Verifica di CCF per le architetture ridondanti

I CCF (Common Cause Failures) sono guasti dovuti a un’unica causa che possono interessare più componenti contemporaneamente.

CCF si possono verificare simultaneamente su più componenti a causa di uno shock, oppure a causa di un aumento di stress del sistema (ad es. per aumento improvviso di temperatura, umidità, vibrazioni) o per errori di progetto.

È importante valutare se possono verificarsi guasti per causa comune. Questi guasti infatti possono vanificare gli effetti di ridondanza. Se per effetto di CCF due o più canali distinti, in un sistema a più canali, si trovano contemporaneamente nello stato di errore, l’intero sistema di comando potrebbe perdere l’effetto di protezione.

Per la Categoria 2, per la Categoria 3 e per la Categoria 4 occorre quindi implementare strategie di difesa in modo da ridurre la probabilità di avere CCF. Ciò significa ridurre il fattore di accoppiamento fra i canali, scegliere componenti robusti , aumentare l’affidabilità intrinseca del sistema e garantire che l’ambiente operativo rientri nei vincoli di progettazione

La ISO 13849-1 presenta, nella Tabella F.1, una lista di 10 misure. 

Le misure sono raggruppate nelle seguenti categorie:

Progettazione fisica
Separazione / segregazione
Diversità / ridondanza
Complessità / design / applicazione / maturità / esperienza
Analisi

Valutazione / analisi e feedback dei dati
Problemi umani

Competenza / formazione / cultura della sicurezza dei progettisti
Problemi ambientali
EMC / Controllo ambientale / inquinamento di sistemi fluidici

A ogni misura contenuta nella lista è assegnato un punteggio. La somma totale vale 100. Deve essere raggiunto un punteggio di 65 o superiore. Con un punteggio di 65 è ipotizzabile che la frazione residua di guasti per causa comune sia inferiore o uguale al 2%. Se, invece, il punteggio totale è inferiore a 65, devono essere presi ulteriori provvedimenti.

I crediti più elevati sono assegnati alle misure contro le influenze ambientali (25 punti) e all’uso di differenti tecnologie/progetti o principi fisici per i due canali (20 punti).

Esempio di diversità

Due interruttori di posizione usati in modo combinato, uno ad azionamento meccanico diretto e uno a azionamento meccanico indiretto come illustrato nella tabella seguente:

Azionamento Meccanico

Diretto

Protezione chiusa

Protezione aperta

Modo di funzionamento

Lo stantuffo (attuatore) è tenuto premuto da una camma finché la protezione non è chiusa.

Quando la protezione è chiusa, l’uscita cambia di stato come risultato dell’azione
della molla di richiamo.

Esempio di comportamento in caso di guasto

L’uscita rimarrà nello stato sicuro quando la protezione non è chiusa anche se la molla si rompe.

Indiretto

Lo stantuffo (attuatore) è tenuto premuto da una camma finché la protezione è chiusa.

Quando la protezione è aperta, l’uscita cambia di stato come risultato dell’azione della molla di richiamo.

Se la molla si rompe l’uscita può trovarsi in uno stato non sicuro anche se la
protezione non è chiusa.

Oppure uno ad azionamento meccanico e uno tipo non meccanico come nell’esempio a fianco.

Ogni misura della lista deve essere valutata. Si assegna il punteggio riportato solo se la misura è stata completamente applicata; in caso di adozione solo parziale il valore ad essa associato è zero.