Perché le PESSRAL non sono PESS

 In Norme

SOMMARIO

L’industria degli ascensori è piuttosto vecchio stile per quanto riguarda la sicurezza elettrica/elettronica/programmabile: per oltre 30 anni è stata utilizzata una catena di sicurezze elettriche. Tuttavia, poiché la modifica alla norma EN 81-1/2 A1 consente di utilizzare elettronica programmabile per i sistemi di sicurezza (PESS), il comitato normativo ha deciso di implementare un sottoinsieme della norma principale (IEC 61508) nella EN 81 al fine di diminuire la difficoltà e aumentare la velocità di attuazione. Tuttavia, a causa del fatto che è possibile scegliere e aggirare gli elementi base dei vecchi e anche delle norme più recenti (EN 81-20/50) è possibile realizzare sistemi che non sono sicuri. Dove sono i rischi potenziali?

NORMA PRINCIPALE

La IEC 61508 si compone di sette diverse parti per un totale di più di 500 pagine. Descrive il percorso completo da seguire per la creazione di un dispositivo di sicurezza E/E/PE. Contiene calcoli, ipotesi, strategie di progettazione, analisi dei rischi e descrizioni dei sistemi di qualità. Si traduce in un SIL (Safety Integrity Level – Livello di Integrità di Sicurezza) che è un numero matematico che esprime la sicurezza del sistema. Tutta questa documentazione deve essere inserita in un sistema sicuro. La EN 81-20/50, al contrario, utilizza undici pagine e si considera un pacchetto completo.

CAPACITÀ SISTEMATICA

L’intero flusso del processo per fare una PESS è descritto in una parte separata della norma, la 61508-1. Lavorando in modo chiaro e gestendo il progetto, cerchiamo di ridurre al minimo gli errori sistematici di un sistema. Ci sono richieste chiare e ciò si traduce in un valore SC (Capacità Sistematica). Le tecniche che possono essere utilizzate sono ad esempio la gestione dei progetti, la documentazione, la progettazione strutturata e la modularizzazione, nonché la SC, poiché queste tecniche non sono richieste o descritte nella norma EN 81-20. I progetti senza una corretta gestione possono contenere grandi errori che sono difficili da individuare.

ANALISI DEI RISCHI

Per il software di sicurezza, SIL è utilizzato per misurare la sicurezza. È un numero matematico che esprime la sicurezza del sistema. Ad esempio: SIL 3 ha una possibilità media di errore tra 10-9 e 10-8 o 10-5 e 10-4 all’ora in base al tasso richiesto. Di solito è necessario eseguire un’analisi dei rischi per determinare il tasso SIL richiesto. La EN 81-1/2+A3 e la EN 81-20/50 hanno già eseguito questa analisi dei rischi e richiedono i tassi SIL. In tal modo non è necessaria un’ulteriore analisi dei rischi, che crea uniformità nei sistemi dei concorrenti. Tuttavia, un’analisi dei rischi consente di approfondire e ottenere dettagli sul progetto e influisce sulla progettazione. Questa è una procedura obbligatoria nella IEC 61508, ma non nella EN 81-1/2 ed EN 81-20.

RICHIESTA

Quindi è disponibile un livello SIL, ma non è chiaro nella norma se si lavora su un’alta o bassa richiesta. La differenza del tasso di richiesta tra questi è tuttavia esattamente un indice di 10.000 errori/ora. La bassa richiesta nella IEC 61508-4 è spiegata come “dove la funzione di sicurezza è eseguita solo su richiesta, in modo da trasferire l’EUC (Equipment under Control – Impianto sotto controllo) in uno specifico stato di sicurezza e dove la frequenza della richiesta non è superiore a una all’anno”. Per l’ascensore, non usiamo il regolatore di velocità più di una volta all’anno, ciò è nel range della richiesta bassa? È importante saperlo perché fa differenza nella sicurezza calcolata per un fattore di 10.000. Non è indicato in modo chiaro nella norma. Tuttavia le IEC-62061 stabilisce che le macchine devono soddisfare una elevata domanda. La maggior parte degli enti di certificazione stanno seguendo questa linea guida. Purtroppo non è impostata chiaramente nella norma EN 81-20.

FRAZIONE DI GUASTI SICURI

Quando si costruisce un sistema SIL 3, le tabelle relative a
EN 81-1/2+A3 e EN 81-50 stabiliscono come obbligatorio il sistema a doppio canale. L’idea alla base di ciò è che “quando un canale non funziona, l’altro canale mette il sistema in sicurezza”. La IEC 61508 ha gli stessi principi, ma ci sono alcune importanti differenze. L’IEC 61508 descrive il modello di SFF (Safe Failure Fraction – Frazione di Guasti Sicuri): la frazione di guasti sicuri e non pericolosi.

Per i componenti dove la modalità di guasto non può essere prevista (come CPU e altri sistemi complessi) la domanda è troppo alta. Infine, anche il software di diagnostica aumenta il SFF. A causa del fatto che la EN 81-20/50 richiede un sistema a due canali per il SIL 3, esclude l’uso di un sistema a un canale sicuro e privo di guasti (SFF = 100%) e permette di creare un sistema con SFF  90%. Se ogni possibile guasto in un canale è pericoloso (SFF = 0%), e se il guasto resta inosservato, un secondo guasto causa un sistema insicuro. In questo modo, le soluzioni PESSRAL possono essere meno sicure rispetto alle analisi dell’albero di guasti presenti nella EN 81-20.

CAUSA COMUNE

A causa della mancata esecuzione dell’analisi dei rischi e della richiesta di due canali per SIL 3, sorge una nuova difficoltà. Richiedendo due canali senza ulteriori specifiche, diventa possibile costruire due canali identici. Questi canali identici introducono il rischio di fallire nello stesso tempo a causa dello stesso errore (causa comune). Gli errori tipici sono una alimentazione elettrica da leggermente a molto più bassa, difetti di progettazione all’interno di una CPU o la temperatura. Quando si lavora con più canali, gli errori di causa comune sono la maggior parte del totale. Dimostrerò tutto questo con un esempio.

È possibile fare un confronto, gettando un dado: se esce 1, si perde: le probabilità di perdere sono esattamente di 1/6. Per ridurre questo rischio di perdere è possibile aggiungere un altro dado, ora sono necessari due “1” per perdere la partita. Nel calcolo della probabilità di perdere, facciamo 1/6*1/6 = 1/36. Ora introduciamo un guasto comune in questo “sistema”: un guasto che influisce su entrambi i canali (i dadi). A causa del fatto che sul lato opposto dei dadi è rappresentato il numero “6”, e per dipingere sei punti abbiamo bisogno di un po’ più di vernice. Più vernice significa anche più peso, e due lati opposti su un dado danno sempre un totale di sette. A causa di questo difetto di progettazione, la possibilità di far uscire 1 è maggiore degli altri numeri. La possibilità di un doppio “1” è anche maggiore della possibilità di un’altra doppia combinazione. Se ho il 5% in più di probabilità di fare uscire due “1”, il sistema è il 5% meno sicuro di 1/36: abbiamo bisogno di aggiungere 1/120 a 1/36.

Per questo sistema l’impatto è relativamente ridotto. Tuttavia la possibilità di un guasto di un canale PESS è di molto inferiore: per esempio 10-9. Facendo gli stessi calcoli, il sistema a due canali ha una probabilità di guasto di 10-9*10^-9 = 10^-18. Ora aggiungiamo la causa comune del 5%: 5*10-11. Possiamo vedere chiaramente che la parte della causa comune è in qualche modo maggiore rispetto ai difetti del singolo canale. Se abbiamo minori probabilità di guasto dei canali, la causa comune diventerà più importante e sarà la parte dominante dei calcoli di sicurezza, così come la sicurezza reale. La EN 81 non affronta questo problema, non sono descritte o calcolate tecniche per evitare la causa comune.

TECNICHE DI DIAGNOSTICA

La EN 81-20 seleziona una serie di tecniche e le impone come obbligatorie. Non c’è bisogno di ulteriori calcoli (la EN 81-50 afferma che la IEC 61508-6, che spiega i calcoli, non è necessaria per la comprensione). La IEC 61508 fornisce un gran numero di opzioni; la tecnica più adatta può essere scelta per il sistema. Può succedere che vengano richieste tecniche del tutto non rilevanti, mentre altre tecniche sono molto più utili. Per esempio; non ci sono richieste sui sensori negli ascensori standard, ma quando usiamo un CLPD (Complex Logic Programmable Device – Dispositivo Programmabile a Logica Complessa) vi sono ancora richieste di controlli RAM e organi di controllo. Ciò non è giusto secondo la IEC 61508. Infine, non possiamo verificare se la diagnostica è sufficientemente buona. Solitamente, la DC (Copertura Diagnostica) influisce direttamente sul SFF e sull’intero calcolo di sicurezza del sistema.

CALCOLI

La colonna portante della IEC 61508 sono i calcoli. Osservando tutte le percentuali di FIT (Failure In Time – Guasti Nel Tempo), si può eseguire un calcolo della probabilità dei guasti. I numeri calcolati dovrebbero essere in linea con il valore del SIL. FMEA su componenti e DC, al fine di migliorare l’SFF, finisce con un sistema più sicuro. IEC 61508 richiede un SFF che deve essere soddisfatto.

I calcoli sono la base teorica, che fornisce approfondimenti sui punti più deboli del sistema e dimostra che il sistema è abbastanza sicuro. Questo calcolo non è necessario per la
EN 81: è sufficiente adempiere a tutte le richieste. Queste richieste descrivono solo la tecnica, ma non danno cifre. Non c’è alcun controllo se il sistema è “abbastanza sicuro”. È possibile che il sistema si riveli matematicamente non sicuro.

Per esempio: posso utilizzare due relè in parallelo molto scarsi. Quando danno errore ogni 10 volte, danno entrambi errore nello stesso momento ogni 100 volte (a esclusione della causa comune!). Soddisfa ancora la EN 81-20 (doppio canale con diagnostica): posso rilevare che entrambi i relè stanno per dare errore. Tuttavia: non posso più agire su questo. Quando si calcolano le percentuali di malfunzionamento per il sistema con IEC 61508,
si scopre direttamente che i relè non sono abbastanza buoni per questo sistema: i valori di FIT saranno devastanti per il PFH (Product Failure/Hour – Guasti prodotto/all’ora). Grazie al calcolo, i componenti difettosi vengono individuati.

COLLAUDO

Ogni sistema ha bisogno di collaudo dopo la fase di sviluppo: si verificano sempre problemi imprevisti che vengono filtrati durante la fase di collaudo. Naturalmente, un sistema PESSRAL sarà testato, ma qual è la strategia di collaudo corretta? Conoscere gran parte di ciò che riguarda il settore non significa avere esperienza pratica sui software di sicurezza e non ci sono strategie di collaudo obbligatorie o citate nella norma. Il metodo di collaudo più comunemente noto è il testo della scatola bianca e nera: si tratta di un modo semplice con cui eseguire lo

screening di un sistema. Può essere utilizzato per sistemi elettrici e meccanici. Quando si crea la PESS, il sistema è una scatola completamente nera: tuttavia, la IEC 61508 può anche richiedere la tracciabilità dei requisiti, la modellazione completa, la simulazione del software e il collaudo delle prestazioni. Inoltre non esiste una procedura di collaudo o di consapevolezza per i difetti con causa comune nella norma ascensoristica.

INTERVALLO DI TEST DI PROVA

In ultimo, non viene considerata la durata di un sistema. A causa del fatto che l’ispezione periodica su sistemi PESS è quasi impossibile, la durata di vita deve essere specificata. Inoltre, la diagnostica del sistema non è in grado di rilevare ogni possibile difetto, la DC è sempre inferiore al 100%. Normalmente i sistemi PESS hanno un “intervallo di test di prova”. Lo scopo di questo test di prova consiste nel rilevare gli errori normalmente non rilevati. La EN 81 non richiede ciò. In tal modo si consente a un sistema di creare una quantità infinita di errori determinando potenzialmente un guasto pericoloso.

DISCUSSIONE

Al momento, solo una piccola quantità di ascensori funziona con PESS. E per questi, non ci sono ancora grandi guasti. La PESS è possibile dal primo emendamento della norma
EN 81-1/2 nel 2005. Non sappiamo quanti impianti ci sono in campo oggi, quindi non siamo in grado di determinare il motivo per cui non ci sono stati guasti. Ci sono alcune possibili spiegazioni per il fatto che non abbiamo avuto alcun incidente:

Quando si fa qualcosa di rivoluzionario, un’azienda deve essere assolutamente certa della sicurezza: in caso contrario il prodotto non sarà accettato nel mercato del cliente. Per la PESSRAL, la maggior parte delle aziende ascensoristiche desiderano essere assolutamente sicure del fatto che dopo diversi anni funzioni ancora: quindi, probabilmente, verranno fatte delle prove di resistenza. Si tratta di un potente metodo di prova.

Non ci sono molti sistemi PESSRAL al mondo: la maggior parte degli ascensori ha una lunga durata e i comandi non vengono cambiati regolarmente. Inoltre, lo sviluppo delle PESSRAL è appena iniziato: non ci sono più di tanti sistemi PESSRAL sul mercato. La maggior parte di questi sono ancora in fase di sviluppo.

I principali organismi di certificazione eseguono anche i test sui sistemi PESS. Hanno i loro criteri di collaudo, o chiederanno un calcolo. Anche gli organismi di certificazione vogliono sistemi sicuri, e la maggior parte di loro sa come eseguire i test in modo corretto.

Non vi è alcuna linea guida per la segnalazione degli incidenti e non possiamo essere sicuri che verremo informati di tutti gli incidenti che si verificano nel mondo e delle relative cause.

I problemi maggiori di queste possibili spiegazioni è il fatto che non sono obbligatorie: non ci sono requisiti sui tempi di collaudo, non vi è alcun obbligo di avere esperienza su PESS per gli organismi notificati. Inoltre, non esistono informazioni a livello mondiale di incidenti ascensoristici relativi a questo argomento.

CONCLUSIONI

La PESSRAL non è la PESS. Ciò non è dovuto solo all’assenza di molte informazioni di base. L’intera struttura portante matematica non c’è più: non possiamo calcolare se la probabilità di guasto del sistema è corretta. Ciò influisce enormemente sui guasti per cause comuni. Questi sono i guasti più pericolosi per un sistema a doppio canale. Inoltre, i canali stessi possono essere realizzati con componenti pericolosi. L’unico modo di verificare il sistema è il collaudo, ma le strategie di collaudo non sono descritte. Mentre scriviamo, non si sono ancora verificati incidenti mortali. Tuttavia, non siamo in grado di spiegare perché ciò non sia accaduto, o prevedere che non accadranno. Alla fine, è possibile costruire sistemi non sicuri con le norme del PESSRAL. Al momento, possiamo solo sperare che gli ascensori siano sicuri, per il futuro abbiamo bisogno che la EN 81-20 cambi il più rapidamente possibile.

BIOGRAFIA

Tijmen Molema è uno specialista in certificazione di prodotto per Liftinstituut. La sua specializzazione sono software ed elettronica. Ha studiato ingegneria elettronica e design presso la Hogeschool Utrecht. Ha iniziato nel 2014 come ispettore di ascensori, ma è diventato rapidamente uno specialista di prodotto, per tutti i tipi di problematiche elettroniche. Il suo obiettivo personale è di aiutare l’industria ascensoristica ad abbandonare i “vecchi” relè, e a portarla verso un mercato nuovo e progredito.

Di Tijmen Molema

This article is also available in: enEnglish (Inglese)

Share