Alimentatori per la sicurezza funzionale industriale

Bryan Angelo Bores e Noel Tenorio (Analog Devices) -
Alimentatori

Tutto quello che c’è da sapere sullo standard sulla sicurezza funzionale, lo Standard IEC 61508, in materia di progettazione di alimentatori

Un alimentatore è uno dei componenti più importanti in un sistema elettronico, poiché il suo funzionamento può condizionare l'intera operatività del sistema stesso. Nel contesto della sicurezza funzionale industriale secondo lo standard IEC 61508, gli alimentatori sono considerati elementi e servizi di supporto per i sistemi correlati alla sicurezza (Safety-Related System, SRS) di tipo elettrico/elettronico/elettronico programmabile (E/E/PE) e per altri sottosistemi. Con i tre requisiti chiave dello standard IEC 61508 per la conformità alla sicurezza funzionale (Functional Safety, FS) e le misure diagnostiche raccomandate, lo sviluppo di alimentatori per la FS industriale può essere complesso.

Alimentatori nei Sistemi E/E/PE Correlati alla Sicurezza

Lo standard IEC 61508-4 definisce i sistemi E/E/PE come sistemi utilizzati per il controllo, la protezione o il monitoraggio basati su uno o più dispositivi E/E/PE. Ciò include tutti gli elementi del sistema, quali alimentatori, sensori e altri dispositivi di input, data highway e altri percorsi di comunicazione, attuatori e altri dispositivi di output. Un sistema di sicurezza è invece definito come un sistema designato che implementa le funzioni di sicurezza necessarie per raggiungere o mantenere uno stato di sicurezza dell'apparecchiatura sotto controllo (Equipment Under Control, EUC) ed è destinato a raggiungere, da solo o con altri SRS E/E/PE e altre misure di riduzione del rischio, l'integrità di sicurezza necessaria per le funzioni di sicurezza richieste. Ciò è illustrato nella Figura 1, dove gli alimentatori fungono anche da esempio di servizi di supporto a un E/E/PE SRS oltre all'hardware e al software necessari per svolgere la funzione di sicurezza specificata.

Figura 1 – Sistema E/E/PE: struttura e terminologia
Figura 1 – Sistema E/E/PE: struttura e terminologia

 

Alimentatori e cause comuni di guasto

La base dello standard di sicurezza funzionale definisce il guasto per causa comune (Common Cause Failure, CCF) come un’anomalia che è il risultato di uno o più eventi, che causano guasti simultanei di due o più canali separati in un sistema multicanale, portando al guasto del sistema. Un esempio è un guasto dell'alimentatore che può causare molteplici guasti pericolosi dell'SRS. Ciò è illustrato nella Figura 2, dove un guasto dell'alimentazione a 24 V, ipotizzando che l'ingresso a 24 V vada in cortocircuito verso le uscite a 12 VCC e 5 VCC, causerà un guasto pericoloso dei circuiti a valle.

Figura 2 – Esempio di scenario CCF dell'alimentazione
Figura 2 – Esempio di scenario CCF dell'alimentazione

È importante prendere in considerazione i CCF quando si garantisce la conformità alla sicurezza funzionale, poiché influiscono sulla conformità ai tre requisiti chiave dello standard IEC 61508: integrità sistematica della sicurezza, integrità della sicurezza hardware e vincoli di architettura di sistema. Di seguito sono riportati i requisiti standard citati relativi ai CCF e agli alimentatori in determinate circostanze:

  • Lo standard IEC 61508-1, sezione 7.6.2.7, tiene conto della possibilità di CCF nell'assegnazione dei requisiti di sicurezza generali. Questa sezione richiede inoltre che il sistema di controllo EUC, l'E/E/PE SRS e altre misure di riduzione del rischio, quando trattati come indipendenti ai fini dell'assegnazione, non condividano alimentatori comuni la cui avaria potrebbe causare una modalità di guasto pericolosa di tutti i sistemi.
  • Analogamente, nell'ambito della sintesi degli elementi per ottenere la capacità di sistema richiesta (SC), lo standard IEC 61508-2, Sezione 7.4.3.4, Nota 1, cita come possibile approccio per ottenere un'indipendenza sufficiente la garanzia che non vi siano malfunzionamenti dell'alimentazione comune che possano causare una modalità di guasto pericolosa di tutti i sistemi.
  • Per i circuiti integrati con ridondanza su chip, l'IEC 61508-2, Appendice E, cita anche diversi requisiti normativi, tra cui la separazione degli ingressi e delle uscite, come per l’alimentatore, tra l’altro, e l'uso di misure per evitare guasti pericolosi causati da anomalie di alimentazione.

Sebbene queste clausole vietino la condivisione di alimentatori comuni, la cui anomalia potrebbe causare una modalità di guasto pericolosa di tutti i sistemi, l'implementazione di tale pratica nella progettazione di un sistema comporterebbe un aumento dell'ingombro, con dimensioni e costi maggiori della scheda. Un modo per continuare a utilizzare alimentatori comuni è quello di impiegare un monitoraggio adeguato dell'alimentazione. In questo modo, i guasti pericolosi causati dall'alimentazione a un SRS E/E/PE possono essere ridotti a un livello tollerabile, se non eliminati, in conformità alle norme di sicurezza. Maggiori informazioni sull'efficacia del monitoraggio dell'alimentazione nel risolvere i guasti per causa comune sono disponibili nel post del blog “Functional Safety for Power.”

 

Anomalie e diagnostica dell’alimentazione

Data la necessità di rilevare le anomalie nell'alimentazione, la base dello standard di sicurezza funzionale specifica i requisiti e le raccomandazioni per affrontare sia i guasti hardware sistematici che quelli casuali.

In termini di requisiti per il controllo dei guasti sistematici, lo standard IEC 61508-2 Sezione 7.4.7.1 richiede che la progettazione dei sistemi E/E/PE SRS sia tollerante alle sollecitazioni ambientali, compresi i disturbi elettromagnetici. Questa clausola è citata nella Tabella A.16 dello standard IEC 61508-2, che delinea come obbligatorie alcune misure contro i difetti dell'alimentazione elettrica (cadute di tensione, variazioni di tensione, overvoltage (OV), undervoltage e altri fenomeni), indipendentemente dal livello SIL. Questo è illustrato nella Tabella 1.

AlimentatoriLa Tabella A.1 della IEC 61508-2, alla voce componente hardware discreto, mostra i guasti e i malfunzionamenti che si possono ipotizzare per un alimentatore quando si quantifica l'effetto di guasti hardware casuali. Questo è riportato nella Tabella 2. Allo stesso tempo, la Tabella A.9 della IEC 61508-2 mostra le misure diagnostiche raccomandate per un alimentatore, oltre alla rispettiva copertura diagnostica massima giustificabile. La Tabella 3 mostra questo aspetto con ulteriori dettagli tratti dalla Sezione A.8 della IEC 61508-7.

AlimentatoriSia la Tabella 2 che la Tabella 3 sono utili quando si esegue un'analisi di sicurezza, poiché le modalità di guasto per componente e la copertura diagnostica delle tecniche di diagnosi impiegate costituiscono gli input per il calcolo dei valori lambda, quindi del parametro SIL: probabilità di guasto pericoloso e frazione sicura in caso di guasto (Safe Failure Fraction, SFF).

AlimentatoriLa Figura 3a mostra un esempio di misura diagnostica del controllo di tensione. In questo esempio, l'alimentazione del sottosistema del controller logico, tipicamente sotto forma di post-regolatore o LDO, è monitorata dal MAX16126. Qualsiasi tensione fuori range rilevata dal supervisore, sia essa un OV o un UV, provocherà la disconnessione del sottosistema del controller logico, composto dal microcontrollore e da altri dispositivi logici, dall'alimentatore e l'attivazione del pin FLAG del MAX16126. In questo modo, il sottosistema del controller logico può essere commutato in una condizione di sicurezza. Allo stesso modo, questo circuito può anche essere utilizzato come protezione da OV con misura diagnostica di spegnimento di sicurezza se non è presente il rilevamento di UV.

Figura 3 – Illustrazione delle misure diagnostiche raccomandate per un alimentatore (alimentatori)
Figura 3 – Illustrazione delle misure diagnostiche raccomandate per un alimentatore

D'altra parte, la Figura 3b mostra un esempio di spegnimento con misura diagnostica di arresto di sicurezza. In questo esempio, il controller hot swap dell'LTC3351 collega l'alimentatore al sottosistema del controller logico, mentre il suo switching controller sincrono funziona in modalità step-down, caricando un gruppo di supercondensatori. Se l'alimentazione supera le tensioni di soglia OV o UV, l'LTC3551 scollega il sottosistema del controller logico dall'alimentazione e il controller sincrono funziona in senso inverso come convertitore step-up, per fornire energia dalla batteria di supercondensatori al sottosistema del controller logico. Ciò darà al sottosistema del controller logico il tempo sufficiente per salvare lo stato interno in una memoria non volatile, in modo che tutte le uscite possano essere impostate in una condizione di sicurezza dalla routine di spegnimento.

 

Funzionamento degli alimentatori

Oltre al CCF, ai guasti di alimentazione e alle misure diagnostiche raccomandate, lo standard IEC 61508 ha anche espresso l'importanza del funzionamento dell'alimentatore nell'E/E/PE SRS. Ciò è evidente nella sesta parte della normativa, Allegato B.3, che discute l'uso dell'approccio del diagramma a blocchi di affidabilità, per valutare le probabilità di guasto hardware ipotizzando una frequenza di guasto costante. Oltre all'ambito dei sottosistemi dei sensori, della logica e degli elementi finali, è incluso anche il funzionamento dell'alimentatore, come mostrato nei seguenti esempi.

  • Quando un guasto dell'alimentatore interrompe l'alimentazione di un SRS E/E/PE di tipo de-energize-to-tripe avvia il passaggio del sistema a uno stato di sicurezza, l'alimentatore non influisce sul PFDavg dell'SRS.
  • Se il sistema è di tipo energized-to-trip o l'alimentatore presenta modalità di guasto che possono causare un funzionamento non sicuro dell'E/E/PE SRS, l'alimentatore deve essere incluso nella valutazione.

Tali ipotesi rendono critico il funzionamento dell'alimentatore in un E/E/PE SRS, in quanto può determinare se l'alimentatore stesso possa influire sul calcolo della probabilità di un guasto pericoloso, che è uno dei requisiti chiave dello standard IEC 61508.

 

Conclusione

Questo articolo ha fornito approfondimenti sui requisiti normativi e informativi basilari dello standard di sicurezza funzionale per l’alimentatore di un sistema di sicurezza E/E/PE. A tal fine, è stato innanzitutto affrontato il ruolo dell'alimentatore in un SRS E/E/PE. Una discussione sulle cause comuni di guasto, che vietano l'uso di alimentatori in comune, ha poi dimostrato come l'uso del monitoraggio dell'alimentazione elimini i CCF. Sono stati inoltre illustrati i requisiti relativi ai guasti hardware sistematici e casuali relativi agli alimentatori e le misure diagnostiche raccomandate per gli stessi. Infine, a seconda del funzionamento dell'alimentatore – de-energize-to-trip o energize-to-trip – è stata trattata anche la probabilità di un guasto pericoloso dell'SRS che può essere influenzato dall'alimentatore.

 

Riferimenti bibliografici

  • Foord, Tony e Colin Howard, "Energise or De-Energise to Trip?", in Measurement and Control, Vol. 41, No. 9, novembre 2008.
  • IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems, International Electrotechnical Commission, 2010.
  • Meany, Tom, Functional Safety for Power, Analog Devices, Inc., Marzo 2019.

ARTICOLI CORRELATIALTRO DALL'AUTORE

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome