Valore di MTTFD

Determiniamo la durata media di funzionamento, espressa in anni, prima che capiti un guasto casuale potenzialmente pericoloso o “Mean Time to dangerous Failures” (MTTFD).

Normalmente Il costruttore dei sensori analogici non fornisce dati di “Performance Level” (PL) / “Probability of dangerous Failure per Hour” (PFHD) né di “Mean Time to dangerous Failures” (MTTFD) ma solo il valore di “Mean time between failure” (MTBF) che, in questo esempio, assumiamo 54 anni (dato reale ricavato da un costruttore). Se anche questo valore non fosse disponibile è possibile ricavare dei valori standard dalla nomra EN ISO13849-1 Allegato C. In questo caso è possibile fare le seguenti assunzioni:

MTTF = MTBF + MTTR (Mean Time To Restoration)

”Mean time to restoration” (MTTR) o tempo medio di riparazione, è l’intervallo di tempo durante il quale una apparecchiatura è in uno stato di indisponibilità a causa di un guasto. L’MTTR comprende il tempo per la diagnosi, quello per l’arrivo del tecnico di manutenzione, l’arrivo del componente da sostituire e la riparazione vera e propria. Per le apparecchiature elettroniche MTTR può essere considerato trascurabile (non si ripara, si sostituisce).

MTTF≈MTBF

Quando non è noto il tasso di guasti pericolosi, EN13849-1, permette di assumere che essi siano il 50% di tutti i guasti, quindi:

MTTFD = 2 x MTBF
MTTFD= 2 x 54 = 108 years

Questa valutazione si riferisce al singolo sensore.
.

Considerazioni sulla Copertura Diagnostica

Determiniamo ora il valore della Copertura Diagnostica “Diagnostic Coverage” (DC).

La Copertura Diagnostica specifica quanto il sistema è efficiente nel determinare i propri malfunzionamenti in tempo reale cioè prima che si verifichi un altro guasto.

Ci baseremo sulla tabella E1 (illustrata a fianco) della norma ISO 13849, che fornisce un elenco di 34 differenti tecniche di diagnosi che possono essere usate per aumentare la capacità di rilevamento guasti di un circuito.

Le tecniche sono suddivise in tre famiglie (circuiti di ingresso, logica di elaborazione del segnale e circuiti di uscita). Per ogni tecnica viene assegnato un punteggio percentuale compreso tra 0% e 99%.

Mosaic MA4 e MA2 eseguono il cross monitoring [A] come richiesto da tabella, quindi il sistema raggiunge il 99% di DC.

Questo non è ancora sufficiente perché il sistema raggiunga la Categoria 4.

Guasti accumulati

Per la Categoria 4 la tabella 10 della ISO 13849-1 (vedere pagina precedente) richiede che il DC sia Alto (99%) e include l’accumulo dei guasti, cioè che possano accadere più guasti, uno dopo l’altro, senza che questo degradi la funzione di sicurezza.

Occorre rilevare il singolo guasto nel momento in cui avviene o prima della successiva richiesta della funzione di sicurezza. Nel caso questo non sia possibile, un accumulo di guasti non rilevati non deve portare alla perdita della funzione di sicurezza.

Per rispettare questa richiesta anche la scelta dei sensori o di come utilizzarli ha importanza.

  • Un sensore con uscita 0-10 V ha il valore minimo a 0 Vcc che non è distinguibile da un corto circuito a 0 Vcc. Inoltre entrambi i sensori potrebbero avere questo tipo di guasto provocando di conseguenza con un accumulo di guasti.
  • I sensori con uscita in corrente 0-20 mA seguono la stessa logica ma con un guasto pericoloso rappresentato da un circuito aperto (ad esempio un cavo scollegato).

In applicazioni di sicurezza, obbligatoriamente se vogliamo raggiungere una Categoria 4, questi sensori devono essere evitati oppure va programmata una soglia per cui al di sotto di un certo valore, per esempio 0,5 Vcc o 2 mA, il sistema reagisce come ad un guasto. Con il sistema Mosaic, ad esempio, è possibile configurare i parametri di funzionamento tramite il software MSD per incrementare la DC. Possono infatti essere implementati dei controlli intermedi come:

  1. Errore di misura tra i 2 sensori.
  2. Controllo temporale di fuori soglia.

Rimane un importante aspetto riguardante la copertura diagnostica e l’accumulo dei guasti. Il caso in cui il valore in uscita dei sensori non cambi per un periodo di tempo.

Ipotizziamo che i sensori, per esempio di temperatura, misurino per lungo tempo lo stesso valore, trasmettendo sempre lo stesso valore di corrente, per esempio 5 mA. Uno dei possibili guasti che potrebbero verificarsi è quello in cui, entrambi i sensori, in sequenza, si rompano trasmettendo sempre lo stesso valore di corrente. Un guasto del genere non potrebbe essere rilevato dal sistema di sicurezza.

Per essere certi di rilevare anche questo tipo di guasti accumulati, occorre effettuare dei test dinamici, ad esempio facendo variare la temperatura nella parte di macchina a cui sono collegati i sensori, con una frequenza predeterminata (ad esempio 4 volte all’ora). Questo tipo di test è obbligatorio per la categoria 4.

Concludendo queste valutazioni sui guasti accumulati, dobbiamo puntualizzare:

  1. È spesso impossibile forzare dei cambiamenti obbligati in un processo. Per quanto riguarda il nostro esempio, potrebbe essere complesso far cambiare la temperatura ad una parte della macchina.
  2. Tutto questo è richiesto SOLO per la Categoria 4.
  3. L’uso di sensori e soglie adeguatamente scelti per evitare corto circuiti o circuiti aperti non rilevati è importante anche nel computo dei CCF, descritto di seguito.

Se vogliamo ottenere una categoria 4 dobbiamo: aumentare la Copertura Diagnostica (DC) o almeno verificare che l’uso del nostro sistema di sicurezza sia il migliore possibile. sistono dei metodi per valutare quale deve essere l’intervallo di tempo tra 2 cambiamenti successivi dei valori misurati dai sensori:

  • alcuni presuppongono valutazioni matematico statistiche delle caratteristiche di affidabilità dei sensori utilizzati e della loro configurazione. Esistono dei metodi di calcolo consolidati nell’uso ma complessi per analizzarli in questa guida. Comunque l’uso di strumenti matematici complessi non garantisce l’esattezza del risultato.
  • altri prendono in considerazione l’applicazione pratica in modo logico e puntano ad avere un intervallo di test significativamente più basso della durata della inattività dei sensori oppure realizzare un test prima dell’uso della macchina e della necessità della funzione di sicurezza.

L’obiettivo finale è che l’accumulo di guasti, anche non rilevati, non porti mai alla perdita della funzione di sicurezza. Questa è la richiesta obbligatoria della Categoria 4, spesso è impossibile da rispettare pienamente.

Considerazioni sui guasti di causa comune “Commmon Cause Failure” (CCF)

Si tratta del guasto risultante da uno o più eventi che provoca il malfunzionamento contemporaneo dei canali di un sistema a due o più canali.

Fornisce una indicazione del grado di indipendenza di funzionamento dei canali di un sistema ridondante.

Utilizzando la tabella F1 (illustrata a fianco) della norma ISO 13849, viene assegnato un punteggio relativamente ad ogni misura contro i guasti di causa comune. Il massimo punteggio raggiungibile è 100.

Il calcolo e le verifiche sono comuni per tutte le categorie.

1. Separazione / Segregazione

Uso di cavi schermati – Con l’uso delle uscite analogiche si usano già normalmente cavi schermati, ed è il singolo cavo ad essere schermato.
Rilevamento guasti come corto circuiti o circuiti aperti – Le caratteristiche di rilevamento dei segnali analogici in corrente (0 … 20 mA) o in tensione (0 … 10 V) permettono di soddisfare le misure indicate. Si può fare agevolmente escludendo i valori come 0 V o 0 mA.

Quindi è agevole ottenere i 15 punti.

2. Diversità

Uso di sensori diversi – Ad esempio con i moduli Mosaic MA2 MA4 possono essere utilizzati 2 sensori non solo con fondo scala diversi ma, addirittura, con uscite di tipo diverso (tensione o corrente).

Quindi è agevole ottenere i 20 punti.

3. Progettazione / Applicazione / Esperienza

Utilizzo di protezioni – Inserendo le protezioni opportune e necessarie (Over-Voltage e Over-Current) si possono ottenere 15 punti.

Utilizzo di componenti ben provati – I dispositivi con uscita analogica non rientrano tra i componenti ben provati (EN 13849-2 tabella D.4). Quindi 0 punti.

4. Valutazione / Analisi

Sono necessarie analisi “failure mode and effect analysis” (FMEA) .
Visti i tempi che richiederebbero queste analisi, per questa misura assegnamo 0 punti non svolgendo alcuna attività.
 
NOTA: Bisogna comunque fare la considerazione che una FMEA non è necessariamente un calcolo matematico delle probabilità di rischio, ma è una analisi di tutti i tipi di guasto per valutare i loro effetti. Una valutazione di questo tipo va comunque effettuata al momento di scegliere e installare dei sensori, per cui potrebbe valere la pena di documentarla e ottenere i pochi 5 punti che questa merita.
 

5. Competenza / Formazione

Considerando i progettisti preparati a comprendere il generarsi dei CCF e le relative conseguenze, assegnamo 5 punti.
 

6. Ambiente

Il sistema deve essere immune agli effetti dell’ambiente circostante, come la sporcizia.
Inoltre il sistema deve essere immune ai disturbi EMC, in particolare ai disturbi EMC generanti CCF (Disturbi di modo comune e/o differenziale).  Solo se si può dimostrare (documentare anche con test), abbiamo 25 Punti.
 
Tutte le altre condizioni ambientali (temperatura, umidità, vibrazioni…) debbono essere prese in considerazione. Solo se si può dimostrare l’immunità, abbiamo 10 Punti.
 
È necessario ottenere almeno 65 punti. Appare abbastanza evidente che le condizioni per raggiungere la Categoria 3 sono abbastanza agevoli. Più critico il raggiungimento della Categoria 4 di sistema (da non confondere con quella del modulo) a causa della difficoltà di rilevare il cumulo di guasti.
In sostanza:
  • Nel caso in cui sia dimostrabile che DC=99% e venga rilevato l’accumulo dei guasti, si rispettano i requisiti della Categoria 4.
  • Nel caso in cui sia dimostrabile che DC>90% e non venga rilevato l’accumulo dei guasti, si rispettano i requisiti della Categoria 3.

Conclusioni

Basandoci sulla tabella K1 della EN 13849-1 La funzione di sicurezza del nostro esempio, con MTTFD dei sensori di 108 anni, con DCavg alto ma, per esempio, senza le condizioni richieste dalla Categoria 4 perché non riusciamo a testare i sensori a intervalli regolari, si raggiunge comunque il PL e (riquadro verde).

Prendendo il dato dalla tabella, il sottosistema dei sensori avrà:

PL=e with PFHD=4,22×10-8

L’altro componente del sistema è Mosaic.

Dal report di Mosaic per una combinazione di M1S + MA4 ottengo un valore di:

PFHD=2,97×10-8

Per calcolare il PL complessivo devo sommare i PFHD

PFHD total= PFHD_sensor + PFHD_Mosaic = 4,22×10-8 + 2,97×10-8 = 7,29×10-8

Corrisponde ancora ad un PL=e

Uso di sensori non di sicurezza per funzioni di sicurezza secondo EN IEC 62061

Le medesime considerazioni fatte con la 13849 si possono ripetere anche con questa norma per l’automazione di processo.

I metodi di calcolo e analisi sono però assai più complessi.

Per un approccio semplificato è possibile riferirsi a questa tabella della EN ISO 13849 che propone una relazione tra i valori finali raggiunti.