Analisi RAMS e attività di Verification & Validation per sistema antincendio treno ETR675

Analisi RAMS e attività di Verification & Validation per sistema antincendio treno ETR675

 

Il sistema Antincendio per il treno ETR675 è costituito dai seguenti sottosistemi:

  • Sottosistema di rilevamento, basato su rilevamento di fumo mediante sensori puntiformi di fumo e di temperatura;

  • Sottosistema di estinzione, basato su acqua nebulizzata (water mist) con open nozzles.

Committente finale: Alstom

Descrizione: Z Lab ha prodotto la documentazione RAMS e attività di Verification & Validation per valutazione SIL 2 per:

  • Software dell’Unità di controllo e supervisione e del Sensore di Fumo

  • Intero sistema antincendio.

La RAMS è una caratteristica d'esercizio a lungo termine di un sistema e viene ottenuta con l'applicazione di dati, concetti, metodi, tecniche e strumenti d'ingegneria durante tutto il ciclo di vita del sistema. Può essere definita come un indicatore qualitativo e quantitativo del grado con il quale il sistema, o i sottosistemi e i componenti del sistema, può contare sulla funzione come specificata ed essere disponibile. RAMS è l’ acronimo anglosassone di Affidabilità (Reliability), Disponibilità (Availability), Manutenibilità (Maintainability) e Sicurezza (Safety).

L’Affidabilità rappresenta la probabilità che un elemento possa eseguire una funzione richiesta in determinate condizioni e per un dato intervallo di tempo n (t1 –t2).

La Disponibilità è la capacità di un prodotto di essere in grado di eseguire una funzione richiesta in determinate condizioni e in un dato istante di tempo, o in un determinato intervallo di tempo, supponendo che siano fornite le risorse esterne necessarie.

La Manutenibilità è intesa come la probabilità che una data azione di manutenzione attiva per un elemento, in determinate condizioni d'uso, possa essere eseguita entro un intervallo di tempo stabilito considerando la manutenzione eseguita in determinate condizioni attraverso procedure e risorse.

La Sicurezza rappresenta invece l’eliminazione del rischio di danni inaccettabili.

La tecnica dell’ Hazard Analysis (HA) è uno strumento di sicurezza (Safety delle analisi RAMS) .Questo processo utilizza le informazioni di progettazione per stimolare l’identificazione del pericolo e il suo fattore causale, gli effetti, la valutazione dei rischi e le misure di mitigazione. Il punto di partenza per l’ Hazard Analysis è la lista dei rischi preliminare (PHL), successivamente arricchita da una lista degli incidenti indesiderati. Gli ingressi di base per l'HA includono:

  • lo schema funzionale del sistema,

  • il diagramma a blocchi di affidabilità,

  • la lista dei componenti del sistema,

  • tutto ciò che permette di capire il funzionamento del sistema,

La valutazione del rischio è il risultato di una matrice che mette in relazione frequenza e severità. L’ analisi del rischio viene condotta in relazione alla gravità del pericolo considerato, la probabilità di accadimento dello stesso e il profilo di missione del sistema. La normativa utilizzata è stata la MIL-STD-1472.

La predizione di affidabilità è un metodo utilizzato per calcolare il tasso di guasto costante durante la vita utile del prodotto sotto analisi, al fine di valutare, determinare e migliorare le misure di affidabilità di un elemento.  La predizione di affidabilità viene eseguita a vari livelli e gradi di dettaglio del sottosistema. Si basa su una scomposizione ad albero del sistema in esame (WBS-Work Breakdown Structure), in modo da identificare i componenti principali e assegnare a ciascuno di essi un tasso di guasto, in accordo con gli standard MIL-HDBK-217F Notice 2, VITA 51.1 o Siemens 29500 (per i componenti elettronici). Il tasso di guasto basico del sistema è calcolato sommando i tassi di ciascun componente in ciascuna categoria moltiplicati per le loro quantità (basandosi sulla teoria delle probabilità). Ciò in base all’assunto che la rottura di ogni componente si suppone possa portare al guasto del sistema. Questo modello presuppone che il tasso di guasto di riferimento, in condizioni operative, sia costante. In modo particolare, il tasso di guasto dei componenti elettronici può essere calcolato:

  • Alle condizioni di riferimento (metodo Parts Count)

  • Alle condizioni di lavoro (motodo Parts Stress)

Nel metodo Part-Count, il tasso di guasto si ricava da opportuni database che forniscono il valore del tasso di guasto basico in funzione dell’ambiente operativo in cui il sistema deve operare. Il metodo Part-stress, invece, richiede informazioni dettagliate come: tipo di tecnologia, anno di produzione, temperatura di giunzione, valori di stress, caratteristiche di dilatazione termica, numero di cicli termici, variazione di escursione termica, applicazione del dispositivo, ecc.. Per la Predizione di Affidabilità è state utilizzate le Normative MIL-HDBK-217F  Notice 2 (Reliability Prediction of Electronic Equipment) e NPRD-2011 (Non electronic Part Reliability Data 2011).

L’analisi FMECA è uno strumento utilizzato per esaminare tutti i possibili guasti, le loro conseguenze e le criticità dei componenti o delle funzioni relative all'impianto considerato. È concepita al fine di migliorare e verificare l’affidabilità dei sistemi in genere complessi. Essa è composta da due analisi separate che sono rispettivamente la FMEA (Failure modes and Effects Analysis) e la CA (Criticality Analysis). Esistono due diversi approcci all’analisi FMECA:

  • approccio funzionale: è eseguito sulle funzioni. Questo approccio di concentra sui modi con cui gli obiettivi funzionali non vengano soddisfatti .

  • approccio strutturale: . è eseguito sui componenti HW del sistema. Questo approccio tende a fornire un maggiore dettaglio circa i modi di guasto e gli effetti sul sistema a livello componente. I modi di guasto dei componenti sono descritti nella normativa FMD-97.

Inoltre, per fornire una valutazione qualitativa delle potenziali conseguenze si attribuisce il livello di criticità dei modi di guasto in base al loro effetto sulla regolarità e/o "comfort" di servizio e sulla sicurezza; Valutando tali risultati si è quindi in grado di suggerire le eventuali azioni compensative riguardanti il modo di guasto in esame. L’analisi FMECA, quindi, consente di individuare guasti dei componenti che risultano essere critici in termini di affidabilità e/o sicurezza, in relazione ad un determinato profilo di missione. Inoltre risulta essere alla base di scelte progettuali tendenti ad eliminare un guasto critico o per lo meno, a ridurne la criticità (attraverso azioni correttive). La normativa utilizzata è stata la MIL-STD-1629A.

L’Analisi dell’albero dei guasti (FTA) è usato principalmente per modellare le interrelazioni logiche tra gli eventi che combinandosi danno origine ad una situazione pericolosa. Lo scopo dell’FTA è quello di determinare le combinazioni dei guasti o modi di guasto sulle apparecchiature che possono provocare guasti a livello di sistema o situazioni di pericolo indesiderate.

FTA prevede la preparazione di un diagramma logico che traccia una serie di eventi che contribuiscono, attraverso un evento indesiderabile (evento superiore), alla realizzazione di un pericolo (un evento pericoloso). Nel contesto di un pericolo che si può verificare, tutti gli eventi che ne contribuiscono devono essere considerati come cause, sia da soli che in combinazione con altre cause.

L’FTA è una tecnica di analisi che integra l’Hazard Analysis e la FMECA in quanto forniscono informazioni sulle combinazioni di eventi, errori e fallimenti, che possono portare a eventi indesiderati.

L’analisi procede determinando come l'evento TOP può essere causato da errori di livello inferiore singoli, da errori di livello inferiore associati o da eventi.

La quantificazione e la valutazione numerica genera tre misure di base per il processo decisionale relativo alla accettabilità del rischio e le misure di prevenzione necessarie:

  • La probabilità di accadimento dell'evento indesiderato;

  • La probabilità e l’importanza degli eventi di guasto (cut set – percorso minimo) che causa l'evento indesiderato;

  • L’importanza del rischio o l'importanza dei componenti.

L’Analisi dell'albero dei guasti è una metodologia strutturata che richiede l'applicazione di alcune regole dell'algebra booleana, la logica e la teoria della probabilità.

Il FT di per sè è uno schema logico di tutti gli eventi (modi di guasto, errore umano e condizioni normali) che possono causare il verificarsi dell'evento indesiderato superiore.

Quando il FT è completo, vengono determinati i Cut Set Critici (CSS) e le probabilità di fallimento. I Cut Set sono le combinazione dei guasti che possono causare il verificarsi dell’evento TOP. Il FT fornisce le informazioni necessarie a supporto delle decisioni di gestione del rischio. La normativa utilizzata è stata la CEI EN 61025.

La Verifica è un’attività di controllo atta a verificare che un prodotto sia conforme alle sue specifiche (funzionali e non). La Validazione, invece, è un processo di valutazione del sistema, durante o alla fine del processo di sviluppo, per determinare se esso soddisfa le esigenze del committente. Queste attività si svolgono dopo ogni “stadio” del processo (dalla revisione dei requisiti, alla revisione del progetto, all’ispezione del codice fino al test del prodotto) e portano all’individuazione di malfunzionamenti o anomalie del Sistema (guasti, errori, difetti, ecc.), in accordo a quanto definito nelle normative (EN 50126, EN 50128 e EN 50129 in ambito ferroviario). L’azione di Verification & Validation (V&V) rientra nella definizione del ciclo di vita del Sistema (EN 50126). Il suo obiettivo è:

Verificare che il progetto e il prototipo rispettino la matrice dei requisiti imposta dal cliente, stabilita in fase di richiesta del prodotto, al fine di evitare l’accadimento di guasti sistematici; scopo della Verifica è dimostrare che, per elementi di ingresso specifici, gli elementi di uscita di ogni fase del ciclo di vita soddisfano in tutti gli aspetti i requisiti di quella fase.
Validare il prodotto da un punto di vista di sicurezza e di qualità, per permetterne la messa in servizio; il fine ultimo della Validazione è di dimostrare che il sistema in esame, a qualsiasi stadio del suo sviluppo e dopo la sua installazione, soddisfi i suoi requisiti in tutti gli aspetti.

Importante nella fase di Verifica e Validazione è il rispetto dei requisiti di sicurezza. A tal fine è necessario eseguire una serie di prove di tipo su ogni sottosistema per verificare l’attendibilità alla normativa progettuale vigente, ad esempio prove di funzionalità, di compatibilità elettromagnetica, di assorbimento acustico, di resistenza al fuoco, di qualità del software.

Il risultato finale della Verification & Validation (V&V) è la stesura del Safety Case secondo le normative EN 50126 e EN 50129