Tipologie di guasto e vincoli di architettura

Reading time: 8 minuti - Difficulty: avanzato
Quali sono le principali categorie di guasti con i quali testare il comportamento di un EUC (Equipment Under Control)? Come progettare l’architettura del sistema affinchè questo possa tollerare un guasto senza perdere la funzione di sicurezza?

Guasti Hardware

I tassi di guasto testati attraverso le tecniche di analisi e riduzione del rischio sono riassumibili in una serie di tipologie.
Quando parliamo di guasti hardware, parliamo principalmente di fallimenti casuali, e più nello specifico di:

  • Guasti sicuri
  • Guasti pericolosi
  • Guasti no effect
  • Guasti no part

tipologie di guasti hardware

Scarica l’infografica

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

Guasti sicuri

Il guasto sicuro è il guasto di un elemento e/o sottosistema e/o sistema che svolge un ruolo nell’attuazione della funzione di sicurezza che:

  • determina il funzionamento spurio della funzione di sicurezza per portare il EUC (o parte di esso) in uno stato di sicurezza o mantenere uno stato di sicurezza;
  • aumenta la probabilità che il funzionamento spurio della funzione di sicurezza porti il EUC (o parte di esso) in uno stato di sicurezza.

Questi tipi di guasti si traducono in una perdita di produzione di servizi, ma non in una perdita di sicurezza.
I guasti sicuri possono a sua volta essere suddivisi in:

  • Guasti rilevati, quando il fallimento viene diagnosticato da diagnostica interna o esterna
  • Guasti non rilevati, se il fallimento non è diagnosticato da diagnostica interna o esterna

Guasti pericolosi

I guasti pericolosi sono guasti di un elemento e/o sottosistema e/o sistema che svolge un ruolo nell’attuazione della funzione di sicurezza che:

  • impedisce il funzionamento di una funzione di sicurezza quando richiesto (modalità on demand) o provoca il guasto di una funzione di sicurezza (modalità continua) in modo tale che il EUC sia messo in uno stato pericoloso o potenzialmente pericoloso;
  • diminuisce la probabilità che la funzione di sicurezza funzioni correttamente quando richiesto.

I guasti pericolosi comportano una perdita di sicurezza, traducibile anche come perdita di performance..
Come i guasti sicuri, anche i guasti pericolosi possono essere rilevati o non rilevati.

Guasti no effect

Si tratta del guasto di un elemento che ha un ruolo nell’attuazione della funzione di sicurezza, ma che non ha un effetto diretto sulla funzione di sicurezza.
Il guasto senza effetto non è un parametro necessario per la valutazione del SIL.

Guasti no part

In questo caso il guasto di un componente non ha alcun ruolo nell’implementazione della funzione di sicurezza. L’assenza di guasti di un componente non è un parametro necessario per la valutazione del SIL.
Di base, si verifica un guasto hardware quando non è possibile eseguire una funzione predeterminata o le prestazioni sono al di fuori dei requisiti.

Maggiori informazioni:

Guasti spuri

Un’attivazione spuria è un’attivazione di una funzione strumentata di sicurezza senza la presenza di una domanda.
Un’attivazione spuria di un SIS comporterà normalmente lo stato di sicurezza dell’apparecchiatura sotto controllo (EUC).
Tuttavia, le attivazioni spurie possono essere indesiderate a causa di:

  • Creazione di perdite di produzione non necessarie
  • Generazione di “falsi allarmi”, che possono di nuovo comportare la perdita di fiducia nel SIS
  • Aumento del rischio di eventi pericolosi a seguito di un’attivazione spuria, ad esempio durante l’avvio
  • Eccessive sollecitazioni sui componenti e sui sistemi durante lo spegnimento e l’avviamento
  • Un’attivazione spuria può anche creare un evento pericoloso. Ad esempio, un falso dispiegamento di un airbag durante la guida.

Guasti di causa comune

I guasti di causa comune sono guasti simultanei in differenti unità causati dallo stesso motivo. In questo caso, dobbiamo considerare che:

  • Due o più elementi nella stessa funzione strumentale di sicurezza non possono essere completamente indipendenti
  • Due o più funzioni strumentate di sicurezza nello stesso sistema possono non essere completamente indipendenti
  • Il guasto di causa comune è un tipico fattore di configurazione ridondante
  • I guasti sono dovuti ad un singolo difetto o fenomeno fisico sottostante
  • I guasti dovuti a causa di Common Cause si verificano contemporaneamente o in un intervallo di tempo specifico (spesso di breve durata)

I guasti di causa comune spesso non sono interessanti in caso di configurazione NooN, in quanto con alcune tipologie di configurazioni si perde la funzionalità della SIS appena si presenta un guasto; quindi, non c’è alcun interesse ad andare a tenere in considerazione i guasti di causa comune per il calcolo del guasto successivo.

Esempi di architetture

Nella rappresentazione delle architetture con singolo o più canali, per semplicità il sensore e l’elemento finale rimangono sempre singoli.

architettura 1 canale

Ad esempio, nel caso di architettura a singolo canale, si rileva tipicamente scarsa affidabilità, in quanto è sufficiente che il canale abbia un guasto nascosto per perdere la funzione di sicurezza.
Una modalità per aumentare l’affidabilità di una architettura a singolo canale può essere l’aggiunta di un circuito diagnostico, in grado di mandare autonomamente il sistema in emergenza.

architettura 2 canali

Nel caso di architetture a doppio canale, per mandare il sistema in sicurezza almeno una delle due uscite deve aprirsi.

  • Si rileva in questo modo un’affidabilità maggiore, in cui tollerare un guasto senza perdere la funzione di sicurezza
  • In questo caso è necessario considerare anche i guasti di causa comune
  • Si ha tuttavia una disponibilità molto bassa, in quanto il primo guasto spurio conduce il sistema in sicurezza

architettura 3 canali

 

L’architettura a triplo canale è invece l’architettura con il migliore compromesso affidabilità-disponibilità: per mandare il sistema in sicurezza, due uscite su tre devono aprirsi, riscontrando in questo modo una buona affidabilità ed una buona disponibilità.

Anche nel caso di architetture a doppio o a triplo canale, l’affidabilità risulta ancor più elevata in caso di aggiunta di circuiti diagnostici con lo scopo di sorvegliare sullo stato di salute dei canali.

Vuoi saperne di più sulla Functional Safety?

Introduzione alla norma ISO 26262

Applicazione dello standard ISO 26262 Lo standard ISO 26262 copre l’implementazione della sicurezza funzionale attraverso sistemi elettrici e/o elettronici (E/E) e presenta un ciclo di vita specifico per i componenti utilizzati nel settore automobilistico. Pertanto, fornisce un riferimento per il ciclo di vita della sicurezza dei veicoli e supporta l’adattamento delle attività da svolgere durante […]

Read more
Byhon Logo bianco

Iscriviti alla nostra newsletter per restare aggiornato
su news e eventi di Functional Safety e
Industrial Cyber Security

ISCRIVITI
close-link
Send this to a friend