MISURE E FIDATEZZA
s
Rubrica a cura di L. Cristaldi (loredana.cristaldi@polimi.it), M. Catelani, M. Lazzaroni, L. Ciani Articolo di M. Catelani1, L. Ciani1, L. Cristaldi2, A. Ferrero2
Affidabilità delle misure e Misure per l’affidabilità Sicurezza e misure per sistemi complessi
SAFETY AND MEASUREMENT FOR COMPLEX SYSTEMS This paper deals with the centrality of the measurements for a correct management of Safety in complex systems, from the early stage of the analysis of the possible consequences of a fault. Fault classification and safety integrity are reconsidered and the implications of an incorrect metrological approach to the analysis of the sensors’ impact are covered. At last, the recent crashes of the Boeing 737 MAX planes are considered as a clear example of the catastrophic aftermaths of having neglected the consequences of wrong measurement data. RIASSUNTO Questo articolo tratta della centralità delle misure per una corretta gestione della Sicurezza nei sistemi complessi, fin dalla fase iniziale dell’analisi delle possibili conseguenze di un guasto. La classificazione dei guasti e la Safety Integrity vengono riconsiderate e sono analizzate le conseguenze di un approccio metrologicamente non adeguato all’analisi dell’impatto dei sensori. Infine, i recenti disastri aerei dei due Boeing 737 MAX sono brevemente presentati come chiaro esempio delle catastrofiche conseguenze di non aver considerato gli effetti di dati di misura errati. UN BREVE RIPASSO SUL CONCETTO DI SICUREZZA E SAFETY RELATED SYSTEM (SRS)
ll concetto di sicurezza (safety) viene descritto come “assenza di rischi inaccettabili” e il suo studio ha l’obiettivo di minimizzare le condizioni che tengono conto della frequenza con cui si manifesta un evento dannoso e della criticità degli effetti che tale evento può avere sull’uomo, l’ambiente e il sistema stesso [1]. Un sistema di sicurezza SRS (Safety Related System) è un sistema che implementa le funzioni di sicurezza richieste, ovvero le funzioni necessarie per mantenere o riportare il dispositivo sotto controllo in uno stato sicuro [2]. I sistemi di sicurezza hanno quindi il compito di rilevare pericoli e mitigarne le conseguenze, ovvero intraprendere le azioni necessarie per ridurre le conseguenze di un evento pericoloso [3], [4].
saria (intervento spurio) con conseguente perdita di disponibilità del sistema. A loro volta, tali guasti si suddividono in rilevabili e non rilevabili dalla diagnostica a bordo dell’SRS. Un guasto è non rilevabile quando tale tipologia di guasto non è rilevabile dai test automatici. Un ulteriore modo per classificare un guasto è basarsi sui diversi modi di guasto. Come già messo in luce dal diagramma di Fig. 2, gli errori sistematici rappresentano guasti non fisici per i quali il servizio fornito si discosta dal servizio specificato senza alcun degrado fisico del prodotto. Tali guasti possono essere eliminati da una modifica del progetto o del processo di fabbricazione, delle procedure operative o della documentazione. Gli errori di progettazione hanno origine nei processi di realizzazione o d’installazione e possono comunque rimanere latenti a partire dal primo giorno di funzionamen-
CLASSIFICAZIONE DEI GUASTI IN RIFERIMENTO ALLA SICUREZZA
La classificazione dei guasti, necessaria a qualificare il sistema di sicurezza e i suoi sottosistemi, può essere fatta utilizzando l’idea di analizzarli in funzioFigura 1 – Classificazione dei guasti ne delle cause e degli effetti [2]. Una prima classificazione, come già to. Un esempio è rappresentato dal richiamato in [3] e come evidenziato in problema dei guasti legati al software Fig. 1, divide i guasti di un SRS in peri- che porta a una lettura dell’uscita dei colosi e sicuri. Un guasto è definito peri- sensori non valida. I guasti d’interaziocoloso se è tale da non permettere al ne dipendono da errori umani durante sistema SRS l’esecuzione della funzione il funzionamento (o durante le fasi di di sicurezza quando questa è richiesta; si definisce invece guasto sicuro quel guasto che porta ad attuare la funzione 1 Università degli Studi di Firenze di sicurezza senza che questa sia neces- 2 Politecnico di Milano T_M
N.
2/19 ƒ 117
