Metodi per la determinazione dell'integrità della sicurezza di un sistema elettrico/elettronico/programmabile
Di A. Mutu, Y. Pang, J. van Vliet e G. Lodewijks | Sensori | Marzo 1, 2013
14 minuti di lettura
Una revisione dei metodi di determinazione dell'integrità di sicurezza per sistemi elettrici, elettronici e programmabili (P&E) in applicazioni di ascensori critiche per la sicurezza ha rilevato che la limitata disponibilità di dati operativi e le modalità di guasto sconosciute rendono inadatte le tecniche che si basano su dati di guasto a livello di sistema. Nove metodi SID (Safety Integrity Determination) sono stati valutati rispetto ai vincoli del settore degli ascensori e l'analisi causa-conseguenza è stata selezionata come la più appropriata perché richiede input a livello di componente e copre aspetti tecnici chiave. L'analisi causa-conseguenza (CCA) è stata applicata a un regolatore elettronico di sovravelocità, modellando il rilevamento, la valutazione e i blocchi di reazione ridondanti; una quantificazione conservativa ha prodotto un tasso di guasto di 2.043×10^-8 guasti/ora e ha classificato l'unità di reazione ridondante come SIL 3. La CCA fornisce una logica chiara, una classificazione delle modalità di guasto e compatibilità con test, riparazione e automazione, ed è pratica fino a quando non si accumuleranno dati comprovati in condizioni di utilizzo.
di A. Mutu, Y. Pang, J. van Vliet e G. Lodewijks
Questo documento è stato presentato a
USA 2012, il Congresso Internazionale sulle Tecnologie di Trasporto Verticale e pubblicato per la prima volta nel libro IAEE Elevator Technology 19, a cura di A. Lustig. È una ristampa con il permesso dell'Associazione Internazionale degli Ingegneri degli Ascensori
(sito web: www.elevcon.com). Il presente documento è una ristampa esatta e non è stato modificato da ELEVATOR WORLD.
Parole chiave: Sicurezza, determinazione dell'integrità della sicurezza, sistema elettrico/elettronico/elettronico programmabile.
Astratto
I sistemi composti da sistemi elettrici, elettronici e/o, più recentemente, elettronici programmabili (E/E/PES) sono ampiamente utilizzati per svolgere funzioni di sicurezza. Esiste un notevole interesse nella corretta determinazione dell'integrità di sicurezza di questi sistemi, poiché la loro indisponibilità potrebbe portare a eventi catastrofici. Questo articolo esamina gli attuali approcci per determinare l'integrità di sicurezza di un E/E/PES in applicazioni di sicurezza. Filtra questi metodi in base alle specificità del settore ascensoristico e propone una soluzione applicabile. Viene fornito un esempio pratico di un sistema E/E/PE che svolge una funzione di sicurezza, tratto dal settore ascensoristico, e la sua determinazione dell'integrità di sicurezza viene modellata rispetto alla tecnica scelta.
1. introduzione
Molti settori, come quello petrolifero, del gas, chimico, aerospaziale o automobilistico, dipendono sempre più dalle buone prestazioni dei sistemi elettrici/elettronici e dei sistemi elettronici programmabili (E/E/PES) nelle applicazioni di sicurezza (SRA). Recentemente, gli E/E/PES sono stati adottati anche per svolgere funzioni nelle applicazioni di sicurezza per ascensori (SRAL). A differenza di altri settori, l'esperienza del settore ascensoristico con gli E/E/PES nelle applicazioni di sicurezza (SRA) è limitata.
Gli E/E/PES in SRAL non sono stati sufficientemente utilizzati per rivelarne le reali prestazioni nel tempo e tutte le possibili modalità di guasto. Tuttavia, sono accettati come soluzioni sicure nel settore degli ascensori sulla base di un'analisi dei rischi (Lemmers e Striekwold 2001).
L'analisi del rischio ha lo scopo di valutare il livello di sicurezza raggiunto dal sistema E/E/PES e di fornire, come output, un valore numerico per il raggiungimento della sicurezza. Il valore numerico determinato è denominato integrità della sicurezza (SI) ed è definito come la probabilità che un sistema E/E/PES di sicurezza esegua in modo soddisfacente la funzione di sicurezza specificata in tutte le condizioni specificate entro un periodo di tempo specificato (IEC 2010).
Il metodo di analisi del rischio utilizzato per determinare il SID sarà ulteriormente denominato metodo di determinazione dell'integrità della sicurezza (SID), in quanto rappresenta il metodo per determinare l'affidabilità dell'E/E/PES nello svolgimento della funzione di sicurezza. La differenza terminologica è importante poiché i metodi di analisi del rischio coprono un'ampia gamma di applicazioni e la natura dei risultati può variare, mentre i metodi SID si riferiscono solo all'analisi del rischio idonea a determinare l'integrità della sicurezza dell'E/E/PES e forniscono solo risultati quantitativi.
Gli E/E/PES in SRAL sono sistemi senza esperienza pratica (affidabilità non comprovata in uso), senza prestazioni nel tempo note e senza modalità di guasto rilevate. L'unico mezzo rimanente per convalidare il loro livello di sicurezza complessivo (ovvero dimostrare la certezza di evitare guasti in un sistema) è la corretta esecuzione e valutazione del processo SID. Ciò richiede, oltre a valutatori esperti, anche l'applicazione di un metodo SID appropriato. Alcuni metodi SID generali applicabili agli E/E/PES utilizzati in SRA sono raccomandati dalle norme (IEC 2010), altri si trovano in documenti governativi (John Gould, Michael Glossop et al. 2000) o addirittura alcuni sono ancora in fase di ricerca (Redmill, Chudleigh et al. 1997). Tuttavia, la loro applicabilità a un particolare settore industriale deve essere ulteriormente analizzata, poiché non tutti i metodi forniti/incontrati sono adatti allo stadio di sviluppo di quel particolare settore.
In altre parole, le caratteristiche dei metodi SID da utilizzare per una specifica applicazione devono essere in linea con il livello di conoscenza e sviluppo del settore specifico di tale applicazione. Ad esempio, nei nuovi sistemi senza esperienza d'uso e senza dati sulle modalità di guasto (come E/E/PES nei sistemi SRAL), l'utilizzo di un metodo SID che richieda la conoscenza dei dati sulle modalità di guasto del sistema è inappropriato. In questo caso, un metodo SID basato sui dati dei singoli componenti è più adatto. Allo stesso tempo, per progetti consolidati (come quelli utilizzati in avionica, ad esempio), l'utilizzo di un metodo SID che richieda dati sui componenti comporta un lavoro ridondante, poiché l'integrità di sicurezza del sistema è stata precedentemente determinata e convalidata dall'esperienza in loco.
Lo scopo di questo articolo è introdurre il concetto di SID nelle applicazioni relative alla sicurezza degli ascensori. Esamina i metodi di valutazione del rischio attualmente disponibili che possono essere utilizzati come metodi SID e ne filtra l'applicabilità in base ai requisiti e alle limitazioni del settore ascensoristico. Il metodo SID attualmente più adatto, come identificato in questo articolo, è applicato al limitatore di velocità elettronico, uno dei componenti di sicurezza obbligatori di un impianto ascensoristico.
2. Determinazione dell'integrità della sicurezza
L'utilizzo di E/E/PES in SRAL ha portato con sé una serie di termini specifici associati esclusivamente a questi sistemi. I termini principali e le relative definizioni sono riportati nella Tabella 1.
Per un E/E/PES è innanzitutto importante che esegua un SF. I termini definiti nella Tabella 1 non devono essere utilizzati per E/E/PES diversi da quelli che eseguono un SF.
In SRAL i principali SF brevettati per essere implementati tramite E/E/PES sono i dispositivi di bloccaggio delle porte di piano e di cabina, i limitatori di velocità e gli interruttori di emergenza (Alfredo Gómez, Angel Gimeno et al. 2008) utilizzati per prevenire i rischi di schiacciamento o caduta.
Per un E/E/PES che esegue una particolare SF, è necessario identificarne il valore SI. Il valore del suo SI viene identificato sulla base di un'analisi del rischio. Poiché l'analisi del rischio rappresenta un concetto vasto, utilizzato in varie applicazioni, non strettamente correlato a questioni di sicurezza, e la natura dei suoi risultati può essere sia qualitativa che quantitativa, si propone di sostituire il termine con SID.
Il SID, come qui proposto, è un nuovo concetto specifico da utilizzare per la determinazione del SI di un dato SF implementato tramite un E/E/PES in SRAL. Un SID può essere applicato solo per E/E/PES, eseguendo un SF in un SRAL e la natura dei risultati è strettamente quantitativa, in base al SI del sistema analizzato. Il valore del SI, fornito come output della fase SID, impone il corrispondente livello discreto – il SIL – per il particolare sistema dato. I SIL, come definiti dalla IEC 2010, sono riportati in forma riassuntiva nella Tabella 2.
Il SIL di un sistema determina i vincoli hardware e architetturali per quel sistema. Più alto è il SIL, maggiore è la ridondanza e la diversità richieste al sistema analizzato, di conseguenza si ottiene una maggiore affidabilità del sistema, ma anche costi più elevati. Pertanto, per un E/E/PES che esegue un SF è importante determinare non il SIL, ma il SIL corretto per una particolare applicazione.
Il corretto SIL che coniugherebbe con successo il raggiungimento della sicurezza in un sistema E/E/PES che esegue un SF con i costi associati all'implementazione hardware del sistema. Un'analisi a ritroso indica che un corretto SIL è condizionato da un corretto SI e un corretto SI è il risultato di una corretta prestazione SID.
3. Metodi
L'identificazione dei metodi potenzialmente utilizzabili come metodi SID in SRAL si basa sull'indagine condotta in diversi settori industriali, tra cui petrolio, gas, chimica, nucleare, aeronautico o automobilistico. Sulla base di questa indagine, sono stati individuati 9 metodi attualmente disponibili, potenzialmente utilizzabili per la SID in SRAL. I metodi, insieme alle relative abbreviazioni e alle fonti di informazione pertinenti, sono riportati nella Tabella 3.
Le caratteristiche di ciascun metodo SID identificato sono state esaminate e riassunte nella Tabella 4. La struttura della Tabella 4 è simile a quella proposta da (Rouvroye e van den Bliek 2002) e utilizzata per confrontare varie tecniche di analisi della sicurezza.
Il metodo più adatto da utilizzare per il SID in SRAL è quello che richiede il minor numero di dati disponibili in input e che copre la maggior parte degli aspetti tecnici associati all'E/E/PES in SRAL. I dati di input disponibili per l'E/E/PES utilizzati in SRAL consistono in modalità di guasto dei componenti e relativi dati.
La modalità di guasto e i dati del sistema non sono attualmente disponibili, poiché l'E/E/PES in SRAL ha un'esperienza operativa limitata. Ciò rende i metodi SID che richiedono dati relativi al guasto del sistema inadatti all'attuale fase di sviluppo dell'E/E/PES in SRAL.
Pertanto, tecniche come PN, MCS e MA, sebbene si distinguano per il numero di aspetti tecnici trattati, non sono adatte allo stadio di sviluppo del settore ascensoristico. Tra i restanti metodi, FTA, ETA, CCA, FMEA, FMECA e RBD, la selezione è a favore del metodo che copre la maggior parte degli aspetti tecnici dell'E/E/PES in SRAL. Dalla Tabella 4, il metodo CCA è da considerarsi il più appropriato da utilizzare con l'attuale stadio di sviluppo e conoscenza dell'E/E/PES in SRAL.
4. Applicazione
Per dimostrare l'applicabilità del CCA al SID in SRAL, il metodo viene esemplificato sul regolatore elettronico di velocità (EOS). L'EOS è uno dei dispositivi di sicurezza obbligatori (obbligatorio come dispositivo, ma non come tecnologia) presenti in un impianto di ascensore, con il compito di arrestare l'ascensore al raggiungimento di una velocità predeterminata. In altre parole, il SF implementato tramite l'EOS è composto dal rilevamento della velocità eccessiva, dalla valutazione della velocità predeterminata considerata pericolosa e dalla reazione mediante l'apertura del circuito di sicurezza (SC) dell'ascensore – interrompendo l'alimentazione elettrica – al fine di riportare l'impianto in uno stato di sicurezza. In caso di guasto, l'EOS può anche innestare meccanicamente il dispositivo di sicurezza (SG) dell'impianto di ascensore.
Gli elementi dell'SF dell'EOS implementati in un impianto di sollevamento sono quelli indicati nella Figura 1. Da notare che tutti gli elementi dell'SF implementati tramite l'EOS hanno doppia ridondanza.
L'SI del SF è determinato dalla determinazione individuale dell'SI per i blocchi di rilevamento, valutazione e reazione che costituiscono il SF. A titolo esemplificativo, verrà discussa ulteriormente solo la parte di reazione del SF implementata tramite l'EOS.
Il sistema di reazione deve essere attivato solo dopo che la velocità rilevata è stata valutata come sovravelocità. Il sistema di reazione è composto da due relè di sicurezza (SR) aventi lo stesso tipo costruttivo. Un relè di sicurezza funziona come dispositivo di attivazione primario (SR1) e il secondo come unità di riserva (SR2).
Ciò rende il sistema analizzato un sistema di reazione, in un SRAL con unità di riserva. L'uscita dall'unità di valutazione alimenta entrambi gli SR ed entrambi sono destinati all'apertura del SC dell'impianto di sollevamento, come schematicamente illustrato in Figura 2.
Il CCA è sviluppato per l'evento critico: SR1 non riesce ad aprire il SC. La causa di questo guasto è sviluppata nel diagramma delle cause per SR1 non riesce ad aprire il SC e le sue conseguenze vengono ulteriormente analizzate in base agli eventi riscontrati nel sistema. Il CCA così sviluppato è riportato nella Figura 3. I simboli utilizzati nel diagramma e il loro significato, come introdotto da Nielsen 1971, sono riportati nella Tabella 5.
Per la quantificazione del diagramma CCA, è stato necessario innanzitutto determinare o ipotizzare una serie di valori per gli eventi fondamentali identificati nel diagramma. Gli eventi fondamentali sono rappresentati nel diagramma come cerchi e rappresentano il limite di sviluppo per i diagrammi causali.
Le ipotesi fatte hanno solo scopo esplicativo e nelle applicazioni reali i valori qui assunti devono essere determinati.
Si è ipotizzato che il blocco "Nessun segnale di uscita dall'unità di valutazione" avesse la stessa probabilità di guasto per i sistemi SIL 3 in modalità ad alta richiesta, ovvero da 10-8 a 10-7 guasti/ora (vedere Tabella 2). Il limite inferiore del dominio è stato considerato in calcoli successivi. La discontinuità del filo e lo stato dei contatti del relè sono monitorati dalla stessa unità di valutazione, pertanto la loro probabilità di guasto è imposta dalla probabilità di guasto dell'unità di valutazione. Il resto degli eventi di base è stato quantificato come indicato nella Tabella 6.
Con i valori indicati nella Tabella 6 e la logica dell'analisi illustrata nella Figura 3, si ottengono i seguenti valori, come indicato nella Tabella 7, per la modalità di guasto dell'unità di reazione ridondante in un'EOS. I valori numerici determinati si basano sulla sequenza logica dei 3 possibili percorsi di guasto per un sistema, come indicato nell'evento critico ipotizzato.
La modalità di guasto sicuro non presenta rischi per il sistema analizzato. Per un'unità di reazione in una funzione di sicurezza, la modalità di guasto sicuro rappresenta in realtà la modalità operativa normale. Come determinato dalla CCA, la probabilità del sistema analizzato di funzionare in sicurezza è molto prossima a uno. Il rischio totale del sistema, la sua probabilità di guasto nel tempo, o il suo SI, è rappresentato dalla somma delle probabilità delle modalità Fail Safe e Fail Dangerous, come indicato nella Tabella 6, ed è pari a 2.043·10-8 guasti/ora. Dalla Tabella 1, il SIL dell'unità di reazione ridondante di un EOS è SIL 3.
5. conclusioni
L'articolo ha introdotto il concetto di determinazione dell'integrità della sicurezza e ne ha dimostrato l'applicabilità al settore degli ascensori attraverso l'analisi causa-conseguenza. Il concetto di SID, come qui proposto, verrà ulteriormente utilizzato in relazione ai parametri E/E/PES in SRAL e al loro SI.
Il metodo CCA si è dimostrato adatto alle reali esigenze e ai limiti del settore ascensoristico. Il CCA fornisce non solo una chiara logica del SID, ma anche le possibili modalità di guasto del sistema. Inoltre, una corretta quantificazione del diagramma CCA consente di classificare le possibili modalità di guasto.
Finché non si acquisirà esperienza con E/E/PES in SRAL, il CCA rappresenta un metodo chiaro e ben documentato per la SID di questi sistemi. Il metodo può essere gestito tramite procedure di test e riparazione (Nielsen, Platz et al. 1975) e lo sviluppo del diagramma può essere automatizzato (Valaityte A., Dunnett SJ et al. 2010).

Figura 1: Le parti principali dell'SF implementate dall'EOS 
Figura 2: Rappresentazione schematica dell'unità di reazione di un'EOS 
Figura 3: CCA per SR 1 non riesce ad aprire SC 
Tabella 1: Termini specifici per E/E/PES in SRAL 
Tabella 2: Livelli di integrità della sicurezza (Smith e Simpson 2011) 
Tabella 3: I metodi SID disponibili e le loro principali fonti di informazione 
Tabella 4: I metodi SID disponibili e le loro caratteristiche 
Tabella 5: I simboli utilizzati nel CCA 
Tabella 7: Classifica delle conseguenze