il vantaggio di poter sfruttare schemi ed esperienze già disponibili, e quindi di essere più facilmente qualificabile presso l’Autorità di Sicurezza. Ha però lo svantaggio di essere rigida, e, alla lunga, ripropone gli inconvenienti già evidenziati nel paragrafo 3.6.3. Un esempio di sistema di controllo a logica cablata è riportato in Fig. 8.
Fig. 8: Sistema di controllo a banchi di relé
Trasformatore di alimentazione
Espansioni del PLC
PLC
La seconda soluzione sembrerebbe decisamente più promettente in termini di flessibilità, semplificazione, compattezza. Un esempio di sistema a PLC è riportato in Fig.9, ove, oltre al PLC, sono visibili anche un numero di componenti accessori (es. teleruttori).
teleruttori
Collegamenti al “campo”
Fig.9: quadro elettrico con PLC
Va inoltre sottolineato che un PLC può gestire HMI (interfacce operatore) di tipo evoluto (SCADA), con grafica di elevato livello (vedi Fig.10), magari organizzate su più pagine, in cui è possibile aver riprodotto lo schema del sistema controllato, le variabili di campo (es. livelli di
radiazioni, concentrazione ozono, temperature, livello innalzamento sorgente, ecc.), situazione attuale e “storico” allarmi.
Il principale svantaggio è la difficoltà nella qualificazione del software (vedi 3.6.7.16). In buona sostanza, dimostrare che un programma di controllo fa esattamente quello che ci aspetta, e che non può avere comportamenti anomali legati a errori di programmazione può essere compito arduo. Per tale motivo è stata presa in considerazione anche una terza soluzione che prevede l’impiego di PLC e di logiche cablate (o riconducibili a tale concetto). Lo schema di principio è illustrato in Fig. 11.
PROCESS
(PAS)
SAFETY
(SAS)
(Camp
o)
Logica cablata
PLC
HMI
Fig. 11: Sistema di controllo ibrido
In pratica, viene implementata una rigida separazione dei ruoli (processo e sicurezza), limitando il ricorso alla logica cablata al controllo dei processi SAS (safety relevant). Il vantaggio risiede nella possibilità di sfruttare, per la parte SAS, speciali componenti (solo
apparentemente assimilabili a relé) che sono stati qualificati dal costruttore per specifici impieghi, piuttosto comuni nel campo della automazione industriale. Un esempio è costituito dai sistemi di sicurezza impiegati nella protezione degli operatori nei già citati centri di lavorazione meccanica. Scopo di tali sistemi è “tagliare” l’alimentazione elettrica alla macchina nel momento in cui viene violata una barriera di sicurezza (es. apertura di una porta di protezione). Un esempio di impiego3 è riportato in Fig. 12.
• ridondanza degli interruttori di posizionamento;
• ridondanza dei teleruttori;
• collegamenti a doppio circuito (non visibile in Figura 13, ma presente) con pulsante di emergenza e interruttori di posizionamento.
• Modulo di “Analisi” 3RK3 qualificato dal costruttore (Siemens nella fattispecie).
Il “costo” dell’implementazione di tale circuito è relativamente modesto. Una volta realizzati i pochi cablaggi secondo normativa, raggiungere la qualifica di sicurezza richiesta è praticamente automatico. Si riporta anche un esempio di raggiungimento di livello SIL-4, relativo all’implementazione di un pulsante di arresto di emergenza.
3 Tratto da “Esempio di funzionamento CDE-FE-I-048-V10-IT” del sistema di sicurezza modulare 3RK3 della Siemens
PLC (PAS)
“ANALISI” (SAS)
Fig. 13: Esempio di controllo di sicurezza in classe SIL-4
In questo esempio4 il controllo PAS (di processo) è esercitato da un PLC, ma il controllo SAS, cioè l’accertamento della persistenza delle condizioni di sicurezza per l’esercizio (pulsante di emergenza non premuto) è completamente demandato al modulo di “Analisi”, qualificato dal costruttore (Omron in questo caso). Il grosso svantaggio dell’adozione del sistema ibrido risiede nel fatto che le funzioni “precotte” (i moduli di “Analisi”) disponibili sul mercato rispondono a esigenze comuni nel mondo industriale, ma solo parzialmente a quelle dell’impianto Calliope. Due sono le eccezioni che vanno sollevate:
• con riferimento alla situazione di “sorgente alta”, nei due esempi mostrati il modulo di analisi taglierebbe l’alimentazione del motore, mentre, in Calliope, è necessario invertirne la rotazione per far scendere la sorgente sul fondo della piscina;
• il controllo accessi e dei pulsanti di sicurezza è solo una delle esigenze di Calliope, per cui l’implementazione delle altre logiche (es. selezione ventilatore, ritardo spegnimento ventilatore, controllo sequenza S1/2/3, ecc.) che ricadono nel gruppo delle funzioni SAS, richiederebbero comunque il ricorso ad un PLC, che dovrebbe comunque essere sottoposto al vaglio dell’Autorità di Sicurezza.
3.6.5 Analisi delle Procedure Operative Attuali
Nel presente paragrafo verranno elencate le procedure operative che sono in relazione con le logiche dello SCS. L’intento è quello di identificare alcuni requisiti del progetto della
4 Tratto da “Connection Circuit Examples” della Omron
nuova consolle. Per la descrizione estesa delle procedure si rimanda a Rif. 2, cap. 3.2, 3.3,
3.4. L’elenco delle procedure operative ordinarie è riportato in Tabella 2.
Tipo | Procedura | |
Operazioni preliminari di controllo | Tensione alla consolle | 2.1.c |
Prova lampade | 2.1.d | |
Posizione sorgente | 2.1.e | |
Livello acqua | 2.1.f | |
Stato spie (sorgente bassa) | 2.1.g | |
Stato spie (sorgente alta) | 2.1.g2 | |
Accesso in cella | Estrazione chiave “A” | 2.2.a |
Abilitazione | Controllo catenelle, passerella, pedana | 2.3.a |
Sequenza pulsanti | 2.3.b | |
Innalzamento sorgente, pos. Finale | Inserimento chiave “A” | 2.4.1.b |
Pulsante “Ripristino” | 2.4.1.c | |
Pulsante “Avv. Inizio Irradiazione” | 2.4.1.d | |
Pulsante “Salita” | 2.4.1.e | |
Sequenza spie | 2.4.1.f | |
Spia “Posizione Intermedia” | 2.4.1.g | |
Seconda soglia radiazioni | 2.4.1.h | |
Innalzamento sorgente, pos. Intermedia | Pulsante “Arresto Intermedio” | 2.4.2.b1 |
Rientro sorgente in piscina | Pulsante “Discesa” | 2.5.a |
Verifica Spie | 2.5.c | |
Esercizio fuori orario | Sistema Centralizzato allarmi | 2.6.b |
Esercizio monorotaia | (Procedure Esercizio monorotaia) | 2.7 |
Collaudo e Manutenzione | (Procedure Collaudo e Manutenzione) | 2.8 |
Tabella 2 – Elenco delle procedure operative ordinarie correlate allo SCS
Dall’analisi delle Procedure operative straordinarie e delle Procedure operative eccezionali non emerge alcuna connessione con lo SCS. Valgono le seguenti considerazioni:
• Vengono spesso richieste verifiche (è accesa la spia ?) che possono essere automaticamente effettuate da un sistema automatico.
• Dedurre lo stato del sistema dall’attuale complesso di spie non è immediato
• Alcune procedure (quelle relative alla monorotaia, o alla fermata intermedia della piattaforma) non sono più applicabili.
• Non vi è un controllo attivo del sistema nelle fasi di Collaudo e Manutenzione
Come dato generale, emerge l’esigenza di una rivisitazione radicale del criterio di funzionamento della console attuale, che coinvolge (purtroppo pesantemente) anche l’hardware collegato.
3.6.6 Sinottico della nuova consolle
L’idea della nuova consolle è basata sui seguenti criteri (Figura 14):
• dall’analisi della situazione esistente è emerso che può essere operata una drastica riduzione dei pulsanti, in quanto sostituibili dai pulsanti virtuali di una HMI
• Lo stesso azionamento della sorgente, essendo opportunamente interbloccato da programma, può essere effettuato via HMI, oppure da una ordinaria pulsantiera di tipo industriale (possibilità di osservare il sollevamento/abbassamento sorgente dal vetro schermato)
Sistema sblocco chiave “A”
Time
2012.05.22 09:10:02
2012.05.22 09:10:03
2012.05.22 09:10:04
2012.05.22 09:11:12
2012.05.22 09:11:13
2012.05.22 11:45:23
2012.05.22 11:47:55
2012.05.22 11:56:01
2012.05.22 11:57:23
2012.05.22 11:58:13
2012.05.22 12:00:02
2012.05.22 12:00:03
2012.05.22 12:01:45
2012.05.22 12:01:46
2012.05.22 12:02:55
2012.05.22 12:02:56
2012.05.22 22:58:57
2012.05.22 22:58:58
2012.05.22 22:59:15
2012.05.22 22:59:16
2012.05.22 22:59:17
2012.05.22 22:59:18
2012.05.22 22:59:19
Event Descr
S01 status = OFF
T12 OFF >> XXXX
X00 System is ON (IDLE)
T23 IDLE >> CHANGE
S03 status = CHANGE
ISN1 porta blindata aperta ISS1 passerella fuori posto ISS1 passerella a posto T34 CHANGE >> PRE
IPA procedura S1/S2/S3 eseguita ISN1 porta blindata chiusa
S04 status = PRE
T45 PRE >> UP
S05 status = UP
T56 UP >> IRR
S06 status = XXX XXX0 xxxxxxx xxxxxxxx X00 XXX >> SCRAM
S08 status = SCRAM
T89 SCRAM >> MAINT
S09 status = MAINT MAINT >> OFF
status = OFF
ALLARME
HMI
(Touch Screen)
Tacito
Prova spie
Sirena di avviso
Interruttore di emergenza
Spia di allarme
• Il numero di spie può essere ridotto al minimo essenziale, in quanto gli stati del sistema sono presentati (e con grande dettaglio) dalla HMI
Pulsantiera ausiliaria per movimentazione sorgente
Fig. 14: Sinottico della nuova consolle
Le ragioni della scelta (che appare radicale, ma che non lo è stata “a priori”) sono in realtà maturate man mano che il progetto concettuale veniva sviluppato. Le argomentazioni sono affidate alle sezioni seguenti.
3.6.7 Specifica per lo sviluppo del programma PLC
Nelle sezioni seguenti si delineeranno i principi per lo sviluppo del programma da “caricare” sul PLC. Anticipiamo sin da ora che, per garantire un elevato grado di affidabilità, i PLC dovranno essere due, ma identici, e con lo stesso programma implementato. Ai fini della discussione è dunque sufficiente considerare le funzionalità di uno solo dei due, rimandando alle sezioni 3.6.7.14.5 e 3.6.7.17 l’analisi delle loro interrelazioni.
Il programma di controllo sarà basato su una logica a “stati”, che si basa sui seguenti concetti:
• definizione dei possibili stati che il sistema può assumere;
• definizione degli eventi che provocano la transizione da stato a stato.
Tale logica dovrebbe consentire di isolare le situazioni anomale dovute a malfunzionamento del sistema (includendo i sensori), e ad eventuali errori di programmazione.
3.6.7.2 Segnali Analogici in ingresso
L’attuale configurazione della consolle, principalmente indirizzata a funzioni SAS, sfrutta unicamente i segnali digitali, e non prevede l’impiego di segnali analogici in ingresso. Nell’ottica di ampliare le capacità della console, introducendo funzionalità di tipo informativo, è auspicabile l’introduzione degli ingressi analogici elencati in Tabella 3:
Nome | Descrizione |
IAHS | Altezza sorgente |
IAO3 | Concentrazione di Ozono |
IAGM | Livello di radiazione in cella |
IAHW | Livello Acqua |
IAT | Temperatura in cella |
Tabella 3 – Elenco degli input analogici
Va ribadito che l’uso di tali segnali è legato unicamente a scopi PICS (Process Information Control System), cioè alla rappresentazione dello stato del sistema, e non ai controlli di sicurezza.
3.6.7.3 Segnali Digitali in Ingresso
I segnali in ingresso necessari al controllo della sorgente sono stati raggruppati secondo le funzioni descritte in Tabella 4. La colonna “Sistema” indica se si tratta di segnali rilevanti ai fini SAS (Safety Automation System), o PAS (Process Automation System).
Tipo | Funzione | Sistema |
IPC | Pulsanti Console | SAS |
IPA | Pulsanti (sequenza di) Abilitazione | SAS |
IPS | Pulsanti (movimentazione) Sorgente | PAS |
ISS | Segnali (di posizione) Sorgente | SAS |
IEP | Emergenza operatori | SAS |
ISN | Segnali di intrusione | SAS |
ISA | Segnali Ambientali | SAS |
ISR | Segnali Radiazione e Ozono | SAS |
Descrizione | ST | IPC | IPA | IPS | ISS | IEP | ISN | ISA | ISR |
Interruttore azionato da chiave A | NA | 1 | |||||||
Prova Lampade | NA | 2 | |||||||
Avvertimento inizio irradiazione | NA | 3 | |||||||
Tacitazione Allarme | NA | 4 | |||||||
Sequenza Abilitazione, pulsante 1 | NA | 1 | |||||||
Sequenza Abilitazione, pulsante 2 | NA | 2 | |||||||
Sequenza Abilitazione, pulsante 3 | NA | 3 | |||||||
Discesa Piattaforma | NA | 1 | |||||||
Arresto Intermedio | NA | 3 | |||||||
Salita Piattaforma | NA | 4 | |||||||
Passerella in posizione di ricovero | NC | 1 | |||||||
Piattaforma, Bassa | NC | 2 | |||||||
Piattaforma, Intermedia | NA | 3 | |||||||
Piattaforma, Alta | NA | 4 | |||||||
Allarme da Pulsanti di Emergenza | NC | 1 | |||||||
Allarme da Catenelle di Emergenza | NC | 2 | |||||||
Allarme da Porta Blindata | NC | 1 | |||||||
Allarme da Barriera Fotocellule | NC | 2 | |||||||
Allarme da Pedana | NC | 3 | |||||||
Allarme da Botola | NC | 4 | |||||||
Allarme da Porta Rampa e Porta Terrazza | NC | 5 | |||||||
Presenza Alimentazione | NC | 1 | |||||||
Allarme da Encoder5 1 | NC | 2 | |||||||
Allarme da Encoder 2 | 3 |
Tabella 4 – Categorie di Segnali di Ingresso Il loro elenco è riportato in Tabella 5.
5 L’encoder sostituisce la dinamo tachimetrico come strumento di verifica dell’effettiva rotazione delle pale dei ventilatori
Allarme Livello Acqua in piscina | NC | 4 | |
Allarme Sismico | NC | 5 | |
Allarme Incendio e Termostato | NC | 6 | |
Raggiunta 1a soglia radiazioni | NA | 6 | |
Raggiunta 2a soglia radiazioni | NA | 7 | |
Raggiunta 1a soglia ozono | NC | 8 | |
Raggiunta 2a soglia ozono | NC | 9 |
Tabella 5 – Xxxxxx Xxxxxxx in Ingresso
Per identificare un segnale si farà riferimento alla categoria e alla numerazione locale all’interno della stessa, per cui, ad esempio, il segnale proveniente dal rivelatore sismico sarà indicato come ISA5, mentre il segnale proveniente dalla botola sarà indicato come ISN4. Lo stato elettrico (in condizione normale) degli switch collegati ai vari ingressi è indicato nella colonna ST. Si noti che certi segnali sono a livello elettrico 1 (tensione presente) se la relativa condizione NON si verifica, mentre per altri è il contrario. Le ragioni sono note e legate a criteri di sicurezza intrinseca, ma generano confusione a livello di logica del sistema. In questi casi è norma che all’acquisizione del segnale fisico segua una inversione logica (da impostare una tantum in fase di configurazione del sistema) che riporti le cose a posto. Per esempio, mentre, a livello elettrico, il segnale di Allarme Porta Blindata restituisce 1 (tensione presente) se la porta è chiusa, si può fare in modo che, a livello logico, avvenga esattamente il contrario, cioè che la descrizione degli eventi avvenga in modo più conforme al modo naturale di ragionare (non-evento:valore 0; evento:valore 1). Il modo di trattare i cosiddetti “segnali invertenti” è riportato in 3.6.7.14.1.
3.6.7.4 Segnali Digitali virtuali o derivati
Per semplificare la descrizione (e l’implementazione della logica) si è inoltre ritenuto opportuno introdurre dei “segnali virtuali” che derivano dalla elaborazione elementare di gruppi di segnali fisici (quelli di 5), o di altri segnali virtuali. Il loro elenco è riportato in Tabella 6.
nome | Descrizione | Nota |
IEPV | OR6 (IEP1, IEP2) | Allarme operatore |
ISSV0 | AND7(ISS2, NOT8(ISS3), NOT(ISS4)) | Sorgente bassa |
ISAV1 | NOR(ISA4, ISA5, ISA6) | Nessun evento ambientale anomalo (basso livello acqua, sisma, fuoco) |
ISAV0 | NOR9(ISAV1, ISR6,ISR7, ISR8, ISR9) | Condizioni ambientali |
6 OR(a,b,c,..) = 1, se almeno uno degli input è pari a 1
7 AND(a,b,c,..) = 1, se tutti gli input sono pari a 1
8 NOT(a) è la negazione di “a” (sarà 1, se a=0, e viceversa)
9 NOR(a,b,c,..) = NOT(OR(a,b,c,..))
compatibili con accesso in cella | ||
ISAV2 | OR (ISA2, ISA3) | Ventilazione funzionante |
ISNV1 | OR (ISN1, ISN2, ISN3) | Intrusione interna |
ISNV2 | OR (ISN4, ISN5) | Intrusione esterna (da botola o scala) |
ISNV | OR (ISNV1, ISNV2) | Intrusione (esterna o interna) |
IAV1 | OR (ISNV, IEPV) | Intrusione o Allarme operatore |
IPA | (vedi sezione 3.6.7.11.3) | Sequenza abilitazione eseguita |
ISCRAM | (Vedi sezione 3.6.7.12) | Richiesta di scram |
IWAIT1 | (Vedi sezioni 3.6.7.11.7 e 3.6.7.11.8) | Attesa per ricambio aria |
Tabella 6 – Elenco dei segnali di ingresso virtuali
Implementare segnali virtuali è semplice. In Figura 15 è riportato un esempio relativo alla generazione dei segnali ISNV1, ISNV2, ISNV.
OR
ISNV1 ISNV2
XXXX
XXX0 XXX0 XXX0
XXX0
Verso ulteriori impieghi
ISN5
OR
OR
Verso ulteriori impieghi
Fig.15: Esempio di implementazione di segnali di ingresso virtuali
3.6.7.5 Segnali Digitali provenienti dalla HMI
Il controllo del sistema da parte dell'operatore avviene per mezzo di una HMI (interfaccia utente) costituita da un touch-screen collegato al PLC. Il touch-screen deve essere immaginato come un pannello virtuale in cui vi sono interruttori, spie, indicatori analogici, ecc. L’attivazione di un interruttore del pannello virtuale è del tutto equivalente a quella di un interruttore “reale”, solo che il relativo segnale logico è direttamente visibile, e dunque
disponibile, all’interno del programma del PLC. Nella Tabella 7 sono elencati i segnali di input che si prevede di impiegare per il controllo della sorgente attraverso il touch-screen.
Nome | Descrizione | Variabile di abilitazione |
ITT23 | Richiesta transizione X00 (XXXX🡪CHANGE) | ITT23_ENABLE |
ITT34 | Richiesta transizione T34 (CHANGE🡪PRE) | ITT34_ENABLE |
ITT45 | Xxxxxxxxx transizione T45 (PRE🡪UP) | ITT45_ENABLE |
ITT67 | Xxxxxxxxx transizione T67 (IRR🡪DOWN) | ITT67_ENABLE |
ITT74 | Xxxxxxxxx transizione T74 (DOWN🡪PRE) | ITT74_ENABLE |
ITT32 | Richiesta transizione T32 (CHANGE🡪IDLE) | ITT32_ENABLE |
ITT42 | Richiesta transizione T42 (PRE🡪IDLE) | ITT42_ENABLE |
Tabella 7 – Elenco dei segnali di ingresso da Touch-Screen
Diversamente dagli interruttori reali, gli interruttori virtuali possono essere abilitati e disabilitati a piacimento (il loro aspetto grafico rispecchierà il loro stato) e le “variabili di abilitazione” nascono proprio a tale scopo. L’uso delle variabili di abilitazione è propriamente quello di impedire che l’operatore possa richiedere operazioni che non sono compatibili con il particolare Stato del Sistema (vedi 3.6.7.8).
3.6.7.6 Segnali Digitali in uscita
Il numero di utenze servite dal sistema è elencato in Tabella 8. Ad ogni utenza è associata una variabile del sistema di controllo. Quando una variabile di controllo viene posta ad 1, il corrispondente DO viene attivato e, di conseguenza, anche l’utenza ad esso collegata.
nome | Descrizione |
OKEY | Sblocco chiave “A” |
OMAN | Attivazione motore argano per salita sorgente |
XXXX | Xxxxxxxxxxx motore argano per discesa sorgente |
OBRK | Attivazione freno/frizione argano |
OMV1 | Attivazione ventilatore 1 |
OMV2 | Attivazione ventilatore 2 |
OSR1 | Attivazione Sirena 1 (segnalazione) |
OSR2 | Attivazione Sirena 2 (allarme) |
OHR | Plafoniera alto livello radiazioni |
OBL | Plafoniera basso livello acqua in piscina |
OIR | Plafoniera Irraggiamento in corso |
OAL | Spie di allarme |
OBD | Propagazione allarme al sistema centralizzato |
OSUP | Segnale di sorgente alta |
Tabella 8 – Elenco delle variabili di uscita
L’uso di variabili numeriche è normalmente giustificato dalla presenza di input o output di tipo analogico, oppure, come nel presente caso, da necessità interne al programma PLC. Le variabili gestite sono riportate in Tabella 9:
nome | Descrizione | Tipo |
STATUS | Indica lo stato in cui si trova il sistema | int10 |
NEXT | Indica lo stato verso cui vuole migrare il sistema | int |
TIME0 | Numero di minuti trascorsi dalla accensione del sistema | long11 |
TIME1 | Numero di secondi dall’inizio di un nuovo stato o una nuova transizione | long |
Tabella 9 – Variabili numeriche
Sono stati identificati i seguenti stati:
1. OFF - sistema disalimentato
2. IDLE – sistema acceso, chiave “A” disinserita
3. CHANGE - cambio provini
4. PRE – salita abilitata, chiave “A” inserita
5. UP - sorgente in salita
6. IRR - irraggiamento
7. DOWN - sorgente in discesa
8. SCRAM - sorgente in discesa di emergenza
9. MAINT - manutenzione
Gli stati e le transizioni possibili sono illustrati in Figura 16. Le ellissi di colore rosso rappresentano stati di malfunzionamento. Le frecce nere rappresentano transizioni unidirezionali, quelle blu transizioni bi-direzionali. I percorsi tratteggiati identificano transizioni legate a malfunzionamenti.
10 Intero, con segno, a 16 bit. Valori possibili: da -32,768 a +32,767.
11 Intero, con segno, a 32 bit. Valori possibili: da -2,147,483,648 a 2,147,483,647.
OFF
IDLE
CHANGE
MAINT
PRE
UP
SCRAM
DOWN
IRR
Fig.16: Stati del sistema
Nelle sezioni seguenti viene riportata la descrizione di dettaglio dei singoli stati che il sistema può assumere.
Il Sistema è disalimentato, con l’eventuale eccezione del PLC (sono normalmente provvisti di batterie tampone). Lo stato può essere dovuto a
• volontario distacco delle tensione
• mancanza di alimentazione elettrica.
In queste condizioni
• la sorgente è necessariamente in fondo alla piscina ,
• il sistema non può operare (motori argano e ventilatori non disponibile, sblocco chiave “A” non disponibile),
• il sistema rimane tuttavia “in ascolto” e registra lo stato dei sensori rimasti attivi.
• Il sistema può propagare informazioni al sistema centralizzato di sicurezza (che si suppone ancora in funzione)
• l’accesso alla camera di irraggiamento è controllato esclusivamente da barriere meccaniche (che potrebbero non sussistere se il sistema è andato in OFF per mancanza di corrente durante uno stato di CHANGE)
Lo stato del sistema è identificato dalla Tabella 10:
Segnale | Valore | Note |
STATUS | 1 | |
ISA1 | 0 | Non c’è alimentazione |
Tabella 10 – Stato OFF, Segnali di ingresso
Transizioni possibili:
• L’innalzamento (0🡪1) del segnale ISA1 innesca la richiesta di transizione T12 allo stato IDLE.
Non vengono gestite utenze.
E’ lo stato che, in condizioni normali, si raggiunge al riavvio dell’impianto. Il sistema è alimentato. L’accesso alla camera di irraggiamento è inibito (l’apertura della porta blindata provocherebbe l’attivazione dell’allarme). Tutti gli allarmi sono attivi, ma non segnalano anomalie. I livelli di radiazione, ozono, e acqua, e lo switch che indica la posizione della sorgente sono compatibili con uno stato di sorgente bassa e adeguatamente schermata. La chiave “A” è estratta. Il sollevamento della sorgente non né permesso (lo sarà nello stato PRE) perché non è stata fatta l’ispezione della cella di irraggiamento (vedi stato CHANGE). Lo stato del sistema è identificato dalla Tabella 11:
Segnale | Valore | Note |
STATUS | 2 | |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni ambientali favorevoli |
ISNV | 0 | Nessuna intrusione |
Tabella 11 – Stato IDLE, Segnali di ingresso
Transizioni possibili:
• La violazione dello stato riportato in tabella innesca la richiesta di transizione T29 allo stato MAINT.
• Il pulsante ITT23 è abilitato, e la sua pressione innesca la richiesta di transizione T23 allo stato CHANGE.
Non vengono gestite utenze.
E’ lo stato in cui è possibile accedere alla camera di irraggiamento, o per cambiare i provini da irraggiare, o semplicemente per l’effettuare un’ispezione dopo un riavvio. Il sistema è alimentato. Gli allarmi anti-intrusione (con eccezione dell’accesso al tetto e della botola) sono disattivati. I pulsanti e le catenelle di emergenza sono attivi (servono a consentire la segnalazione di eventuali emergenze agli operatori impegnati nella camera di irraggiamento). L’esecuzione della procedura sequenza pulsanti S1/S2/S3, la corretta chiusura della cella, e il reinserimento della chiave “A” in consolle provoca il passaggio alla fase PRE (salita sorgente abilitata). Lo stato del sistema è identificato dalla Tabella 12:
Segnale | Valore | Note |
STATUS | 3 | |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni ambientali favorevoli |
ISNV2 | 0 | Nessuna intrusione per via esterna |
Tabella 12 – Stato CHANGE, Segnali di ingresso
La transizione ad altro stato richiede, come già detto, l’esecuzione della procedura di uscita consistente, cioè nella pressione, in sequenza, dei pulsanti S1/S2/S3. Se gli operatori eseguono nel tempo prescritto (che si conclude con la riconsegna e re-inserimento della chiave “A” in consolle), il sistema passa in fase di PRE. Se gli operatori non eseguono nel tempo prescritto, il sistema rimane nella fase di CHANGE (bisognerà ripetere la procedura). Una possibile implementazione di tale blocco è discussa nell’appendice A.4.
Transizioni possibili:
• La violazione dello stato riportato in tabella innesca la richiesta di transizione T39 allo stato MAINT.
• Il pulsante ITT34 è abilitato, e la sua pressione, unitamente alla presenza del segnale IPA (conferma dell’avvenuta sequenza S1/S2/S3) innesca la richiesta di transizione T34 allo stato PRE.
• Il pulsante ITT32 è abilitato, e la sua pressione innesca la richiesta di transizione T32 allo stato IDLE.
Utenze gestite:
• blocco12 chiave “A” (OKEY = 0)
E’ la fase a cui si perviene dopo aver ottenuto le abilitazioni per l’inizio della procedura di irraggiamento, oppure la fase finale di un ciclo di irraggiamento. In questa fase come in quelle UP, IRR, DOWN, l’acceso in camera di irraggiamento è inibito. Lo stato del sistema è identificato dalla Tabella 13:
Segnale | Valore | Note |
STATUS | 4 | |
ISA1 | 1 | C’è alimentazione |
ISS1 | 1 | Piattaforma in posizione di ricovero |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni ambientali favorevoli |
ISNV | 0 | Nessuna intrusione |
Tabella 13 – Stato PRE, Segnali di ingresso
Transizioni possibili:
• La violazione dello stato in tabella innesca la richiesta di transizione T49 allo stato MAINT.
• Il pulsante ITT42 è abilitato, e la sua pressione innesca la richiesta di transizione T42 allo stato IDLE.
• Il pulsante ITT43 è abilitato, e la sua pressione innesca la richiesta di transizione T45 allo stato CHANGE.
• Il pulsante ITT45 è abilitato, e la sua pressione innesca la richiesta di transizione T45 allo stato UP.
Utenze gestite:
12 In realtà la chiave non c’è. Il blocco serve a impedire che venga reinserita.
• sblocco chiave “A” (OKEY = 1)
E’ la fase di salita della sorgente (motore argano alimentato). Durante tale fase si controllerà che l’innalzamento del livello sorgente e la transizione dei livelli di radiazione avvenga entro tempi ragionevoli. L’attivazione dello switch di sorgente alta causerà la transizione alla condizione di irraggiamento vera e propria (vedi IRR). Lo stato del sistema è identificato dalla Tabella 14:
Segnale | Valore | Note |
STATUS | 5 | |
ISA1 | 1 | C’è alimentazione |
ISS1 | 1 | Piattaforma in posizione di ricovero |
ISS2 | 1/0 | Transizione attesa dopo t1±Δta |
ISS3 | 0/1/0 | Transizione attesa fra t2±Δta e t3±Δta |
ISS4 | 0/1 | Transizione attesa dopo t4±Δta |
ISA6 | 0/1 | Transizione attesa dopo t5±Δtb |
ISA7 | 0/1 | Transizione attesa dopo t6±Δtb |
ISAV1 | 0 | Nessun evento ambientale anomalo |
ISAV2 | 1 | Ventilazione funzionante |
ISNV | 0 | Nessuna intrusione |
Tabella 14 – Stato UP, Segnali di ingresso
2•Δtb
0
t1
t5 t2
t3
t6
t4
t
2•Δta
Δt2
I tempi indicati in tabella (t1, t2, t3, t4, Δta, Δtb) verranno memorizzati, in fase di configurazione del sistema, nella memoria statica del PLC. Il rispetto di tali tempi indica una salita normale della sorgente. L’andamento atteso dei segnali XXX0, XXX0, XXX0, XXX0, ISR7 è illustrato in Figura 17. Si noti l’uso delle tolleranze Δta e Δtb.
ISR6
(1° livello radiazioni)
ISR7
(2° livello radiazioni)
ISS4
(sorgente alta)
ISS3
(sorgente intermedia)
ISS2
(sorgente bassa)
Fig.17: Stato UP, Time history dei segnali di posizione sorgente
Transizioni possibili:
• La violazione dello stato riportato in tabella o l’asserzione13 della variabile ISCRAM innescano la richiesta di transizione T58 allo stato SCRAM.
• L’innalzamento (0🡪1) del segnale ISS4 innesca la richiesta di transizione T56 allo stato IRR.
Non vengono gestite utenze.
E’ la fase di irraggiamento dei provini. Lo stato del sistema è identificato dalla Tabella 15:
Segnale | Valore | Note |
STATUS | 6 | |
ISA1 | 1 | C’è alimentazione |
ISS1 | 1 | Piattaforma in posizione di ricovero |
ISS4 | 1 | Sorgente alta |
ISAV1 | 0 | Nessun evento ambientale anomalo |
ISAV2 | 0 | Ventilazione funzionante |
ISNV | 0 | Nessuna intrusione |
Tabella 15 – Stato IRR, Segnali di ingresso
Transizioni possibili:
• La violazione dello stato riportato in tabella o l’asserzione della variabile ISCRAM innescano la richiesta di transizione T68 allo stato SCRAM.
• Il pulsante ITT67 è abilitato, e la sua pressione innesca la richiesta di transizione T67 allo stato DOWN.
Non vengono gestite utenze.
E’ la fase di discesa della sorgente in condizioni di normale funzionamento. Durante tale fase si controllerà che l’abbassamento della sorgente avvenga entro tempi ragionevoli. Lo stato del sistema è identificato dalla Tabella 16:
13 Una variabile logica è “asserita” quando assume il valore 1.
Segnale | Valore | Note |
STATUS | 7 | |
ISA1 | 1 | C’è alimentazione |
ISS1 | 1 | Piattaforma in posizione di ricovero |
ISS4 | 1/0 | Transizione attesa dopo t1±Δta |
ISS3 | 0/1/0 | Transizione attesa fra t2±Δta e t3±Δta |
ISS2 | 0/1 | Transizione attesa dopo t4±Δta |
ISA7 | 1/0 | Transizione attesa dopo t5±Δtb |
ISA6 | 1/0 | Transizione attesa dopo t6±Δtb |
ISAV1 | 0 | Nessun evento ambientale anomalo |
ISAV2 | 0 | Ventilazione funzionante |
ISNV | 0 | Nessuna intrusione |
Tabella 16 – Stato UP, Segnali di ingresso
L’andamento atteso dei segnali XXX0, XXX0, XXX0, iSA6, ISA7 è simile a quello già illustrato in Fig. 17 per la fase UP (ovviamente invertendo la scala dei tempi). I tempi indicati in tabella (t1, t2, t3, t4, Δta, Δtb), potenzialmente diversi da quelli già visti nello stato UP, possono essere permanentemente memorizzati, in fase di configurazione del sistema, nella memoria statica del PLC. Il rispetto di tali tempi indica una discesa normale della sorgente.
Transizioni possibili:
• La violazione dello stato riportato in tabella o l’asserzione della variabile ISCRAM innescano la richiesta di transizione T78 allo stato SCRAM.
• L’innalzamento (0🡪1) del segnale ISS2 innesca la richiesta di transizione T47 allo stato PRE.
Non vengono gestite utenze.
E’ la fase di discesa della sorgente in condizioni di emergenza. La violazione di un accesso, l’azionamento di un pulsante o catenella di emergenza, il sisma, il fuoco, ecc. provocheranno la discesa incondizionata della sorgente. Se la discesa non verrà conclusa entro un tempo prescritto, verrà staccata l’alimentazione della frizione/freno dell’argano in modo da innescare la caduta libera della sorgente sul fondo della piscina. Lo stato del sistema è identificato dalla Tabella 17:
Segnale | Valore | Note |
STATUS | 8 | |
ISA1 | 1 | C’è alimentazione |
ISS2 | 0/1 | Transizione attesa fra to e to+Δt0 |
Tabella 17 – Stato SCRAM, Segnali di ingresso
Transizioni possibili:
• L’innalzamento (0🡪1) del segnale ISS2 innesca la richiesta di transizione T47 allo stato MAINT.
Non vengono gestite utenze.
Se l’alimentazione manca, la caduta libera della sorgente avviene passivamente (frizione/freno argano non alimentato)
E’ la fase in cui il sistema si “ricovera” dopo l’avvento di una condizione anomala. E’ anche la fase in cui si pone il sistema dopo un riavvio (cioè dopo aver ridato tensione all’impianto) se non vengono riscontrate le condizioni per il raggiungimento della condizione di IDLE. La sorgente sarà, in ogni caso, sul fondo della piscina. Sarà possibile sbloccare la chiave “A” (vedi appendice A1) per poter accedere alla camera di irraggiamento ed effettuare le azioni di ripristino e manutenzione del caso. Per poter riprendere le operazioni, sarà comunque necessario spegnere e riaccendere il sistema (una “ripartenza” corretta si può fare solo transitando dalla condizione di IDLE). Lo stato del sistema è identificato dalla Tabella 18:
Segnale | Valore | Note |
STATUS | 9 | |
ISA1 | 1 | C’è alimentazione |
Tabella 18 – Stato MAINT, Segnali di ingresso
Transizioni possibili:
• L’abbassamento (1🡪0) del segnale ISA1 innesca la richiesta di transizione T91 allo stato OFF.
Non vengono gestite utenze.
La matrice delle possibili transizioni è riportata in Tabella 19. Nella prima colonna sono rappresentati gli stati di partenza, mentre in prima riga vi sono quelli di arrivo. A titolo di esempio, una transizione dallo stato di irraggiamento (6-IRR) a stato di discesa sorgente (7- DOWN) è denominata T67.
1 OFF | 2 IDLE | 3 CHANGE | 4 PRE | 5 UP | 6 IRR | 7 DOWN | 8 SCRAM | 9 MAINT | |
1-OFF | T12 | T19 | |||||||
2-IDLE | T21 | T23 | T29 | ||||||
3-CHANGE | T32 | T34 | T39 | ||||||
4-PRE | T42 | T43 | T45 | T49 | |||||
5-UP | T56 | T58 | |||||||
6-IRR | T67 | T68 | |||||||
7-DOWN | T74 | T78 | |||||||
8-SCRAM | T89 | ||||||||
9-MAINT | T91 | ||||||||
Tabella 19 – Transizioni del sistema
Le scritte (Tij) in nero corrispondono ad una operatività normale, mentre quelle in rosso a condizioni anomale. Le celle vuote corrisponderebbero a transizioni non ammissibili.
3.6.7.11 Transizioni in condizioni operative normali
Nelle sezioni seguenti sono descritte le transizioni che caratterizzano la normale operatività dell’impianto
3.6.7.11.1 T12 (OFF🡪IDLE)
E’ una transizione automatica che avviene quando viene data tensione all’impianto (il PLC è già alimentato e segnalava una condizione OFF). Il programma controlla che i parametri di sicurezza (controllo accessi, pulsanti e catenelle di emergenza, livelli radiazioni, ozono, acqua, sisma, fuoco, ecc) indichino che la camera di irraggiamento è isolata e che non vi è alcuna condizione anomala. Le condizioni per una corretta transizione sono riassunte nella Tabella 20:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni ambientali favorevoli |
ISNV | 0 | Nessuna intrusione |
Tabella 20 – Abilitazione transizioni T12 (OFF🡪IDLE)
3.6.7.11.2 X00 (XXXX🡪CHANGE)
E’ una transizione comandata dall’operatore. Ci si trova in condizione IDLE e si vuole accedere alla camera di irraggiamento. Si chiede al PLC (usando il touch-screen) di passare alla condizione di CHANGE. Il PLC sblocca la chiave “A” (vedi appendice A1) e si pone in condizione di CHANGE. Le condizioni per una corretta transizione sono riassunte nella Tabella 21:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni ambientali favorevoli |
ISNV | 1 | Nessuna intrusione |
Tabella 21 – abilitazione transizioni X00 (XXXX🡪CHANGE)
Utenze gestite:
• sblocco chiave “A” (OKEY = 1)
E’ una transizione comandata dall’operatore.
L’operatore chiede al PLC (usando il touch-screen) di passare alla condizione PRE (preliminare alla salita della sorgente) e chiede agli operatori nella camera di irraggiamento di eseguire la procedura di uscita e abilitazione (sequenza pulsanti S1/S2/S3). Le condizioni per una corretta transizione sono riassunte nella Tabella 22:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni ambientali favorevoli |
ISNV | 1 | Nessuna intrusione |
IPA | 1 | Sequenza abilitazione eseguita |
Tabella 22 – Abilitazione transizioni X00 (XXXXXX🡪PRE)
E’ una transizione comandata dall’operatore.
Si vuole innalzare la sorgente. L’operatore ha richiesto al PLC (usando il touch-screen) di passare alla condizione UP, e il sistema chiede di confermare azionando la chiave “A” (vedi appendice A3). Le condizioni per una corretta transizione sono riassunte nella Tabella 23:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV1 | 1 | Nessun evento ambientale anomalo |
ISNV | 1 | Nessuna intrusione |
IPC1 | 1 | Azionamento chiave “A” |
Tabella 23 – abilitazione transizioni T45 (PRE🡪UP)
Se la chiave viene azionata nel tempo prescritto il sistema si pone in fase UP. Utenze gestite:
• Attivazione (per 2 secondi) della Sirena 1 (OSR1=1)
• Attivazione Ventilazione (OMV=1, vedi A2)
• Attivazione Freno/frizione argano (OBRK=1)
• Attivazione Motore argano per salita sorgente (OMAN=1)
• Attivazione Plafoniera Irraggiamento in corso (OIR=1)
3.6.7.11.5 T56 (UP🡪IRR)
E’ una transizione automatica.
Quando la sorgente raggiunge la quota prescritta, si ha la transizione automatica dalla fase dinamica di innalzamento sorgente (UP) a quella statica di sorgente alta (IRR). Le condizioni per una corretta transizione sono riassunte nella Tabella 24:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISS4 | 1 | La sorgente è alta |
ISAV1 | 1 | Nessun evento ambientale anomalo |
ISNV | 1 | Nessuna intrusione |
Utenze gestite:
Tabella 24 – Abilitazione transizioni T56 (UP🡪IRR)
• Disattivazione Motore argano per salita sorgente (OMAN=0)
3.6.7.11.6 T67 (IRR🡪DOWN)
E’ una transizione comandata dall’operatore, ma potrebbe avvenire in maniera automatica (soggetta al controllo di un Timer del PLC), comunque sovrascrivibile da un comando dell’operatore. E’ il soddisfacimento della richiesta di abbassamento sorgente. Le condizioni per una corretta transizione sono riassunte nella Tabella 25:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISS4 | 1 | La sorgente è alta |
ISAV1 | 1 | Nessun evento ambientale anomalo |
ISNV | 1 | Nessuna intrusione |
ITT67 | 1 | Richiesta operatore |
Utenze gestite:
Tabella 25 – Abilitazione transizioni X00 (XXX🡪DOWN)
• Attivazione Motore argano per discesa sorgente (OMAR=1)
3.6.7.11.7 X00 (XXXX🡪PRE)
E’ una transizione automatica. Quando la sorgente raggiunge la quota minima (fondo piscina), si ha la transizione automatica dalla fase dinamica di abbassamento sorgente (DOWN) a quella statica di attesa (PRE). Le condizioni per una corretta transizione sono riassunte nella Tabella 26:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV1 | 1 | Nessun evento ambientale anomalo |
ISNV | 1 | Nessuna intrusione |
1 | Ricambio aria effettuato |
Tabella 26 – Abilitazione transizioni X00 (XXXX🡪PRE)
La transizione DOWN🡪PRE rimane in attesa per il tempo necessario al ricambio d’aria nella cella di irraggiamento.
Utenze gestite:
• Disattivazione Ventilazione (OMV=0) dopo il tempo necessario al ricambio d’aria
• Attivazione Motore argano per discesa sorgente (OMAR=0)
• Disattivazione Freno/frizione argano (OBRK=0)
• Disattivazione Plafoniera Irraggiamento in corso (OIR=0)
3.6.7.11.8 T43 (PRE🡪CHANGE)
E’ una transizione comandata dall’operatore. Ci si trova in condizione PRE e si vuole accedere alla camera di irraggiamento. Si chiede al PLC (usando il touch-screen) di passare alla condizione di CHANGE. Il PLC sblocca la chiave “A” e si pone in condizione di CHANGE. Le condizioni per una corretta transizione sono riassunte nella Tabella 27:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni compatibili con accesso in cella |
ISNV | 1 | Nessuna intrusione |
Utenze gestite:
Tabella 27 – Abilitazione transizioni T43 (PRE🡪CHANGE)
• sblocco chiave “A” (OKEY = 1)
3.6.7.11.9 T32 (CHANGE🡪IDLE)
E’ una transizione comandata dall’operatore.
Ci si trova in condizione di CHANGE e ci si predispone allo spegnimento dell’impianto. L’operatore chiede al PLC (usando il touch-screen) di passare alla condizione IDLE e chiede agli operatori nella camera di irraggiamento di eseguire la procedura di uscita e abilitazione (sequenza pulsanti S1/S2/S3). Le condizioni per una corretta transizione sono riassunte nella Tabella 28:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni compatibili con accesso in cella |
ISNV | 1 | Nessuna intrusione |
Tabella 28 – Abilitazione transizioni T32 (CHANGE🡪IDLE)
Se gli operatori eseguono nel tempo prescritto (che si conclude con la chiusura della porta blindata della cella di irraggiamento, il sistema passa in fase di IDLE, altrimenti rimane in fase di CHANGE.
3.6.7.11.10 T42 (PRE🡪IDLE)
E’ una transizione comandata dall’operatore. Ci si trova in condizione di PRE e ci si predispone allo spegnimento dell’impianto. L’operatore chiede al PLC (usando il touch- screen) di passare alla condizione IDLE. Il PLC rilascia la chiave “A” e passa in IDLE. Le condizioni per una corretta transizione sono riassunte nella Tabella 29:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni compatibili con accesso in cella |
ISNV | 1 | Nessuna intrusione |
ITT42 | 1 | Richiesta operatore |
Tabella 29 – Abilitazione transizioni X00 (XXXXXX🡪IDLE)
E’ una transizione eseguita dall’operatore che stacca tensione all’impianto. Il PLC (che dovrebbe rimanere alimentato dalle batterie tampone, segnala una condizione OFF e la memorizza nella RAM statica).Si stacca corrente anche al PLC. Le condizioni per una corretta transizione sono riassunte nella Tabella 30:
Segnale | Valore | Note |
ISA1 | 1 | C’è alimentazione |
ISSV0 | 1 | La sorgente è bassa |
ISAV0 | 1 | Condizioni compatibili con accesso in cella |
ISNV | 1 | Nessuna intrusione |
Tabella 30 – Abilitazione transizioni T32 (CHANGE🡪IDLE)
3.6.7.12 Transizioni che implicano lo SCRAM
Nelle sezioni seguenti sono descritte le transizioni che provocano l’abbassamento di emergenza della sorgente. Tali transizioni sono automaticamente attivate dalla attivazione del segnale virtuale ISCRAM. In termini formali (vedi Tabella 6) esso è definito nel seguente modo:
ISCRAM = AND(
OR (
),
OR (
)
STATUS==5, STATUS==6, STATUS==7
NOT(ISA1), IAV1, NOT(ISAV1), NOT(ISAV2)
In termini grafici, la logica è illustrata in Figura 20.
STATUS
5 = OR
AND
ISCRAM
6 =
7 =
ISAV1
ISA1 IAV1
ISAV2
OR
Fig.20: Logica di attivazione dello scram Devono, dunque, verificarsi due condizioni:
• il sistema è in una fase di sorgente alta (UP, IRR, DOWN)
• è stata segnalata una “condizione anomala”.
La “condizione anomala” viene segnalata quando si verifica almeno una delle seguenti circostanze:
• perdita dell’alimentazione elettrica,
• tentativo di intrusione (esterna o interna),
• allarme operatore (funghi o catenelle di emergenza),
• condizione ambientale anomala (basso livello acqua, sisma, fuoco),
• mancanza di ventilazione
Va sottolineato che, in tutti i casi, sia la transizione verso la condizione di SCRAM, sia l’effettuazione dello SCRAM, sia la transizione SCRAM🡪MAINT, e infine la stabilizzazione nello stato di MAINT, sono assicurate indipendentemente dalla disponibilità del sistema di controllo attivo.
Tutte le transizioni verso la condizione di SCRAM gestiscono le seguenti utenze:
• Attivazione Motore argano per discesa sorgente (OMAR=1)
• Attivazione Sirena 2 (OSR2=1)
• Attivazione Spie di allarme (OAL=1)
• Propagazione allarme al sistema centralizzato (OBD=1)
3.6.7.12.1 T58 (UP🡪SCRAM)
3.6.7.12.2 T68 (IRR🡪SCRAM)
3.6.7.12.3 X00 (XXXX🡪SCRAM)
3.6.7.13 Transizioni verso lo stato MAINT
Nelle sezioni seguenti sono descritte le transizioni verso una condizione sicura (MAINT) a seguito di un evento anomalo. Tutte le transizioni verso la condizione di MAINT gestiscono le seguenti utenze:
• Attivazione Sirena 2 (OSR2=1)
• Attivazione Spie di allarme (OAL=1)
• Propagazione allarme al sistema centralizzato (OBD=1)
3.6.7.13.1 T89 (SCRAM🡪MAINT)
E’ una transizione automatica che si verifica quando la sorgente raggiunge il fondo della piscina in seguito ad uno scram. Le condizioni per una corretta transizione sono riassunte nella Tabella 31:
Segnale | Valore | Note |
ISSV0 | 1 | La sorgente è bassa |
Tabella 31 – Abilitazione transizioni X00 (XXXXXX🡪IDLE)
3.6.7.13.2 T19 (OFF🡪MAINT)
E’ una transizione automatica che si potrebbe verificare all’accensione del sistema qualora risultassero violate le condizioni di inibizione accesso alla cella di irraggiamento, oppure persistessero condizioni ambientali sfavorevoli (fuoco, sisma, radiazioni, basso livello acqua piscina, alto livello radiazioni o ozono, ecc). La transizione avviene per violazione delle condizioni caratteristiche dello stato IDLE (vedi 3.6.7.13.2 e 3.6.7.9.2).
3.6.7.13.3 X00 (XXXX🡪MAINT)
3.6.7.13.4 T39 (CHANGE🡪MAINT)
3.6.7.13.5 T49 (PRE🡪MAINT)
L’implementazione del programma di controllo richiederà lo sviluppo dei seguenti tipi di macroblocchi
• Gestione input dal “campo” e dalla HMI (touch-screen)
• Status manager
• Xxxxxxxxxxxx di controllo di stato
• Macroblocchi di controllo di transizione
• Crosscheck con secondo dispositivo
• Gestione output verso utenze e verso HMI
Lo schema di principio del programma è riportato in Fig. 21.
init
pre
FIELD
INPUT
HMI
STMAN
FIELD
OUTPUT
HMI
post
CHECK
PLC
Secondario (in parallelo)
Ciclo PLC
Fig. 21: Schema di principio del programma PLC
L’acquisizione degli input digitali esterni consiste nella lettura dei blocchi DI del linguaggio di controllo del PLC (Fig. 22). La pressione del pulsante P1 “asserisce” (pone a 1) la variabile IN1.
IN1
DI
(segnale logico disponibile per il controllo)
PLC
P1
Fig. 22: Trattamento basico dei segnali digitali in input
In taluni casi (vedi 3.6.7.3) è utile potersi astrarre dalla tipologia di hardware collegato (pulsante Normalmente Aperto o Normalmente Chiuso) e pensare sempre in termini di “azionamento /non-azionamento”, “1/0”, “VERO/FALSO”, ecc. Un esempio di come si possa operare è riportato Fig. 23.
P1
INV1 (= 0)
IN1
DI
INV1 (= 1)
Verso ulteriori impieghi
P2
IN2
DI
PLC
XOR
XOR
Fig. 23: Pre-processing dei segnali di ingresso
Si noti che, con l’introduzione della logica XOR14, l’azionamento del pulsante P1 o del pulsante P2 provoca l’”asserzione” della linea IN1 e IN2 rispettivamente, nonostante il primo pulsante sia un NA (Normalmente Aperto) e il secondo un NC (Normalmente Chiuso). A livello programmatico si può dunque ignorare la realtà dei collegamenti elettrici, rimandando il problema alla fase di configurazione, cioè della assegnazione delle costanti INV1 e INV2.
Il programma di controllo implementa una logica a stati, ove tutto, in pratica, si basa sulle variabili STATUS e NEXT. La prima rappresenta il numero corrispondente allo stato attuale, e la seconda il numero dello stato verso cui si vuole effettuare la transizione. Lo “Status Manager” decide quale macroblocco debba essere incaricato della gestione e gli trasferisce il controllo. Ogni stato e ogni possibile transizione ha un macroblocco che la gestisce. Lo schema di principio dello Status Manager è illustrato in Fig. 24. Si noti la presenza del
14 La logica XOR da in uscita 1 se solo uno dei due ingressi vale 1, e da 0 in tutti gli altri casi,
controllo sulla variazione dei valori NEXT o STATUS che attivano un timer che restituisce su TIME1 il numero di secondi passati dall’instaurazione del nuovo stato o della nuova transizione.
start
cambiato NEXT o
cambiato STATUS
si
no
si
no
NEXT == STATUS
si
STATUS == 1
1
STATUS == 1 NEXT==2
si
1
no
no
si
STATUS == 2
1
STATUS == 1 NEXT==9
si
1
no
no
si
1
si
1
macrob. T19
macrob. S2
macrob. T12
macrob. S1
Attiva timer su variabile TIME1
1
return
Fig. 24: Schema di principio dello Status Manager
3.6.7.14.3 Macroblocchi di controllo di stato
Scopo dei macroblocchi di controllo di stato la gestione degli stati del sistema. Ogni stato (vedi Figura 16) ha un macroblocco dedicato. La gestione consiste in:
• controllare la sussistenza delle condizioni di sicurezza,
• attivare segnali di output
• gestire richiesta cambiamento di stato (impostare la variabile NEXT)
L’implementazione di un generico macroblocco di controllo di stato è illustrata in Fig. 25.
<NextStatus> STATUS
<Transition Condition >
1
0
in SEL
In1 In2
chk1 chk2
Inn
chkn
1
<Fail Status> 0
NEXT
<Fail condition> in SEL
result
=
Fig. 25: Logica di controllo di un generico macroblocco di stato
Il blocco “=”15 controlla che gli input (In1, In2, .. , Inn) siano uguali a corrispondenti valori attesi (chk1, chk2, .. ,chkn). Se l’esito è negativo, il selettore SEL16 ad esso collegato farà transitare in NEXT il numero <Fail Status> corrispondente allo stato di emergenza (SCRAM o MAINT) in cui il sistema si dovrà ricoverare. Se l’esito è positivo, il prossimo stato (NEXT) dipenderà dalla sussistenza della condizione di transizione <Transition Condition>. Se essa è vera, il selettore SEL in alto lascerà transitare <Next Status> (lo stato in cui si desidera migrare), altrimenti a passare sarà il vecchio stato (STATUS), come dire che non è richiesta alcuna transizione. Un esempio di macroblocco per il controllo dello stato IRR (vedi 3.6.7.9.6) è illustrato in Fig. 26.
7
6
1
0
ITT67
in SEL
1
1
1
0
0
0
1
NEXT
8
0
in SEL
result
=
ISA1 ISS1 ISS4 ISAV1 ISA8 ISNV
Fig. 26: Macroblocco di controllo dello stato IRR
15 Il blocco “=” restituisce result=1, se sono verificate tutte le eguaglianze fra i segnali in input a sinistra e i corrispondenti valori attesi, a destra.
16 Il blocco SEL (selettore) restituisce il valore collegato al terminale 1 se in vale 1, altrimenti restituisce il valore collegato al terminale 0
Un altro esempio, rappresentato dal macroblocco di controllo dello stato CHANGE (vedi 3.6.7.9.3), che presenta la particolarità della doppia transizione (CHANGE🡪IDLE, oppure CHANGE🡪PRE), e del controllo pulsanti S1/S2/S3, è riportato in Fig. 27. La richiesta di transizione in IDLE o PRE (uscita blocco OR) attiva il blocco S123 (vedi appendice A4), cioè la verifica della corretta pressione dei pulsanti S1/S2/S3. Se l’esito è positivo, il terzo selettore SEL (quello a destra) lascerà passare il numero corrispondente al nuovo stato richiesto, ma se l’esito è negativo, a passare sarà il valore 3, cioè il numero corrispondente proprio alla fase di CHANGE, come dire che non avverrà alcuna transizione.
4
3
ITT34
1
0
in SEL
2
ITT32
1
0
in SEL
1
3 0
in SEL
S123
OR
IPA
ISA1 ISSV0 ISAV0 ISNV2
=
result
IPA1 IPA2
1 IPA3
1
1
0
1
9 0
in SEL
NEXT
Fig. 27: Macroblocco di controllo dello stato CHANGE
Un esempio più complesso è rappresentato dal macroblocco di gestione dello stato UP (vedi 3.6.7.9.5) che presenta la particolarità della gestione delle transizioni di segnali a tempi prestabiliti (ma con una tolleranza assegnata). Una possibile implementazione è riportata in Fig. 28. La chiave del funzionamento risiede nei blocchi TT17 e TR18, collegati alla variabile TIME1 che contiene il numero di secondi trascorsi dall’inizio del stato UP (il valore di TIME1 è fornito da un timer che viene inizializzato ogni volta che inizia un nuovo stato o una nuova transizione).
17 Il blocco TT riceve in ingresso i tempi t, t0 e la tolleranza temporale ΔT, e restituisce 1 se la variabile signal in ingresso vale 0 prima di t0-Δt, e 1 dopo t0+Δt, e se la transizione 0🡪1 avviene nell’intervallo t0-Δt ... t0+Δt.
18 Il blocco TR è analogo a TR, ma gestisce la doppia transizione (0🡪1 al tempo teorico t0, e 1🡪0 al tempo
teorico t1) di signal, sempre ammettendo una tolleranza (Δt) rispetto ai tempi teorici di transizione.
TIME1
ISS2
T1
D
TA
t t0 Δt
signal
TT
7
5
ISS4
1
0
in SEL
T2 T3 DTA ISS3
t t0 t1 Δt
signal
ISA1 ISS1
TR
=
T4 DTA ISS4
t
t0 TT
Δt
signal
ISAV1 ISA8 ISNV
1
1
1
1
1
1
0
0
0
1
NEXT
8
0
result
in SEL
T5 DTB ISA6
t
t0 TT
Δt
signal
T6 DTB ISA7
t
t0 TT
Δt
signal
Fig. 28: Macroblocco di controllo dello stato UP
3.6.7.14.4 Macroblocchi di controllo di Transizione
Scopo dei macroblocchi di controllo di transizione è gestire la transizione fra i possibili stati del sistema.
Ogni transizione (vedi Tabella 19) ha un macroblocco dedicato. La gestione consiste in:
• controllare la sussistenza delle condizioni di sicurezza,
• cambiare la variabile STATUS (ed eventualmente anche NEXT)
L’implementazione di un generico macroblocco di controllo di transizione è illustrata in Figura 29.
NEXT STATUS
<wait condition>
1
0
in SEL
<Fail Status>
<Fail condition>
1
0
in SEL
STATUS
1
0
in SEL
NEXT
Fig.29: Logica di controllo di un generico macroblocco di transizione
Se non vi è condizione di errore (<Fail condition> uguale a 0), il valore di STATUS è quello uscente dal primo selettore SEL (quello in alto) che controlla l’esistenza di una eventuale condizione di attesa. Se vi è una condizione di attesa (<Wait condition>), la situazione non cambia (il nuovo STATUS è uguale a quello vecchio). Se la condizione di attesa è stata soddisfatta, STATUS assume il valore NEXT, e la transizione è conclusa. Si noti che, nel caso di condizione di errore, sia STATUS che NEXT assumono il valore <Fail status>, cioè si passa senza indugio allo stato di recovery prescritto. In Fig. 30 è riportato un esempio di macroblocco per il controllo della transizione T12 (OFF🡪IDLE). In questo caso è totalmente assente il controllo della condizione di attesa (la transizione deve essere immediata), ma è presente un controllo sulle variabili ISA1, XXXX0, XXXX0, XXXX, che, se fallisce, fa abortire la transizione verso IDLE, forzando invece quella verso MAINT.
1
1
1
0
2
1
9
0
in SEL
1
NEXT
0
NEXT
in SEL
=
result
ISA1
ISSV0 ISAV0 ISNV
STATUS
Fig. 30: Macroblocco di controllo transizione T12 (OFF🡪IDLE)
Altro esempio (Fig. 31) è rappresentato dalla transizione T74 (DOWN🡪PRE). In questo caso la transizione viene conclusa solo dopo che il blocco “>19” ha verificato che tempo TIME1 (misurato dall’inizio della transizione stessa) superi il valore prestabilito TVENT (il tempo necessario al ricambio di aria in cella).
4
7
1
0
in SEL
1
1
1
0
1
9
0
in SEL
1
0
NEXT
in SEL
=
result
>
TIME1 TVENT
ISA1 ISSV0 ISAV0 ISNV
STATUS
Fig. 31: Macroblocco di controllo della transizione X00 (XXXX🡪PRE)
Molte transizioni sono tuttavia incondizionate (avvengono e basta, senza ritardi e senza controlli), e la loro implementazione è immediata. In Fig. 32 è riportato un esempio di macroblocco per il controllo della transizione X00 (XXX🡪SCRAM). Il blocco “🡪” si limita ad assegnare il valore 8 (corrispondente allo stato di SCRAM) alla variabile STATUS.
🡪
8 STATUS
Fig. 32: Macroblocco di controllo della transizione X00 (XXX🡪SCRAM)
3.6.7.14.5 Crosscheck con secondo dispositivo
Al fine di raggiungere l’obiettivo di una qualifica SIL 3, è necessario garantire un elevatissima probabilità di mantenimento di controllo, anche a fronte di eventi estremi, che potrebbero includere la perdita del PLC. Taluni sistemi (vedi esempi in 3.6.4) sono certificati del costruttore, ma, come già detto, si tratta di casi per applicazioni specifiche e molto comuni. Nel presente caso si è ritenuto opportuno garantire la necessaria affidabilità mediante l’adozione di una ridondanza al 100% del PLC, cioè inserendo un secondo PLC “in parallelo”.
19 Il blocco “>” restituisce 1 se il valore connesso al terminale superiore è maggiore del valore connesso a quello inferiore.
Questo PLC è identico al primo ed esegue lo stesso software. Il fallimento di uno dei PLC viene rilevato dall’altro che pone il sistema in condizione di recovery, attivando le necessarie transizioni verso lo stato MAINT (il che potrebbe comportare l’esecuzione dello scram). La rilevazione della condizione di fallimento avviene su entrambi i PLC, proprio nel macroblocco di “Crosscheck”. La condizione di fallimento si registra quando il confronto fra gli stati (nel senso che verrà precisato fra poco) dei due PLC mostra una disparità di comprensione dello stato del sistema. In pratica, ricevendo gli stessi input, i due PLC dovrebbero rispondere nel medesimo modo. Se ciò non si verifica, significa che uno dei PLC è guasto, e che bisogna provvedere allo shutdown dell’intero sistema. Confrontare lo stato dei due sistemi significa verificare che segnali di input, le variabili di stato (STATUS e NEXT), e segnali di output siano uguali. La verifica pone alcuni problemi legati alla sincronizzazione dei due sistemi. Se si vuole che siano indipendenti, non è possibile inserire semafori20, che sarebbero in aperta violazione di uno dei requisiti di la qualifica del software discusso in 3.6.7.16. La via scelta è la seguente:
• per tener conto della non perfetta sincronizzazione dei dispositivi (piccole differenze nella frequenza di Clock), la verifica viene sospesa (rimandata al ciclo PLC successivo) fino a che sono disponibili i dati di entrambi i PLC, ma la sospensione può durare solo un numero limitato di cicli (es. 2), scaduto il quale si innesca la condizione di errore.
20 “Semaforo” è un termine informatico comunemente associato a un modulo che blocca l’esecuzione di un programma, mettendolo in attesa di un evento esterno.
L’implementazione comporta la presenza di una rete locale (i moderni PLC la prevedono) per consentire l’interscambio di dati. Lo schema di principio è illustrato in Fig. 33.
PLC1
PLC2
Variabili di stato
=
=
result
result
nfronto
co
Connessione di rete fra i due
Fig. 33: Schema di principio dell’interconnessione fra due PLC
3.6.7.14.6 Gestione output (azionamento utenze)
INV1 (= 0)
L1
OUT1
DO
INV1 (= 1)
L2
OUT2
DO
PLC
XOR
XOR
Fig. 34: Post-processing dei segnali digitali in uscita
3.6.7.14.7 Gestione output (HMI)
La gestione output verso il sistema HMI consiste semplicemente nell’assegnazione di variabili condivise fra PLC e Touch-screen.
Il Touch-screen è il sistema HMI prescelto per il controllo del sistema. Esso svolge compiti SICS (inerenti la sicurezza) e PICS (non inerenti la sicurezza). Le funzionalità di controllo e di informazione sul processo sono completamente subordinate a quelle di sicurezza, in accordo a quanto statuito nel capitolo 3.5.
3.6.7.15.1 Touch-Screen – schermata di controllo
Un possibile aspetto della schermata di controllo potrebbe essere quello di Fig. 35 (la Figura 36 riporta i nomi delle variabili associate). L’operatore effettua le transizioni fra i vari stati del sistema premendo i pulsanti contenenti la freccia e che sono resi visibili dal sistema di controllo (è possibile nascondere quelli corrispondenti a transizioni non ammesse). Il sistema segnalerà le transizioni o gli stati in corso illuminando o facendo lampeggiare la freccia o il riquadro corrispondente.
CMD | SCADA | LOGBOOK | MAINT |
UP IDLE PRE IRR DOWN SCRAM MAINT CHANGE 2012.05.22 11:43:12 | |||
Fig. 35: Schermata di controllo
ITT32
ITT45
UP
PRE
IRR
STT74
DOWN
SCRAM
MAINT
CHANGE
ITT32
ITT43
ITT34
STT03
ITT23
STT08
STT09
STT89
ITT67
STT07
STT06
IDLE
STT02
STT04
STT56
STT05
Fig. 36: Variabili associate alla schermata di controllo
In Fig. 37 è riportato un esempio di schermata SCADA mediante la quale è possibile avere, in un colpo d’occhio, le informazioni essenziali sul sistema, fra cui:
• altezza sorgente (IAHS)
• livello acqua (IAHW)
• concentrazione di Ozono (IA03) e stato delle relative soglie di allerta (ISR7 e ISR8)
• livello di radiazione (IAGM) e stato delle relative soglie di allerta (ISR6 e ISR7)
• temperatura della cella (IAT)
• data e ora attuale
• durata (TIME1) dell’ultima fase di irraggiamento compiuta o in corso
SCADA
LOGBOOK
MAINT
High Source H = 6.4
Low Water H = 4.3
4.1
4.9
O
γ
T
3
Low Source H = 0.5
2012.05.22 11:43:12
elapsed 7454
CMD
21.3
4.9
4.9
Fig. 37: Schermata SCADA
La schermata Logbook riporta ogni singolo evento del sistema e l’istante in cui esso si verifica. Un esempio potrebbe essere quello riportato in Fig. 38.
Time
SCADA
CMD
Event Descr
LOGBOOK
MAINT
2012.05.22 09:10:02
2012.05.22 09:10:03
2012.05.22 09:10:04
2012.05.22 09:11:12
2012.05.22 09:11:13
2012.05.22 11:45:23
2012.05.22 11:47:55
2012.05.22 11:56:01
2012.05.22 11:57:23
2012.05.22 11:58:13
2012.05.22 12:00:02
2012.05.22 12:00:03
2012.05.22 12:01:45
2012.05.22 12:01:46
2012.05.22 12:02:55
2012.05.22 12:02:56
2012.05.22 22:58:57
S01 T12 S02 T23 S03 ISN1 ISS1 ISS1 T34 IPA ISN1 S04 T45 S05 T56 S06 ISA1
status = OFF OFF >> IDLE
System is ON (IDLE) IDLE >> CHANGE
status = CHANGE porta blindata aperta
passerella fuori posto passerella a posto CHANGE >> PRE
procedura S1/S2/S3 eseguita porta blindata chiusa status = PRE
PRE >> UP
status = UP UP >> IRR
status = IRR station blackout
2012.05.22 22:58:58
2012.05.22 22:59:15
Fig. 3T868: SchIeRrRma>t>a dSeClRLAoMgbook
status = SCRAM
Gli eve2n0t1i2c.h0e5d.o2v2re2b2b:e5r9o:e1s6sere ripT8o9rtatiSnCeRlAloMgb>o>oMkAsIoNnTo i seguenti:
• 20ti1m2e.s0t5a.m2p2 (2d2a:ta59e:o1r7a)
•
• 20in1i2zi.o0d5i.u2n2 n2u2o:v5o9s:t1a8to 2012.05.22 22:59:19
inizio di una transizione
status = MAINT MAINT >> OFF
status = OFF
• segnali provenienti dal “campo” (in pratica tutti quelli di Tabella 5)
• eventi legati ad interventi di configurazione del sistema
Il logbook potrebbe, in linea di principio, contenere anche informazioni destinate al SAR, cioè riproporre lo stato del sistema, ad intervalli di tempo prestabilito, cioè senza che si verifichi un evento di alcun tipo. Una decisione in tal senso andrà presa analizzando le capacità di memorizzazione del PLC.
La schermata MAINT verrà utilizzata per operazioni di configurazione e manutenzione del sistema. Un esempio è proposto in Fig. 39, in cui esistono dei pulsanti per passare dalla condizione di funzionamento normale, a quella di test, o a quella di configurazione del sistema, cioè per accedere ad ulteriori schermate (la cui descrizione va oltre le finalità del presente lavoro), specifiche della condizione prescelta. Tali pulsanti saranno attivi solo se il sistema si trova nello stato IDLE, oppure in quello MAINT. Inoltre, la possibilità di accedere alle schermate “TEST” o “CONFIG”, sarà subordinata alla fornitura di password che permettano l’accesso solo ad operatori addestrati e ufficialmente delegati a tali compiti.
SCADA
LOGBOOK
MAINT
NORMAL
TEST
PASSWORD
****
1 2
3
4
5
6
7
8
9
<
0
>
CMD
CONFIG
Fig. 39: Schermata Maint
3.6.7.16 Qualificazione del software
Il software è la traduzione in linguaggio macchina (cioè comprensibile da uno specifico PLC) di procedure logiche (algoritmi) che, dato un set di dati di input, producono un determinato output. Tali procedure devono essere stabilite “a priori”: la loro convalida non dipende dal tipo di software usato per implementarle (infatti devono essere stabilite anche se per la loro implementazione si vuole utilizzare un sistema a relé). Ciò detto, risulta chiaro che la qualificazione del software significa dare risposta ad una domanda:
il software si comporta nel modo prescritto dalle procedure?
Assumendo che il PLC non abbia problemi hardware (vedi 3.6.7.17) l’unica ragione di una risposta negativa è la presenza di errori nell’implementazione dell’algoritmo. I possibili effetti sono due:
• il PLC produce output incoerenti
• il PLC non produce output perché è entrato in loop (un ciclo infinito, con perdita delle capacità di controllo del sistema)
Al primo inconveniente può essere posto rimedio; basta verificare che ad ogni possibile set di dati di input corrisponda la risposta attesa (è facile se, come nel presente caso, si lavora con un numero limitato di input, per di più digitali), e comporta una sistematica azione di
test che va adeguatamente documentata. Al secondo, in generale, non può essere data risposta21, ma nel presente caso, introducendo opportune limitazioni nell’uso del software, la risposta è ancora affermativa. In Fig.40 sono riportati due diagrammi di flusso. In quello a sinistra, l’esecuzione è sempre “in avanti”, cioè, qualunque sia la “decisione” ( raffigurata da un rombo) che il programma prende, il program counter aumenta, e inesorabilmente si arriverà alla conclusione di ogni singolo ciclo PLC. Nel caso a destra, esiste una decisione che produce un “salto all’indietro”, e che (nel caso di errori di programmazione) potrebbe portare alla instaurazione di un loop infinito, quindi va accuratamente evitata. Una situazione analoga (blocco del programma) si potrebbe verificare se si utilizzassero blocchi di attesa (semafori) che arrestassero l’esecuzione fino al verificarsi di condizioni esterne. Altra accortezza: non subordinare la lettura degli input o la scrittura degli output ad alcuna decisione. Esiste, infine, una possibile causa di malfunzionamento (incluso il loop) che scaturisce dallo “sporcamento” di variabili, o addirittura delle istruzioni del programma (con risultati imprevedibili), e la cui causa è l’uso di istruzioni di indirizzamento indiretto (tipicamente avviene nell’uso di vettori e matrici) pilotato da una variabile (quindi non definito in fase di compilazione). Riassumendo, ecco le regole per produrre un software (per PLC) teoricamente “inattaccabile”:
1. porre le istruzioni di Input e Ouput al di fuori di ogni ciclo decisionale (si avrà sempre la certezza di leggere dati e produrre risultati)
2. evitare ogni iterazione interna (“salto all’indietro”) nell’esecuzione del programma (il che esclude purtroppo l’uso di cicli for.., while.., ecc.)
3. evitare l’introduzione di blocchi di attesa di eventi esterni
4. evitare ogni indirizzamento indiretto (es. vettori e matrici) con indici variabili
L’implementazione di queste regole dipende ovviamente dal tipo di linguaggio usato per lo specifico PLC impiegato. Alcuni possono essere programmati solo con linguaggi ad alto livello, talora esclusivamente grafici, che implicitamente le rispettano (chi scrive ha però sperimentato che la “tentazione” all’uso della iterazione interna da parte degli stessi produttori dei dispositivi ha portato alla implementazione di strani escamotage in aperta violazione della prescrizione numero 2). Altri PLC possono essere programmati in linguaggi a più basso livello (simili al C o al Basic), e allora le suddette prescrizioni si applicano in pieno.
21 Il matematico Xxxxxx (Londra, 1912 – Wilmslow, 1954) ha dimostrato che lo “halting problem” non è “decidibile”, cioè non è possibile scrivere un software per capire se un determinato software va in loop oppure no.
init
start
in
out
stop
init
start
in
Ciclo PLC
Potenziale
loop
out
stop
Fig. 40 – Looping potenziale
3.6.7.17 Qualificazione dell’hardware
Un moderno PLC è composto di un’unità di elaborazione (un microprocessore) e da una serie di interfacce segnale Digitali e Analogiche, di Input e di Output, nonché da porte di comunicazione seriale che supportano una quantità di protocolli industriali e non. L’affidabilità (in applicazioni terrestri) dei microprocessori è ormai un dato acquisito, e quindi il raggiungimento di un determinato obiettivo SIL è legato alla affidabilità delle interfacce con il “campo”, alla loro capacità di sopportare sovratensioni e sovracorrenti, e, infine, alla capacità di auto-diagnostica. Per gli scopi della presente attività, i PLC da impiegare dovranno avere una delle seguenti due certificazioni:
• IEC 61508 SIL 3 (Functional safety of electrical/electronic/programmable electronic safety-related systems)
• ISO 13849-1 Safety Categories 2 to 4 (Safety related parts of control systems)
Si ricorda che la certificazione del PLC è condizione necessaria, ma non sufficiente, alla qualificazione dell’intero sistema. E’ stato anticipato (vedi 3.6.7.14.5) che è necessario introdurre due PLC in “parallelo” (ridondanza 100%) per garantire la necessaria affidabilità. Nei paragrafi seguenti verrà spiegato in cosa consista tale “parallelo”, analizzando la situazione dal punto di vista dei segnali di campo, dell’azionamento dell’argano, dell’azionamento dei ventilatori.
3.6.7.17.1 Parallelo dei segnali di campo
Lo schema di Fig.41 fa riferimento al collegamento di alcuni dispositivi “Safety Related”, e può essere riassunto nei seguenti statements:
• adottare sensori (pulsanti, catenelle, switch di livello, sensori di ozono o radiazione, ecc.) con uscite duplicate e indipendenti
• collegare una uscita al primo PLC, e l’altra al secondo
IEP1 IEP2 ISR7
PLC2
IEP1 IEP2 ISR7
PLC1
Fig. 41: Esempio di collegamento di segnali provenienti dal campo
3.6.7.17.2 Collegamento dell’argano
Lo schema di riferimento è riportato in Fig.42. Esso garantisce che la salita sorgente avvenga per consenso di entrambi i PLC, mentre è sufficiente che ne funzioni uno per attivare la discesa.
• •
•
• •
•
•
•
•
•
• •
XXXX
XXXX
PLC2
XXXX
XXXX
PLC1
R S T
Fig.42: Schema di collegamento dell’argano
3.6.7.17.3 Azionamento ventilatori
Diversamente dall’attuale sistema, è preferibile avere due ventilatori separati, ciascuno provvisto di encoder che provveda al feedback sull’effettiva rotazione della ventola. Lo schema di azionamento è riportato in Fig.43. Ciascun PLC gestisce un ventilatore, ma il feedback sul funzionamento perviene ad entrambi. Solo uno dei due ventilatori è in funzione (vedi appendice A2), ma, in caso di guasto, l’altro può intervenire automaticamente per assicurare il ricambio d’aria. Si noti che non è prevista ridondanza sui teleruttori perché ininfluente ai fini della sicurezza.
OMV2 OMV1
(non connesso)
ISA2 ISA1
•
PLC1
•
OMV2 OMV1
(non connesso)
•
ISA2 ISA1
• •
PLC2
R S T
Fig.43: Schema collegamento ventilatori
3.7 Implementazione di un Sistema di Acquisizione e Reporting
Stante l’essenziale premessa contenuta nel capitolo 3.5, valgono le seguenti considerazioni:
• il sistema dovrà risiedere in un dispositivo (PC) diverso da quello del sistema di controllo
• la connessione con il sistema di controllo dovrà essere unidirezionale (SCS🡪SAR)
• il sistema potrà anche impiegare sensori e apparati diversi da quelli implementati nello SCS, a patto che la presenza di questi non ne pregiudichi funzionalità e affidabilità, e, naturalmente, non aggiunga ulteriori cause di “hazard22”.
Lo scopo del sistema di acquisizione è monitorare lo stato di CALLIOPE per tutti gli scopi legati alla sua “missione” (che è di irraggiare provini), ma con assoluta esclusione delle funzioni di sicurezza. I dati acquisiti da tale sistema verranno impiegati nella fase di reporting.
Ad oggi, viene effettuata una acquisizione dati “off-line”, mediante il dispositivo illustrato in Fig.44.
Fig.44: Data logger attuale (Monarch Data-Chart 2000) Il dispositivo acquisisce le seguenti informazioni:
• Temperatura aria cella
• Umidità relativa
22 E’ il caso di sottolineare che motivo di “hazard” può anche essere la disponibilità di informazioni comparabili (es. un’ulteriore misura di livello di radiazione) con quelle fornite dal sistema SCS, che l’operatore utilizzi per trarre conclusioni sullo stato (in senso Safety) del sistema, che invece dovrebbero scaturire esclusivamente dai dati forniti dallo SCR.
• Concentrazione di Ozono
I dati vengono immagazzinati nella memoria del dispositivo in tempo reale. Saltuariamente, essi vengono poi trasferiti su un PC, mediante una MD card, per l’elaborazione.
3.7.2.2 Evoluzione del sistema
L’obiettivo è estendere il novero dei dati acquisiti, consentirne il trasferimento automatico sul PC deputato a tale scopo, in modo da consentirne l’elaborazione in tempo reale. Il set di dati comprenderà:
• Temperatura aria cella
• Umidità relativa
• Concentrazione di Ozono
• Stato sorgente (alta/bassa)
• Ulteriori dati resi disponibili dallo SCS
• Dati resi disponibili da sistemi di acquisizione aggiuntivi (ovviamente in ambito SAR).
Alcune considerazioni:
• tutti i dati che lo SCS acquisisce (e che sono finalizzati ai controlli di sicurezza) possono essere messi a disposizione del SAR.
• Lo SCS attualmente non prevede l’acquisizione di dati analogici, ma è auspicabile, come già detto nella sezione 3.6.7.2, che lo faccia.
• Riguardo i sistemi di acquisizione aggiuntivi, non essendo al momento disponibile una specifica sugli obiettivi, è solo possibile fare ipotesi generiche.
Il programma dovrà svolgere le seguenti funzioni:
• Gestione della comunicazione verso lo SCR
• Memorizzazione “sicura” dei dati acquisiti
• Analisi (selezione, visualizzazione, esportazione dei dati, reporting)
3.7.3.1.1 Struttura interna dei dati
I dati acquisiti saranno memorizzati secondo lo schema di Tabella 32. Si tratta di una semplice tabella in cui la chiave primaria è costituita dal tempo (Time) in cui il dato viene acquisito. Ciascuna colonna rappresenta l’andamento nel tempo della grandezza indicata nella prima riga della colonna (potrà essere una temperatura, un livello sorgente, una concentrazione ozono, ecc.). Ogni riga rappresenta la situazione nota all’istante indicato
nella prima colonna della riga stessa. Le caselle grigie indicano che quel dato, a quell’istante, non è disponibile.
Time | Dato 1 | Dato 2 | ... | Dato n |
t0 | <valore> | ... | <valore> | |
t1 | <valore> | <valore> | ... | <valore> |
... | ... | ... | ... | ... |
ti | <valore> | ... | ||
ti+1 | <valore> | <valore> | ... | <valore> |
... | ... | ... | ... | ... |
– Struttura dati memorizzati
La tabella viene riempita da:
• informazioni scaturite da eventi dello SCS
• informazioni periodiche generate dallo SCS, ma non legate a particolari eventi
• informazioni emesse da sistemi di acquisizione aggiunti
• informazioni legate ai provini da irraggiare (immesse dall’operatore)
Riguardo alle informazioni periodiche (quelle più interessanti dal punto di vista tecnico- scientifico) vi è un problema già evidenziato nella sezione 3.6.7.15.4. Non è possibile, ora, decidere se i dati acquisiti a cadenza fissa, non legati ad eventi, possano essere memorizzate nel PLC, o se vada seguita una via diversa. Se il PLC ha memoria a sufficienza23, sarebbe auspicabile memorizzarli nel PLC stesso. Se il PLC non ha memoria a sufficienza, si potrebbe agire nei seguenti modi:
• far in modo che lo SCS memorizzi le informazioni corrispondenti ad un periodo limitato di tempo (compatibile con la memoria disponibile), e che il sistema SAR le legga prima che vengano soprascritte;
• non coinvolgere attivamente lo SCS, ma limitarsi a fare “polling” sullo stesso, ad intervalli prestabiliti, interrogando la memoria del PLC per estrarre le informazioni richieste.
Nel primo caso vi è la possibilità di “coprire” una eventuale indisponibilità del SAR, mentre nel secondo, se il SAR non funziona, le informazioni sull’irraggiamento in xxxxx xxxxxxx
00 Xx presuppone la possibilità di memorizzare i dati corrispondenti ad un lungo periodo (es. un mese) di funzionamento ininterrotto, con SAR inattivo.
perse. Riguardo alle informazioni sui provini da irraggiare, si sottolinea che il programma dovrà consentire l’immissione di dati che definiscano i seguenti eventi:
• immissione di un provino (identificato da un codice univoco) nella cella di irraggiamento
• estrazione di un provino dalla cella di irraggiamento
Le ulteriori informazioni che contraddistinguono il provino saranno gestite dal sottosistema di reporting (3.7.4) e non devono essere immesse in questa fase.
La scelta del protocollo di comunicazione è vincolata alle caratteristiche del PLC implementato nello SCS. E’ estremamente probabile che il PLC permetta l’uso di più tipi di protocollo di tipo industriale, e che (limitatamente ai sistemi operativi Microsoft) sia possibile colloquiare con esso sfruttando driver OPC24. Dal punto di vista del supporto fisico (cavo), è anche possibile che siano disponibili varie tipologie di collegamento. Vista la non criticità del sistema in esame, e vista la ridotta distanza fisica fra SCS e SAR, le soluzioni più semplici (non richiedono schede aggiuntive nel PC) potrebbero essere:
• porta seriale RS232 (sempre meno presente nei desktop, e ormai assente nei laptop)
• porta USB
• porta Ethernet
La porta Ethernet sembrerebbe la più adeguata, anche perché consentirebbe allo SCS di distribuire l’informazione su più PC, e quindi più utenti. Lo schema di principio è quello di Fig. 45.
24 I driver OPC svolgono, nell’ambito dei sistemi di supervisione, la stessa funzione dei driver delle stampanti. In pratica, uno sviluppatore può accedere alle informazioni rese disponibili da un sistema di controllo astraendosi dalle peculiarità hardware e software di quello specifico sistema. Per rendersi conto dell’impatto di tale scelta, basta ricordare che in passato, parlando di stampanti, la Autodesk, oltre a sviluppare AutoCAD, doveva sviluppare anche i driver del maggior numero possibile di driver di stampanti e plotter.
SCS
SAR
ETHERNET SWITCH
ETHERNET PORT
PLC2
PLC1
ETHERNET PORT
Fig.45: Collegamenti fra SCS e SAS
E’ opportuno che la memorizzazione avvenga su file in formato leggibile, che la formattazione sia fissa, ma soprattutto ben documentata. Ciò riduce le performance25 in maniera insignificante ma garantisce che eventi imprevedibili26 rendano inutilizzabili i dati storici accumulati nel tempo.
Per garantire la salvaguardia dei dati è possibile adottare diversi sistemi. Tutti si basano sul concetto di ridondanza della memoria di massa. Ecco alcuni esempi, in ordine crescente di affidabilità:
• Duplicazione dei dati su dischi diversi dello stesso computer o su computer diversi (gestito via software)
• sistema RAID 1 (richiede due dischi), gestito da hardware
• sistema RAID 5 + disco di “spare” (richiede almeno quattro dischi), gestito da hardware
L’adozione di un sistema RAID richiede un piccolo sistema server, con adeguate caratteristiche di affidabilità, fra cui:
• sistema di doppia alimentazione (alimentatore ridondato)
• UPS
Un esempio è illustrato in Fig. 46.
25 Velocità di caricamento dati all’apertura del programma
26 Cambiamento della politica commerciale, fallimento, acquisizione della compagnia che ha sviluppato il software.
UPS
+
Fig.46: Configurazione Server ad alta affidabilità
Con riferimento al complesso dei dati memorizzati (Tabella base) secondo la struttura discussa nella sezione 3.7.3.1.1, il software di analisi deve avere le seguenti funzioni interne:
• possibilità di generare altre Tabelle limitate ad un particolare range temporale e ad una selezione di variabili
• possibilità di generare delle time-histories di un dato selezionati, depurate degli istanti in cui il dato non è disponibile
A livello di visualizzazione, il programma dovrà consentire:
• visione della Tabella Base (l’esempio è il foglio EXCEL)
• visione di Tabelle derivate, configurate dall’utente (scelta del range temporale e del set di variabili)
• grafici di time-histories
• esportazione di Tabelle o time-histories verso altre applicazioni (formato “.csv”, “.txt”, ecc.)
• esecuzione di analisi statistiche (da definire)
• esecuzione della fase di reporting (vedi 3.7.4)
Il programma di reporting è una utility del programma di acquisizione. Il suo obiettivo è automatizzare (in tutto o in parte) la compilazione dei Certificati che accompagneranno i provini sottoposti ai test di irraggiamento. Gli elementi funzionali del programma sono
• Database dei provini
• Calcolo della dose
• Generazione del report di prova
Questo database è pensato per tener traccia di tutti i test effettuati in CALLIOPE. Diversamente dall’archivio del sistema di acquisizione, esso potrebbe essere articolato su più tabelle perché la sua gestione è molto simile a quella di un magazzino, e potrebbe includere, oltre gli aspetti tecnici, anche aspetti di tipo gestionale. In Fig.47 è riportato il Ciclo di Vita del Provino
Ricezione
Restituzione
Temporary storage
Irraggiamento
Analisi (Lab 1)
Analisi (Lab 2)
Fig.47: Ciclo di vita del provino Valgono le seguenti considerazioni
• Nella fase di ricezione il provino dovrà essere identificato in maniera univoca in modo da essere tracciabile nelle fasi successive.
• Sarà ovviamente necessario associarlo ad un cliente (il che presuppone la presenza del relativo Archivio Clienti).
• Ogni “passaggio” dovrà essere memorizzato
Il cuore del sistema di reporting è l’algoritmo per la determinazione della dose effettivamente ricevuta dal provino. I dati necessari sono (al minimo) i seguenti:
• parametri della sorgente (Curva di decadimento, Dose Rate Profile)
• parametri di prova (duty cycle, dati provino)
La descrizione dell’algoritmo non è negli scopi della presente attività. Si riporta solo un semplice sinottico (Fig.48) che ne riassume il concetto.
=
Posizione Target
Dose Rate Profile
+
Duty cycle
Curva decadimento
Parametri Prova
Parametri Sorgente
Dose
tempo
spazio
Fig.48: Sinottico del concetto alla base del calcolo della dose
3.7.4.2.1 Curva di Decadimento sorgente
E’ necessario disporre della curva di decadimento dell’attività della sorgente. Nella fattispecie è dunque necessario sapere.
• Attività della sorgente ad una determinata data (questa informazione andrà aggiornata ogni qual volta si procede ad una “ricarica” della sorgente, cioè alla sostituzione di alcune barrette).
• Tempo di dimezzamento (sarà quello del 60Co)
Disponendo di questa informazione è possibile conoscere l’attività della sorgente in qualunque istante del suo funzionamento.
Conoscere la distribuzione spaziale della radiazione γ nella cella permette di calcolare il Dose Rate corrispondente alla posizione del provino. La distribuzione dipende dalla geometria e materiali della cella e della sorgente, ma anche dalla presenze di parti mobili (es. mattoni di piombo) che potrebbero variare di posizione da caso a caso. Il programma dovrà essere in grado di memorizzare più campi di Dose Rate (normalizzati al valore di attività della sorgente utilizzato per il calcolo) in modo che l’utente possa scegliere quello che meglio approssima le
condizioni in cui il provino dovrà essere irraggiato. Per quanto riguarda la simulazione dell’impianto Calliope si rimanda alla Figura 5 in tutte le sue proiezioni.
In molti casi il provino può essere sottoposto a cicli ripetuti la cui articolazione temporale dipende da cause esterne, talora non previste (blackout). La situazione più generale è quella riportata in Fig. 49, dove si ipotizza che la sorgente sia attiva nei periodi t0 .. t1, t2 .. t3, t4 .. t5, t6 ..t7, e che il provino sia in cella solo nei periodi da t2 ..t3, da t6 ..t7. Il calcolo della dose richiede l’integrazione del rateo di dose, e quindi la conoscenza dei tempi in cui il provino è presente e la sorgente è estratta o inserita. La prima informazione deriva dal sistema di gestione (Database dei provini, 3.7.4.1). La seconda informazione è immediatamente disponibile sia a livello elettrico (segnale OSUP del PLC, vedi 3.6.7.6), che come variabile disponibile (in sola lettura!) via rete (vedi 3.7.3.1.1 e 3.7.3.1.2) sempre da PLC.
t0
t1 t2
t3t4 t5 t6
t7
time
Sorgente ESTRATTA (ON)
Sorgente BASSA (OFF)
Provino dentro Provino fuori
Fig.49: Integrazione temporale della dose nel provino
I dati che dovranno essere associati al provino sono:
• identificativo univoco (può essere automaticamente generato dal programma, essere associato ad un numero di commessa, ecc.)
• codice commessa
• posizione del provino in cella
Riguardo alla posizione in cella, valgono le seguenti considerazioni:
• la posizione di un oggetto nello spazio della cella è data, in generale, da 6 parametri
• due di questi parametri potrebbero essere le coordinate XY di un punto caratteristico dell’oggetto rispetto ad un sistema di riferimento definito per la cella. Alternativamente si potrebbe utilizzare la distanza R dall’asse sorgente, e l’angolo T del raggio vettore rispetto ad una direzione predefinita.
• Il terzo parametro è la quota Z rispetto ad un piano di riferimento (pavimento della cella, oppure il piano del tavolo di irraggiamento)
• Gli altri parametri definiscono l’assetto del provino (orientamento, inclinazioni), e, sempre in generale, si dovrebbe ricorrere a sistemi (es. angoli di Eulero) di impiego non immediato.
In sintesi, mentre risulta facile definire la posizione (col sistema XYZ, o RTZ), la definizione dell’assetto presenta difficoltà di ordine pratico, non ultima quella di dover introdurre un sistema di riferimento del provino, descriverlo, e tenerne traccia. Rimane, infine, il problema dei provini sottoposti a “grilling” (vengono fatti ruotare durante l’irraggiamento), che imporrebbe la definizione dell’asse e della velocità di rotazione. La soluzione che l’esperienza suggerisce è limitare il novero delle informazioni di posizione e assetto a:
• tre informazioni per la posizione del provino (metodo XYZ o RTZ)
• una informazione per l’assetto, cioè l’angolo Q (rispetto ad una direzione prestabilita) della rotazione in Z di un piano definito del provino
Piscina
Provino
Y
R
Sorgente
Q
T
X
• flag (vero o falso) per indicare che il provino e sottoposto a “grilling”, oppure no Un esempio di definizione di posizione e assetto è illustrato in Fig. 50.
Fig.50: Definizione di posizione e assetto di un provino
3.7.4.3 Possibilità di implementazione nel sistema attuale
Come ultimo tema si discuterà la possibilità di implementare un sistema SAR ridotto (senza registrazione eventi di sistema) a ridosso della console attuale, a logica cablata. Il novero dei segnali analogici disponibili è quello già visto nella sezione 3.7.2.1. manca la possibilità di accedere ad un segnale digitale che indichi lo stato (alto/basso) della sorgente. Nei due prossimi paragrafi verranno illustrate le tecniche che permetterebbero l’implementazione di una acquisizione dei segnali analogici nel SAR, e l’acquisizione del segnale logico mancante.
3.7.4.3.1 Acquisizione dati Analogici e Digitali dal Monarch
Il dispositivo Monarch (vedi 3.7.2.1) già acquisisce i segnali analogici voluti. Essi possono essere resi disponibili al SAR interfacciando il data-logger mediante la porta seriale RS232 già implementata. Il protocollo di comunicazione dichiarato dal costruttore (vedi Rif. 7) è il MODBUS (ASCII o RTU), cioè un protocollo semplice e piuttosto comune. Il data-logger costituisce l’unico slave della rete, mentre il PC che implementa il SAR è il master. Il master interroga (fa “polling”) ad intervalli lo slave e riceve i dati analogici richiesti. Analogamente potrebbe fare con i dati digitali corrispondenti ai canali digitali, anch’essi implementati sul Monarch. Se si riesce a connettere un segnale digitale corrispondente allo stato di sorgente alta/bassa, il gruppo dei segnali acquisiti è completo. Lo schema concettuale dei collegamenti è riportato in Fig.51. Il prossimo paragrafo illustra il modo in cui tale segnale può essere estratto dalla consolle in logica cablata.
PC (SAR)
USB🡨RS232
Cassetto RS232
Monarch
Cassetto dei Digital Input
Segnale ON/OFF (24 / 0 VDC)
Fig.51: Interfacciamento con il Monarch
3.7.4.3.2 Estrazione del segnale di sorgente dalla consolle in logica cablata
Dall’analisi degli schemi elettrici di *Rif. 5], è stato rilevato che uno dei relé (R15A) attivati dal segnale di sorgente alta, dovrebbe aver due contatti non collegati. Sembrerebbe naturale sfruttare tale opportunità per derivare il segnale voluto, usando, ad esempio, lo schema di Fig.52.
48VDC R15A
R
R ON/OFF (24 / 0 VDC)
Fig.52: Derivazione del segnale di sorgente dalla Consolle in logica cablata
Lo schema sfrutta il relé R15A per ricavare un segnale (a 48VDC) che, entrando in un partitore resistivo, fornisce il segnale digitale compatibile con il Monarch, discusso nella sezione 3.7.4.3.1. Per quanto semplice ed economicissima, tale soluzione presenta lo svantaggio di richiedere un intervento sulla consolle che deve essere concordato con l’autorità di sicurezza.
4 SISTEMA DI MONITORAGGIO DELLA MOVIMENTAZIONE SORGENTE DELL’IMPIANTO CALLIOPE
E’ stato studiato e progettato da XXXX in collaborazione con la ditta ELMAS da molti anni titolare del contratto di manutenzione dell’Impianto Calliope, un sistema di monitoraggio della movimentazione della sorgente di 60Co mediante l’impiego di sensori ottici: pur risultando completamente svincolato da qualsiasi componente dei sistemi di sicurezza e degli organi di movimentazione della sorgente dell’impianto (come richiesto da normativa), esso permette di definire in modo univoco ed in tempo reale i parametri necessari per la determinazione della dose assorbita dai provini sottoposti ad irraggiamento.
In tal modo, i dati relativi ad ogni irraggiamento (anche se condotto in modo simultaneo con altri) saranno direttamente registrati ed inviati attraverso una rete ethernet e/o un interfaccia RS 232/485 ad un apposito terminale che ospita il software ed il relativo database (Fig. 53).
Fig. 53: Schema a blocchi del sistema di monitoraggio ed acquisizione
Incrociando i dati con l’archivio dei campioni irraggiati, il sistema fornirà il registro dell’impianto e dell’irraggiamento dei singoli campioni, tenendo anche conto dell’entità iniziale e del decadimento naturale della sorgente, permettendo l’emissione dei certificati richiesti per ogni singolo test.
Il sistema descritto, oltre a presentare notevoli vantaggi in termini di semplificazione operativa per l’emissione dei certificati dosimetrici, mostra ulteriori aspetti positivi, come si potrà evincere dai paragrafi seguenti:
- Semplicità ed affidabilità del sistema
- Incremento della sicurezza di impianto
- Registrazione on-line di eventi imprevisti (tempistica)
4.2 Descrizione sistema di rivelazione ottica
Il sistema di monitoraggio progettato e messo in opera permette la rilevazione temporale di tutti i movimenti dell’argano di sollevamento della sorgente posizionato nell’external labyrinth (Figura 3), attraverso un sensore ottico che rileva la posizione longitudinale delle funi d’azionamento. Tale valore è infatti direttamente correlato alla posizione della sorgente in fase di salita (o discesa) fino al raggiungimento della posizione statica di irraggiamento (o di ricovero sul fondo della piscina).
In particolare, la piattaforma su cui appoggia la rastrelliera porta sorgenti dell’impianto Calliope viene movimentata da un apposito argano: mediante lo svolgimento ed il riavvolgimento di una fune metallica (opportunamente dimensionata) di mandata e di ritorno sul rullo avvolgicavo, come per i normali elevatori, si provvede al posizionamento della sorgente nella posizione desiderata.
Il sistema progettato consiste fondamentalmente in un banco ottico formato da otto fotocellule che sono state posizionate parallelamente al rullo avvolgicavo e per l’intera sua larghezza utile (Fig. 54 e 55). In tal modo viene facilmente rilevata la traslazione longitudinale delle funi di sollevamento, direttamente proporzionale alla posizione assunta dalla piattaforma. Ad esempio, nel caso in cui la piattaforma si trovi in posizione di ricovero sul fondo della piscina, Fig. 54, solo la fotocellula n. 2 risulterà impegnata; la sorgente in posizione di irraggiamento corrisponderà invece ad un segnale fornito dalla fotocellula n.6 (Fig. 55).
Come si può osservare, il numero delle fotocellule installate è superiore a quello necessario al semplice funzionamento del sistema di movimentazione: tale ridondanza rappresenta un ulteriore incremento dei sistemi di sicurezza presenti sull’impianto; in caso di malfunzionamento dell’argano, infatti, la prima o l’ottava fotocellula si attiveranno segnalando una situazione anomala anche con l’ausilio di un segnalatore acustico.
Un’importante osservazione riguarda il fatto che il sistema in oggetto, oltre ad essere estremamente compatto, risulta completamente svincolato da qualsiasi sistema di sicurezza e dagli organi di movimentazione della sorgente, come previsto dalla normativa.
La barra contenente le otto fotocellule è stata infatti fissata in prossimità della griglia di protezione delle funi dell’argano (Fig. 56) a distanza tale da evitare qualsiasi tipo di interferenza con apparati dell’impianto.
Il sensore ottico ed il relativo apparato elettronico sono montati in prossimità dell’argano, quindi fuori dalla cella d’irraggiamento, evitando così ogni tipo di esposizione e/o interferenza con la sorgente durante gli irraggiamenti.
Fig. 54: Sistema di fotocellule ed argano (schema e foto seguenti) con piattaforma in posizione di ricovero
Fig. 55: Sistema di fotocellule ed argano con piattaforma in posizione di irraggiamento
Fig.56: Vista del banco di fotocellule e dell’argano
4.3 Acquisizione dati con riferimento temporale
La barra contenente le otto fotocellule invia direttamente i dati all’interfaccia I/O del terminale d’acquisizione Cipherlab 520 (caratteristiche tecniche riportate in appendice A.7) che, attraverso il firmware appositamente scritto in linguaggio C, permette la memorizzazione dello stato del banco ottico, direttamente collegato ai canali di input.
Il terminale di acquisizione (Fig. 57) svolge quindi le seguenti funzioni:
1) Archivia tutte le variazioni di stato delle fotocellule con tag del proprio orologio interno;
2) Verifica eventuali segnalazioni anomale e, in caso di rilevazione di avaria del sistema di monitoraggio e/o dell’argano, memorizza la stato ed invia un segnale d’allarme alla sirena già in uso per i sensori di tensione funi;
3) Gestisce l’invio dei dati al personal computer contenente tutte le informazioni rilevate e la cancellazione dei dati inviati attraverso rete ethernet e/o seriale RS 232/485.
Il terminale 520 e le fotocellule sono accoppiate con un sistema UPS di alimentazione (autonomia di quattro ore) che permette la rilevazione dello stato della sorgente anche in caso di caduta di tensione (con relativo scream della sorgente), attivando l’allarme in caso di bloccaggio meccanico della discesa.
Inoltre, anche il miniterminale ed il sistema UPS sono montati sul muro adiacente l’argano, quindi fuori dalla cella d’irraggiamento, scongiurando qualsiasi esposizione e/o interferenza con la sorgente d’irraggiamento.
Fig. 57: Terminale di acquisizione Chipherlab 520 e Form di interrogazione di stato
4.4 Download dati su database ed elaborazione dati con software su personal computer
Un software, scritto in Visual Basic per Windows XP o successivi ed installato su un personal computer collocato in sala controllo dell’impianto, è stato appositamente creato per la gestione dell’intero ciclo di trattamento dei materiali da irraggiare e per monitorare lo stato di attività della sorgente.
Tenendo conto del decadimento naturale dell’attività (tempo di dimezzamento del 60Co= 1925.02 giorni), il software sarà in grado di determinare non solo l’esatto posizionamento e la durata di ogni singolo irraggiamento, ma anche l’attività della sorgente nel periodo di interesse.
Le funzioni del software dedicato possono quindi essere cosi riassunte:
1) Archivio dell’installazione nuove barrette della sorgente, con registrazione della data/ora e della relativa attività (per il calcolo del decadimento).
2) Archivio delle informazioni riguardanti i singoli campioni (posizionamento campioni in cella d’irraggiamento, posizionamento grafico (angolo e distanza), data ora di inizio e fine irraggiamento, “storia” del campione).
3) Estrazione della lista degli irraggiamenti di un determinato campione, con visualizzazione grafica della posizione in cella e calcolo totale della dose assorbita.
4) Estrazione riepilogo attività impianto per periodo
5) Visualizzazione grafica di tutti i campioni presenti in cella in un determinato momento
6) Back-up del database su supporto esterno
Nella Fig. 58 è visualizzato un esempio fornito dal software relativo al posizionamento dei campioni con rappresentazione grafica della cella.
Fig. 58: Esempio di visualizzazione fornito dal software relativo al posizionamento dei campioni in cella
CONCLUSIONI
Il presente deliverable, svolto in collaborazione tra ENEA e CIRTEN ha come oggetto la Progettazione di una consolle di concezione avanzata per l’impianto di irraggiamento gamma Calliope.
L’attività ha fornito risultati significativi dal punto di vista tecnico-scientifico, contribuendo a rafforzare la collaborazione tra gruppi di ricerca interdisciplinari e portando ad un approfondimento delle reciproche competenze.
La progettazione sviluppata da CIRTEN, alla luce delle indicazioni e prescrizioni fornite da ENEA, associata al nuovo sistema di monitoraggio della movimentazione sorgente dell’impianto Calliope realizzata da ENEA, renderanno possibile lo sviluppo di più affidabili metodologie di test di qualifica su componenti e sistemi di diverso tipo.
RIFERIMENTI BIBLIOGRAFICI
*1+ X.Xxxxxxx, X.Xxxxx, “Radiation damage studies performed at hte Calliope gamma irradiation plant at ENEA Italy”, SPIE Penetrating Radiation Systems and Applications XII Conference Proceedings San Diego !9- 24 Agosto , 2011.
[2] X.Xxxxxxx, X.Xxxxxxx, X.Xxxxxxxx, “Gamma irradiation facility at ENEA –Casaccia center (Rome), ENEA RT/2005/28/FIS.
[3] X. Xxxxxxx, X. Xxxxxxx, X. Xxxxx, X. Xxxxxxxx, X. Xxxxx, X. Xxxxx, “Metodi dosimetrici utilizzati presso l’impianto di irraggiamento Calliope”, Report ENEA-RT/INN/2000/3.
[4] X.Xxxxxxxx, X.Xxxxxxx, X.Xxxxxx, X.Xxxxx-Xxxxxxx, X.Xxxxx, “High-energy proton induced damage in PbWO4 calorimeter crystals”, ETHZ-IPP-PR-2004-03 Nov.30st, 2004.
[5] X.Xxxxxxx, P.D’Xxxxxxxx, “Qualification of nuclear systems and components. ENEA expertise and facilities”, ENEA, 2010.
APPENDICI
Il sottosistema di blocco/sblocco della chiave “A” è disponibile in commercio e può integrare:
• sistema di ritardo (la chiave viene sbloccata dopo un tempo programmabile nel sottosistema stesso);
• sistema di blocco asservito a ulteriori segnali di pericolo27.
Un esempio, tratto da una brochure della Xxxxx-Xxxxxxx è riportato in Figura A.1.
Fig. A.1: Trapped Key Interlocking
Va precisato che tali sistemi sono ormai compatibili con le tensioni ordinariamente impiegate nei PLC, cioè 24 VDC (non più necessità di alimentazione a 110 volt).
A2 Sequenza ventilatori
E’ possibile introdurre una logica che selezioni il ventilatore da attivare in modo da bilanciare il consumo fra i due componenti. E’ sufficiente confrontare il tempo di funzionamento accumulato e far partire il ventilatore con minor vita attiva. Lo schema di Figura A.2 illustra una possibile implementazione. L’attivazione di richiesta ventilazione (transizione di OMV da 0 a 1) viene rilevata dal blocco CUP28 e viene salvato il tempo corrente nella variabile ausiliaria START_TIME. Contestualmente viene deciso quale dei ventilatori debba entrare in funzione in base al confronto fra i tempi di impiego TVE1 e TVE2. Al centro del diagramma,
27 L’interdizione all’accesso in cella nelle condizioni in cui il PLC è acceso sono garantite dalla logica in esso implementata. Se il PLC è spento non vi è controllo, per cui potrebbe essere consigliabile sfruttare tale opzione subordinando lo sblocco della chiave alla presenza di segnali equivalenti a ISAV0 (che però è generato internamente al PLC e non è disponibile quando questo è spento).
28 Il blocco CUP produce 1 in uscita quando percepisce la transizione della variabile di ingresso da 0 a 1. Se il valore della variabile non cambia, o se si resetta (transizione 1🡪0), l’uscita varrà 0.
viene attivato il ventilatore prescelto (OMV1 o OMV2), oppure, in caso di emergenza (OMV_BAILOUT=1) il segnale di attivazione viene inviato ad entrambi (nel caso che uno dei due sia rotto questo assicura che l’altro venga messo in funzione per garantire il ricambio d’aria anche in fase di emergenza). Nella parte bassa avviene l’aggiornamento del conteggio del tempo di impiego.
OMV
CUP
TIME0 START_TIME
1
0
in SEL
START_TIME
OMV_BAILOUT
TVE2 TVE1 >
START_VE1
1
0
in SEL
START_VE1
START_VE1
OR
AND
AND OR
OMV1
OMV2
TIME0 START_TIME
–
OMV1
OMV2
1
0 0
in SEL
1
0 0
in SEL
TVE1
TVE2
TVE1
+
+
TVE2
Fig.A.2: Esempio di implementazione del blocco di selezione dei ventilatori
A3 Circuito prova lampade
In un impianto a logica cablato le lampade sono le uniche “spie” di quanto avviene nel sistema, ed è essenziale verificarne la funzionalità. Nella console attuale il sistema Prova Lampade è implementato come un “layer” circuitale (in CC) sovrapposto a quello di controllo (in CA), secondo lo schema logico di Figura A.3.
+
CA
Logic a
Logic a
Prova lampad e
0 (comune)
CC
Fig.A.3: Schema logico dell’attuale sistema Prova Lampade
Una specificità è poi costituita dal “doppione” richiesto per introdurre nel sistema di prova la lampada del sistema di sblocco della chiave “A”, che lavora a 110 volt. Il ricorso alla seconda alimentazione in CC era dovuto alla necessità di implementare logiche OR mediante diodi. Sostituendo la logica cablata con un sistema a PLC, il numero di lampade verrebbe sensibilmente ridotto, e l’implementazione del “Prova Lampade” potrebbe essere implementata secondo gli schemi di Fig.A.4.
+ CC
Prova lampad e
Logic a
OR
Logic a
OR
PLC
0
TEST
Logic a
OR
Logic a
OR
PLC
0
Fig.A.4: Schema concettuale circuito “Prova Lampade” in un PLC
Nello schema a sinistra viene impiegato un pulsante esterno, mentre in quella a destra si immagina di disporre di un tasto virtuale sul display del PLC.
A4 Blocco di verifica della sequenza S1/S2/S3
Un esempio di logica di controllo della sequenza di abilitazione mediante i pulsanti S1/S2/S3è riportato in Fig. A.5. L’abilitazione della procedura, cioè la transizione della variabile interna ENABLE dal valore 0 al valore 1, provoca il reset dei blocchi SUSTAIN29 e LATCH30, e preabilita il primo blocco AND (quello superiore). La pressione di P1, e la non- pressione di P2 e P3, provocano un impulso positivo in uscita che fa partire il timer del blocco SUSTAIN (che manterrà 1 in uscita per il tempo Δt), e attiverà il primo LATCH (quello superiore) che preabilita il secondo AND. La pressione di P2, e la non-pressione di P1 e P3, attiveranno il secondo LATCH, che preabilita il terzo AND. La pressione di P3, e la non- pressione di P1 e P2, attiveranno il terzo LATCH. L’uscita di questo sarà posta in AND con il segnale proveniente da SUSTAIN (a verifica che la sequenza dei pulsanti è avvenuta entro il tempo Δt), e con il segnale di abilitazione ENABLE (a verifica che esistano ancora le condizioni per l’esecuzione della procedura). Se tutto va bene, l’uscita dell’AND rimarrà settata a 1 fino alla conclusione del tempo Δt.
ENABLE
Δt
P1
AND
LATCH
reset
P2
AND
LATCH
reset
P3
AND
AND IPA
LATCH
reset
PLC
time
SUSTAIN
reset
Fig.A.5: Logica del sistema di abilitazione (pulsanti S1/S2/S3)
29 Il blocco SUSTAIN, quando riceve in ingresso un impulso positivo (0🡪1), mantiene l’uscita a 1 per un tempo
Δt. L’ingresso reset azzera il timer e l’uscita del blocco.
30 Il blocco LATCH ,quando riceve in ingresso un impulso positivo (0🡪1), mantiene l’uscita a 1 per un tempo indefinito. L’ingresso reset riporta a zero l’uscita del blocco
A5 Pulsanti di Emergenza
Per gli scopi evidenziati in 3.6.7.17.1, il tipo di pulsante di emergenza da impiegare nell’impianto deve essere:
• a doppio contatto;
• NC (normalmente chiuso);
• “push-to-stop, twist-to-release”.
Segnalazione
Schema elettrico equivalente
La prima caratteristica garantisce l’indipendenza del circuito di segnalazione da quello di localizzazione dell’allarme. La seconda, è ovvia e praticamente obbligatoria in circuiti di questo tipo. La terza assicura che condizione necessaria (ma non sufficiente) al ripristino del sistema dopo la cessazione dell’allarme sia un intervento manuale consapevole, cioè la rotazione del bottone rosso. Lo spaccato di un pulsante di emergenza31 idoneo allo scopo è riportato in Fig.A.6.
Localizzazione
Ausiliario (non necessario)
Fig.A.6: Esempio di Pulsante di Emergenza
31 Il modello raffigurato è lo SSA-EBM-12L della Banner Engineering Corp., USA (xxx.xxxxxxxxxxxxxxxxx.xxx)
Sempre con riferimento alla Fig.A.6, va notato che è possibile disporre di un ulteriore contatto (quello raffigurato è un NO, ma potrebbe essere un NC), che però non è utilizzato nella situazione corrente.
A6 Catenelle di emergenza
Per gli scopi evidenziati in 3.6.7.17.1, il tipo di interruttore azionato da catenelle di emergenza deve essere:
• a doppio contatto;
• NC (normalmente chiuso);
• azionato sia dalla tensione della fune che dalla sua rottura o allentamento;
• ripristinabile solo localmente.
Simile al pulsante di emergenza, è di più complessa gestione in quanto richiede un corretto tensionamento della fune (anche un allentamento o la rottura della stessa causerà
l’emissione del segnale di allarme). Un esempio di dispositivo32 è riportato in Fig.A.7.
Fig.A.7: Interruttore di Emergenza a Fune
Il dispositivo raffigurato integra anche un pulsante di emergenza tradizionale ed un traguardo ottico per il corretto prepensionamento della fune. Per quanto riguarda il circuito elettrico (Figura A.8) si noti che, ai nostri fini, è possibile ignorare l’esistenza dei contatti ausiliari NO, e ragionare con uno schema elettrico equivalente del tutto analogo a quello del pulsante di emergenza illustrato nella precedente sezione.
32 Il modello raffigurato è lo RP-LS42F-75LE della Banner Engineering Corp., USA (xxx.xxxxxxxxxxxxxxxxx.xxx)
Schema elettrico equivalente
21
41
22
42
Fig.A.8: Schema elettrico dell’Interruttore di Emergenza a Fune
A7 Monitoraggio movimentazione sorgente
Cipher-520 Hardware Reference Manual General Features
The Cipher-520 is equipped with the followings,
• TLCS-900 16 bit CPU running at 14.7456 MHz
• Program : 512 KB flash memory
• Data memory : 128 KB battery back-up SRAM
• Memory card : optional, 512 KB to 2 MB SRAM (on a 512 KB basis)
• Fine-tunable calendar chip
• Memory & calendar chip backup 3.6V NiCd battery
• optional 1.2V X 7, 1200 or 1800 mAh rechargeable NiMH battery X 1 or 2 for operation backup
• Battery/external DC voltage monitor circuit on-board
• Self-shutdown circuit on-board (to prevent battery over-discharge)
• optional slot bar code reader or magnetic card reader
• 2 reader ports each for barcode scanners (Wand or Laser-emulation), or single/dual-track magnetic card readers
• 128X64 or 240X64 graphic type LCD display with LED back-light
• rubber keyboard (up to 8 X 8)
• up to 16 LEDs on the keyboard board
• 8 digital input/output, each can be configured to input or output
• external keyboard port for external PC/AT keyboard attachment
• RS232 port X 1
• Communication port X 2, each can be configured as CMOS RS232, RS232, RS485 (half- duplex), RS485 (full-duplex) or 20-mA current loop.
Characteristics
Basic characteristics of the Cipher-520 are listed below,
Electrical
• Main Power Supply Voltage : 12V ±5% DC
• Power consumption : 0.5W maximum with LCD backlight off and no external devices attached
Environmental
• Humidity (operating) : non-condensed 20% to 90%
• Humidity (storage) : non-condensed 10% to 95%
• Temperature (operating) : 0 to 50 °C
• Temperature (storage) : -20 to 70 °C
• EMC regulation : FCC class A and CE approved