Versione HTML di base
SETTEMBRE 2012
FIELDBUS & NETWORKS
64
Fieldbus & Networks
Laddove Internet venga utilizzata da thin client remoti per il collega-
mento all’impianto, la connessione avviene attraverso VPN, che con-
sente una connessione sicura attraverso il gateway di accesso alla
rete. Discorso diverso per i thin client su dispositivi portatili mobili,
dove la VPN viene implementata via etere e meccanismi di protezione
aggiuntivi (livello di sicurezza WPA, WiFi protected access) vengono
applicati tra il thin client mobile e l’access point collegato al gateway,
che è situato sulla rete del sistema di controllo.
La ‘fidatezza’ dei sistemi Web-enabled
Numerosi concetti concorrono nel termine ‘fidatezza’ (brutta tradu-
zione italiana del termine inglese ‘dependability’): affidabilità, ma-
nutenibilità, disponibilità, sicurezza. Spesso ci si riferisce a questi
concetti con l’acronimo Rams (Reliability, availability, maintainability
and safety), che identifica l’approccio sistematico con cui vengono
valutate le grandezze prima citate. È evidente come la fidatezza sia,
insieme alle prestazioni, il parametro fondamentale di un qualsiasi
PCS. Al fine di perseguire un’analisi anche solo parzialmente quan-
titativa delle prestazioni di fidatezza di un sistema è necessario defi-
nire quello che in sede di normativa internazionale e nazionale viene
chiamato ‘mission profile’, dove vengono identificati i modi di funzio-
namento o stati del sistema. Nello specifico, ogni stato del sistema
è caratterizzato dalle funzioni che devono essere eseguite, dai para-
metri e limiti ammessi per ogni funzione identificata e, infine, dalle
condizioni ambientali e di funzionamento dell’intero sistema.
Di seguito viene definita una modellazione semplificata di un PCS,
utile per considerazioni relative alla fidatezza:
- funzionamento normale: è il corretto funzionamento, in cui tutti
i servizi e le funzioni del sistema sono attivi e accessibili da parte
dell’utente;
- funzionamento degradato: una o più funzioni non critiche del sistema
sono fuori servizio e/o non possono essere fruite dall’utente, invece
le funzioni critiche per il compimento della missione del sistema sono
ancora funzionanti e accessibili dall’utente;
- funzionamento in allarme: una o più funzioni critiche sono fuori ser-
vizio, ma per ognuna delle funzioni critiche guaste esiste una configu-
razione ridondante che è entrata in servizio;
- guasto: il sistema non è più in grado di portare a termine una o più
funzioni. Le funzioni svolte dal sistema vengono classificate in ‘criti-
che’ o ‘non critiche’; le prime sono funzioni senza le quali il sistema
non è in grado di portare a termine la sua missione. Le funzioni non
critiche sono invece quelle che non pregiudicano in modo sostanziale
la missione del sistema. Quando mancano si ha un funzionamento
‘degradato’.
Riferendosi all’architettura tipica di un PCS si possono identificare
i seguenti sottosistemi: campo (sensori e attuatori intelligenti), co-
municazione di campo (fieldbus tra il campo e il controllo), controllo
(esegue i loop di regolazione, le sequenze e in generale processa i dati
provenienti dal campo), database manager (contiene il database real-
time del sistema),
comuni caz ione
verso la sala con-
trollo (permette lo
scambio dati tra il
controllo di pro-
cesso e i sistemi
di supervisione
e d’interfaccia
uomo/macchina),
sala controllo (è
la parte in cui i
servizi di più alto
livello, rispetto
alla regolazione,
vengono resi
disponibili all’u-
tente).
Un sottosistema include sia le funzionalità hardware, sia quelle sof-
tware. Si possono identificare due tipi di guasti (si veda figura 9); il
primo è il ‘guasto critico’, che interessa un sottosistema, o una parte
di esso, coinvolto nello svolgimento di una funzione critica. Partendo
dallo stato normale un guasto critico porta il sistema in condizioni
di guasto, per cui è persa una funzione essenziale. Se invece le fun-
zioni critiche sono supportate da configurazioni ridondanti, il guasto
porta il sistema in condizione di allarme, in quanto la funzione è svolta
dal canale di riserva, ma non è più disponibile un back-up. Il guasto
‘non critico’, invece, interessa un sottosistema, o una parte di esso,
coinvolto per la definizione di una funzione ritenuta non critica per il
sistema: dallo stato normale un guasto non critico porta il sistema
nello stato degradato.
È necessario prevedere per le funzioni critiche una configurazione ri-
dondante o di stand-by al fine di garantire la robustezza del sistema
rispetto al primo guasto (sicurezza N-1). Gli interventi di riparazione
riportano il sistema in stato normale.
A titolo di esempio, la tabella 1 identifica le funzioni tipiche di un PCS
classificandole secondo la criticità o meno della funzione stessa.
Le architetture di PCS convenzionali presentano un’architettura con-
Figura 6 - PCS connesso alla rete intranet aziendale
Figura 7 - Thin client su dispositivi portatili
Figura 8 - Architettura di un sistema PCS