Por qué PESSRAL no es PESS

By Elevator World | Inspección | Septiembre 1, 2016

10 minuto de lectura

Descripción general de la IA

PESSRAL es una implementación reducida de IEC 61508 integrada en EN 81 que omite cálculos esenciales, análisis formales de riesgos, requisitos sistemáticos de capacidad e intervalos de prueba, lo que permite diseños de seguridad de ascensores matemáticamente inseguros. Al exigir dos canales sin SFF, definición de la demanda ni mitigación de causas comunes, EN 81-20/50 puede forzar arquitecturas redundantes pero correlacionadas que amplifican las fallas de causa común. Los diagnósticos requeridos, los cálculos de la tasa de fallas y las estrategias de prueba adaptadas están ausentes, por lo que las debilidades de los componentes y las fallas no detectadas pueden acumularse. Aunque aún no se han reportado accidentes graves, la falta de análisis, cálculo y pruebas obligatorios significa que no se puede garantizar la seguridad. Se necesita una revisión rápida de EN 81-20 para restablecer la base de seguridad de IEC.

Ramificaciones de seguridad importantes en las aplicaciones de normas europeas

Este trabajo fue presentado en ElevcoN Madrid 2016, el Congreso Internacional de Tecnologías de Transporte Vertical, y publicado por primera vez en el libro de la IAEE Tecnología de ascensores 21, editado por A. Lustig. Es una reimpresión con permiso de la Asociación Internacional de Ingenieros de Ascensores. Iaee (sitio web: www.elevcon.com).

La industria de los ascensores está bastante anticuada en la seguridad eléctrica / electrónica / electrónica programable (E / E / PE): utilizó la cadena de seguridad eléctrica durante más de 30 años. Sin embargo, desde la enmienda EN 81-1 / 2 A1: 2005, la norma permite el uso de electrónica programable para sistemas de seguridad (PESS). Además, cuando el comité del código decidió implementar un subconjunto de la norma principal (IEC 61508) en EN 81 para disminuir la dificultad y aumentar la velocidad de implementación, nació PESSRAL (Sistemas electrónicos programables en aplicaciones relacionadas con la seguridad para ascensores). Sin embargo, debido a la selección selectiva y la omisión de los conceptos básicos, el código antiguo e incluso el más nuevo (EN 81-20 / 50) hace posible crear sistemas inseguros. ¿Dónde están los riesgos potenciales?

Norma líder

La propia IEC 61508 consta de siete piezas diferentes con un total de más de 500 páginas. Describe la ruta completa a seguir al crear un dispositivo de seguridad E / E / PE. Contiene cálculos, supuestos, estrategias de diseño, análisis de riesgos y descripciones de sistemas de calidad. Da como resultado un nivel de integridad de seguridad (SIL), que es un número matemático que expresa la seguridad del sistema. Toda esta documentación es necesaria para terminar en un sistema seguro. Por el contrario, EN 81-20 / 50 utiliza 11 páginas y afirma ser un paquete completo.

Capacidad sistemática

Todo el flujo del proceso para hacer un PESS se describe en una parte separada de la norma, 61508-1. Mediante una forma clara de trabajo y gestión de proyectos, intentamos minimizar las fallas sistemáticas en un sistema. Hay demandas claras y esto da como resultado un valor de capacidad sistemática (SC). Las técnicas que se pueden utilizar son, por ejemplo, gestión de proyectos, documentación, diseño estructurado y modularización, así como el SC, ya que estas técnicas no se exigen ni se describen en EN 81-20. Los proyectos sin una gestión adecuada pueden contener errores importantes y son difíciles de detectar.

Análisis de riesgo

Para el software de seguridad, SIL se utiliza para medir la seguridad. Es un número matemático que expresa la seguridad del sistema. Por ejemplo: SIL 3 tiene una probabilidad promedio de falla entre 10-9 y séptima-8 o 10-5 al 10-4 una hora, dependiendo de la tarifa demandada. Normalmente, debe realizar un análisis de riesgo para determinar la tasa de SIL necesaria. EN 81-1 / 2 + A3 y EN 81-20 / 50 ya han realizado este análisis de riesgo en él y solicitan calificaciones SIL. De esta manera, no hay necesidad de un análisis de riesgo, lo que crea uniformidad en los sistemas de los competidores. Sin embargo, un análisis de riesgos da una idea del proyecto e influye en el diseño. Esto es obligatorio en el procedimiento IEC 61508, pero no en EN 81-1 / 2 y EN 81-20.

El cálculo es la base teórica; da una idea de los puntos más débiles del sistema y demuestra que el sistema es lo suficientemente seguro.

Demanda

Por lo tanto, hay un nivel SIL disponible, pero el estándar no está claro si estamos trabajando con una demanda alta o baja. La diferencia en la tasa de demanda entre estos, sin embargo, es exactamente un factor de 10.000 fallos / hora. La baja demanda se explica en IEC 61508-4 como “donde la función de seguridad solo se realiza bajo demanda, para transferir el Equipo bajo Control (EUC) a un estado seguro especificado, y donde la frecuencia de las demandas no es mayor que una por año." Para un levantamiento, no usamos el regulador de exceso de velocidad más de una vez al año, entonces, ¿es de baja demanda? Es necesario saber esto, porque da una diferencia en la seguridad calculada por un factor de 10.000. No está claramente establecido en el estándar. Sin embargo, la IEC-62061 establece que las máquinas deben satisfacer una alta demanda. La mayoría de las organizaciones certificadoras siguen esta guía. Desafortunadamente, no se establece claramente en EN 81-20.

Fracción de falla segura

Al construir un sistema SIL 3, las tablas relevantes en EN 81-1 / 2 + A3 y EN 81-50 exigen un sistema de doble canal. La idea principal de esto es "cuando un canal falla, el otro canal pondrá el sistema en un estado seguro". IEC 61508 tiene los mismos principios, pero existen algunas discrepancias importantes. IEC 61508 describe el modelo de Fracción de falla segura (SFF): la fracción de fallas que es segura y que es peligrosa. Para los componentes donde no se puede predecir el modo de falla (como CPU y otros sistemas complejos), las demandas son más altas. Aquí, el software de diagnóstico también aumenta el SFF. Debido al hecho de que EN 81-20 / 50 exige un sistema de dos canales para SIL 3, excluye el uso de un sistema de un canal totalmente a prueba de fallas (SFF = 100%) y hace posible crear un sistema a prueba de fallas ( SFF <90%). Si cada posible falla en un canal es directamente peligrosa (SFF = 0%), y si la falla permanece sin ser detectada, una segunda falla causa un sistema inseguro. De esta manera, las soluciones PESSRAL pueden ser menos seguras que los análisis de árbol de fallas presentes en EN 81-20.

Causa comun

Debido a no realizar un análisis de riesgo y la demanda de dos canales para SIL 3, se presenta una nueva dificultad. Al exigir dos canales sin más especificaciones, es posible construir dos canales idénticos. Estos canales idénticos presentan el riesgo de fallar al mismo tiempo debido al mismo error (causa común). Los errores típicos son un voltaje de suministro de leve a muy bajo, fallas de diseño dentro de una CPU o temperatura. Cuando se trabaja con varios canales, los errores de causa común son la mayor parte del total.

Puedes compararlo con lanzar un dado. Si al lanzar uno, perderá, su probabilidad de perder es exactamente una en seis. Para disminuir esta posibilidad de perder, puede agregar otro dado. Ahora, necesitas dos para perder el juego. Al calcular la posibilidad de perder, usamos: 1/6 * 1/6 = 1/36.

Ahora, introducimos una falla de causa común en este "sistema", una falla que influye en ambos canales (los dados). Debido a que el número “6” está representado en el otro lado del dado, y para pintar seis puntos, necesitamos un poco más de pintura. Más pintura también significa más peso, y dos lados opuestos en un dado siempre dan un total de siete. Debido a este diseño defectuoso, la posibilidad de lanzar uno es mayor que la de lanzar otros números. La posibilidad de un doble también es mayor que la posibilidad de otra combinación doble. Si tengo un 5% más de posibilidades de lanzar dos, el sistema es un 5% menos seguro que 1/36: necesitamos agregar 1/120 al 1/36.

Para este sistema, el impacto es relativamente pequeño. Sin embargo, la probabilidad de falla de un canal PESS es mucho menor: por ejemplo, 10-9. Haciendo los mismos cálculos, el sistema de dos canales tiene un 10-9 * 10^ -9 = 10^ -18 posibilidad de fallar. Ahora, sumamos la causa común del 5%: 5 * 10-11. Podemos ver claramente que la parte de causa común es mucho más grande que las fallas de un solo canal. Si tenemos menos posibilidades de fallos en los canales, la causa común se volverá más importante y será la parte dominante de los cálculos de seguridad, así como la seguridad real. EN 81 no aborda este problema; no se describen ni calculan técnicas para evitar las causas comunes.

Técnicas de diagnóstico

EN 81-20 cherry selecciona una serie de técnicas y las declara obligatorias. Ya no es necesario ningún cálculo. (EN 81-50 establece que IEC 61508-6, que explica los cálculos, no es necesaria para la comprensión). IEC 61508 ofrece una gran cantidad de opciones; se puede elegir la técnica más adecuada para el sistema. Puede suceder que se demanden técnicas completamente irrelevantes, donde otras técnicas son bastante más útiles. Por ejemplo: no hay demandas de sensores en el estándar de elevación, pero cuando usamos un dispositivo lógico programable complejo (CLPD), todavía existen demandas de controles de RAM y perros guardianes; esto no es correcto, de acuerdo con IEC 61508. Aquí, no podemos verificar si nuestros diagnósticos son lo suficientemente buenos. Normalmente, la cobertura de diagnóstico (DC) tiene una influencia directa sobre la fracción de falla segura (SFF), y así sucesivamente, todo el cálculo de seguridad del sistema.

Cálculos

La columna vertebral de IEC 61508 son los cálculos subyacentes. Al observar las tasas de falla en el tiempo (FIT) y el diseño de todos los componentes, se puede hacer un cálculo de la probabilidad de falla. Los números calculados deben estar en línea con la tasa SIL. El análisis de modos de falla y efectos en componentes y CC para mejorar el SFF termina en un sistema más seguro. IEC 61508 tiene demandas en el SFF que deben cumplirse.

El cálculo es la base teórica; da una idea de los puntos más débiles del sistema y demuestra que el sistema es lo suficientemente seguro. Este cálculo no es necesario para EN 81; al cumplir con todas las demandas, se cumplen los requisitos. Estas demandas describen técnicas únicamente, pero no dan números. No se comprueba si el sistema es "lo suficientemente seguro", por lo que es posible terminar con un sistema matemáticamente inseguro.

Por ejemplo: dos relés realmente malos se pueden usar en paralelo. Cuando fallan cada 10 veces, ambos fallarán al mismo tiempo cada 100 veces (excluyendo la causa común). Sigue cumpliendo EN 81-20 (doble canal con diagnóstico): se puede detectar que ambos relés están fallando. Sin embargo, en este punto, ya no se puede actuar. Cuando calculamos las tasas de falla para el sistema con IEC 61508, encontraremos directamente que los relés no son lo suficientemente buenos para este sistema: los valores de FIT serán devastadores para la cifra de falla del producto por hora. Debido al cálculo, los componentes defectuosos se filtran.

Pruebas

Todos los sistemas necesitan pruebas después del desarrollo: siempre hay problemas imprevistos que se filtran durante la fase de prueba. Por supuesto, se probará un sistema PESSRAL, pero ¿qué estrategia de prueba es la adecuada? La mayor parte de la industria no tiene experiencia práctica con software de seguridad y no hay estrategias de prueba obligatorias o incluso mencionadas en la norma. El método de prueba más comúnmente conocido es la prueba de caja negra / blanca. Esta forma básica de apantallar un sistema se puede utilizar tanto para sistemas eléctricos como mecánicos. Al crear PESS, el sistema es una caja negra completa. Sin embargo, IEC 61508 también puede solicitar la trazabilidad de los requisitos, modelado completo, simulación de software y pruebas de rendimiento. Además, no existe un procedimiento de prueba o conciencia de fallas de causa común en la norma de elevación.

Intervalo de prueba de prueba

Nuevamente, no se considera la vida útil de un sistema. Debido al hecho de que la inspección periódica de los sistemas PESS es casi imposible, se debe especificar una vida útil. Los diagnósticos en el sistema tampoco pueden detectar todas las fallas posibles; la CC es siempre menor que el 100%. Normalmente, los sistemas PESS tienen un "intervalo de prueba de prueba" para detectar los errores que normalmente no se detectan. EN 81 no lo requiere. Esto permite que un sistema acumule una cantidad infinita de errores y da la posibilidad de terminar con una falla peligrosa.

Discusión

En este momento, solo una pequeña cantidad de ascensores funcionan con PESS. Para los que funcionan, todavía no hay grandes fallas. La aplicación de PESS ha sido posible desde la primera enmienda de EN 81-1 / 2 en 2005. No sabemos cuántas instalaciones hay en el campo hoy, por lo que no podemos determinar por qué no hubo fallas. Hay algunas posibles explicaciones que pueden explicar el hecho de que no tuvimos ningún accidente:

  1. Al hacer algo revolucionario, una empresa debe estar absolutamente segura de que es seguro. De lo contrario, el producto no será aceptado en el mercado por el cliente. Para PESSRAL, la mayoría de las empresas de ascensores quieren estar absolutamente seguras de que todavía funciona después de varios años, por lo que probablemente se realizarán pruebas de resistencia. Este es un método de prueba poderoso.
  2. No hay muchos sistemas PESSRAL en el mundo: la mayoría de los elevadores tienen una vida útil prolongada y los controles no se cambian con regularidad. Además, el desarrollo de PESSRAL acaba de comenzar: no hay muchos sistemas PESSRAL en el mercado. La mayoría de ellos aún están en desarrollo.
  3. Los principales organismos de certificación también realizan pruebas en sistemas PESS. Tienen sus propias demandas de prueba o pedirán un cálculo. Los organismos de certificación también quieren sistemas seguros y la mayoría de ellos saben cómo realizar las pruebas correctamente.
  4. No existe una guía para reportar choques, y no podemos estar seguros de que escucharemos sobre todos los choques en el mundo, especialmente los informes que incluyen la causa.

El mayor problema de estas posibles explicaciones es el hecho de que no son obligatorias: no hay exigencias de tiempo de prueba, y no se requiere experiencia en PESS para Organismos Notificados. Además, no existe información mundial sobre catástrofes de ascensores relacionada con este tema.

La única forma de comprobar el sistema ahora es mediante pruebas, pero no se describen las estrategias de prueba.

Conclusión

PESSRAL no es PESS, y esto no se debe solo a la ausencia de mucha información de antecedentes. Toda la columna vertebral matemática se ha ido, por lo que no podemos calcular si la probabilidad de falla del sistema es correcta. Esto tiene un gran impacto en las fallas de causa común. Estas son las fallas más peligrosas para un sistema de doble canal. Además, los propios canales pueden estar hechos de componentes inseguros. La única forma de comprobar el sistema ahora es mediante pruebas, pero no se describen las estrategias de prueba. Al momento de escribir este artículo, todavía no ha habido accidentes fatales. Sin embargo, no podemos explicar por qué no sucedieron o predecir que no sucederán. Al final, es posible construir sistemas inseguros con las reglas de PESSRAL. Por ahora, solo podemos esperar que los ascensores sigan siendo seguros; Para el futuro, necesitamos que la EN 81-20 cambie lo más rápido posible.

Acciones