Gennaio/Febbraio 2014
■
Automazione e Strumentazione
CONTROLLO
tecnica
86
numero di “tag” o “process object”.
Ambiente di installazione
La definizione dell’ambiente include
aspetti diversi, che vanno dalle condizioni
climatiche, alle alimentazioni elettriche
alle condizioni meccaniche. I parametri
fondamentali da specificare sono:
- classe del luogo (IEC 60654-1)
[9]
, per
apparati in sala controllo, nei locali qua-
dri e in campo;
- qualità dell’alimentazione ausiliaria
(IEC 60038)
[4]
, sia in alternata sia in
continua, specificando le variazioni atte-
se di tensione, frequenza, il livello di di-
storsione, i tempi di commutazione (ove
applicabili);
- requisiti di compatibilità EM, per lo più
in termini di immunità ai disturbi irra-
diati e condotti (IEC 61326-1 e altre)
[14]
;
- vibrazioni meccaniche e presenza di at-
mosfere aggressive;
- classificazione delle aree con pericolo di
esplosione (IEC 60079-10-1
[6]
per gas
e 60079-10-2
[7]
per polveri), per appa-
rati in campo.
Caratteristiche di sistema
I due requisiti fondamentali da specificare
sono:
la scalabilità del sistema,
cioè la sua
capacità di crescere senza dover sostituire
parti;
l’espandibilità,
cioè la possibilità di
far crescere ogni componente del sistema
senza dover modificare l’architettura
di sistema o il componente stesso. Altri
aspetti da specificare sono: le procedure
per configurare il sistema; la possibilità
di configurare il sistema mentre lo stesso
è operante; i linguaggi di programmazione
supportati (IEC 61131-3)
[13]
, inclusa la
capacità di gestire i batch (IEC 61512)
[16]
.
Fidatezza
La fidatezza descrive la disponibilità di un
sistema in termini di affidabilità, manute-
nibilità e sicurezza (IEC 62347
[17]
e IEC
60300-3-4
[8]
). La fidatezza di un sistema
riassume la sua capacità di realizzare i suoi
compiti (task) a un dato tempo o all’in-
terno di una finestra temporale definita.
L’affidabilità di un sistema (IEC 61078
[12]
ad IEC 61025
[10]
) è prevalente-
mente influenzata da: le funzioni di auto-
diagnostica che rilevano guasti o difetti;
la possibilità di sostituire componenti “a
caldo”, senza cioè inibire il normale fun-
zionamento del sistema; la ridondanza dei
componenti critici (per esempio “2 su 3”).
La risposta di un PCS al guasto di un suo
componente è mostrata nel diagramma a
blocchi della
υ
figura 4
.
Il guasto non critico di un componente
porta il PCS in uno stato “degradato”, dove
tutte le funzioni essenziali sono ancora
garantite. Al contrario, il guasto critico
di un componente non ridondato porta il
PCS in uno stato di “guasto”, dove cioè
una o più funzioni essenziali non sono più
garantite. Se il componente guasto è ridon-
dato il PCS mantiene la sua piena funzio-
nalità, ma passa in modo “emergenza”. Un
ulteriore guasto lo porterebbe irrimedia-
bilmente in stato “guasto”. La riparazione
del componente riporta il PCS in uno stato
più sicuro. Gli interventi manutentivi sono
strettamente dipendenti dalla capacità del
sistema di allertare l’utente quando un
componente o un sotto-sistema presenta
segni di cedimento o raggiunge i limiti
operativi.
La fidatezza di un sistema influenza anche
la sua possibilità di far parte di un Sistema
di Sicurezza (Safety Instrumented System
secondo la IEC 61508)
[15]
. Se il pro-
cesso da controllare richiede funzioni di
sicurezza con un determinate livello di
Safety Integrity Level
(SIL), il progettista
deve specificare come intende integrare le
funzioni di sicurezza all’interno del PCS
nel suo insieme. La
υ
figura 5
mostra
alcune soluzioni possibili per integrare nel
sistema di controllo di processo che gesti-
sce le logiche di normale funzionamento
(Basic Process Control System - BPCS) il
sistema di
Emergency Shut-Down
(ESD)
che gestisce le logiche di sicurezza:
a) integrato: BPCS e ESD condividono la
stessa infrastruttura di comunicazione;
b)comune: un unico sistema svolge sia
le funzioni di BPCS sia quelle di ESD
(solo per SIL bassi);
c) separati: non vi sono connessioni tra
BPCS e ESD.
Specifica degli Ingressi/Uscite
Un PCS può avere diversi tipi di ingressi/
uscite, sia convenzionali (per esem-
pio 4-20 mA) sia digitali (per esempio
fieldbus). Per ogni tipo di ingresso/uscita
il progettista deve specificare i requisiti
desiderati in termini di accuratezza, riso-
luzione e ripetibilità (IEC 60050) [5]. Fat-
tori importanti da specificare sono anche
la possibilità di sostituire una scheda di
I/O a caldo (hot-swapping) e le funzioni di
diagnostica richieste sui vari canali di I/O
(controllo rottura, verifica continuità ecc.).
Requisiti del software
È la struttura del software a fare oggi
la differenza tra le diverse tecnologie
disponibili, con particolare rilievo per la
gestione dei dati real-time utilizzati per le
applicazioni di controllo e supervisione.
Esistono due grandi categorie di database:
il
database distribuito
, dove i dati sono
immagazzinati in apparati fisici diversi,
connessi attraverso una rete di comunica-
zione; il
database centralizzato
, con i dati
che sono continuamente trasmessi da/a un
database centralizzato che li smista alle
diverse applicazioni.
Il progettista deve specificare le modalità
di accesso al database da
parte dei diversi utenti ed i
requisiti di sicurezza infor-
matica del sistema (IEC
62443-2-1 [19] e IEC 62443-
3-3
[20]
).
Interfaccia Uomo-Macchina
(HMI)
Figura 4 - Schema a blocchi degli stati di funzionamento
di un PCS
Figura 5 - Architetture tipiche per la Sicurezza Funzionale