NIER Ingegneria è diventata Società Benefit →
it
EN
Ricerca
Ricerca
MERCATI
Automotive Centri di ricerca Costruzioni e infrastrutture Difesa e Aerospace Ferroviario Finanza e assicurazioni Food & Beverage GDO & Retail Life Sciences Logistica e Trasporti Manufacturing Oil & Gas - Chemicals Power & Utilities Pubblica Amministrazione
SERVIZI
Asset Management Big Data, Analytics & Business Intelligence Business Continuity & Emergency Management Corsi di formazione professionale Cybersecurity Design & Modelling Efficienza Energetica Health Safety & Environment Progettazione e Sicurezza nei Cantieri Project Risk Management RAMS Requirements Management & Verification Ricerca e Innovazione Risk Management Sistemi di Gestione Integrata Sostenibilità Tech Products Design & Development Verifica, Validazione e Testing Software Web Technology
TORNA AGLI ARTICOLI
27 Giugno 2022

PROSSIMA FERMATA: INTERFACE HAZARD ANALYSIS (IHA).

L’importanza del test dei segnali di campo – Interface Hazard Analysis – nel mondo ferroviario spiegata con parole alla portata di ogni viaggiatore.

[A cura di Riccardo Espis – Resp. Unità Test Engineering – Area Ingegneria del Software]

INTRODUZIONE.

Il segnalamento ferroviario è costituito dall’insieme dei segnali fissi e mobili, luminosi o meno, di tabelle, cartelli indicatori e di tutto ciò che è necessario ad assicurare una corretta e sicura circolazione dei treni sulle linee ferroviarie.

I segnali luminosi, in particolare, possono avere diverse forme e fisionomie: possono essere a singolo aspetto (acceso/spento/lampeggiante) oppure multiplo (differenti colori e/o differenti simboli sullo stesso segnale). La funzione dei segnali luminosi è di fornire informazioni precise e inequivocabili al macchinista che conduce il treno su una tratta ferroviaria.

La logica di comando dei segnali – ovvero l’intelligenza per poterli accendere, spegnere, farli lampeggiare, cambiarne il colore – potrebbe risiedere a numerosi chilometri di distanza dal segnale stesso. Quindi, diventa fondamentale una corretta integrazione tra le schede di comando e il circuito elettrico che pilota il segnale. Tale integrazione è indispensabile tutte le volte che un nuovo modello di segnale viene installato sulla linea o un modello obsoleto viene sostituito da uno moderno. L’attività di integrazione è chiamata Interface Hazard Analysis.

È lampante che questa attività risulti molto importante. Il suo scopo, infatti, è verificare la corretta integrazione funzionale tra la scheda di comando e il segnale per garantirne il comportamento di sicurezza atteso.

Banalizzando, deve essere verificato che tutte le volte che il segnale viene comandato in uno stato ben definito (ACCESO o SPENTO) deve restare in questo stato fino a quando non viene comandato un nuovo cambio di stato. Non devono sussistere condizioni tali per cui, per esempio, il segnale comandato spento, per un comportamento anomalo, si accende. O viceversa.

Di seguito viene riportato uno schema a blocchi esemplare nel quale è possibile identificare l’insieme degli apparati che costituiscono la centralina di comando del segnale, connessi al segnale vero e proprio tramite un cablaggio (cavo) che può raggiungere anche alcuni km lunghezza.

ATTIVITÀ DI TEST PRELIMINARI.

Una delle prime attività che vengono svolte durante l’Interface Hazard Analysis è la caratterizzazione dei parametri elettrici del segnale (tensione di riferimento, corrente assorbita ecc ).

Solitamente, quando si decide di utilizzare una nuova tipologia di segnale, quest’ultimo viene scelto sulla base dello studio del datasheet [1]di riferimento rilasciato dal produttore. I dati presenti nel datasheet, però, forniscono solamente le linee guida per impostare i valori base dei parametri elettrici, mentre l’identificazione dei valori precisi di utilizzo viene raffinata, in prima istanza, in laboratorio.

L’iter di caratterizzazione del segnale prevede che tutti i componenti del sistema, riportati nello schema a blocchi precedente, vengano collegati progressivamente uno ad uno e, a ogni nuovo elemento inserito nella catena, ne venga misurato e valutato l’impatto sul sistema.

Inizialmente si connette il segnale direttamente a una sorgente di alimentazione esterna per verificarne gli assorbimenti di potenza e di corrente ai diversi valori di tensione operativa. Ciò che tipicamente viene individuato sono le tensioni di accensione e spegnimento del segnale ed i valori di corrente, sia in condizioni nominali che ai valori limite di tensione.

Successivamente, il cosiddetto Trasformatore di Isolamento si inserisce nella catena di comunicazione tra l’alimentazione e il segnale. Il primo obiettivo del Trasformatore di Isolamento è stabilire una separazione fisica tra il circuito di alimentazione e il circuito di segnale. Il secondo obiettivo, invece, è ottenere una soppressione del rumore causato da frequenze spurie che potrebbero propagarsi dal circuito di alimentazione verso il segnale stesso e creare interferenze indesiderate con impatti imprevedibili a priori.

Il passo successivo è quello di inserire il Trasformatore di Segnale nella catena, il suo compito è riportare i range di tensione ai valori richiesti dal segnale: questo è necessario, per esempio, quando la distanza tra la Scheda di Comando e il Segnale è di alcuni chilometri e inevitabilmente avviene una caduta di tensione lungo il percorso.

Al pari del segnale, tutti i trasformatori vengono inizialmente caratterizzati per poterne verificare la conformità ai valori riportati sui datasheet.

Infine, l’ultimo step, prevede l’inclusione della scheda di comando vera e propria al posto dell’alimentazione diretta: in tal modo entrano in gioco i valori effettivi dei parametri elettrici realizzati dalla scheda di comando che potrebbero, nel comportamento dinamico, comportare delle variazioni dai range nominali. Questo avviene perché le schede di comando non sono dei puri Relè ma sono composte da centraline a microprocessore programmabili ed includono, solitamente, una logica di comando implementata per via Software.

Da notare che nel caso in cui siano presenti più esemplari dello stesso modello di segnale ma con colore diverso (es. luce Verde e luce Rossa) l’attività di caratterizzazione iniziale viene ripetuta su tutti gli esemplari in modo tale da poter dimostrare che le successive prove previste siano necessarie solamente su uno degli esemplari e possano essere ritenute valide in assoluto.

TEST DELLE CONDIZIONI NOMINALI.

Una volta completata la caratterizzazione del segnale si procede ad analizzarne il comportamento in condizioni nominali. Questo implica che il segnale viene alimentato alle diverse tensioni di esercizio, che devono supportare due modalità:

  • Day-mode: utilizzo durante il giorno;
  • Night-mode: utilizzo durante la notte.

La doppia modalità di funzionamento dipende dal fatto che il segnale durante il giorno ha necessità di avere una luminosità maggiore (quindi tensione maggiore) per essere correttamente interpretabile anche in condizioni di luce diurna.

Vengono inoltre analizzati i comportamenti del segnale anche in altre due modalità (se previste dalla tipologia del segnale):

  • modalità Fissa;
  • modalità Lampeggiante[2].

Altra condizione operativa che viene analizzata è funzione della variazione della frequenza di oscillazione dell’alimentazione in corrente alternata (la frequenza nominale di esercizio è di solito 50 Hz in Italia), secondo quanto definito nei range di variabilità forniti dai dati dell’impianto.

TEST DEI TEMPI DI ATTIVAZIONE/DISATTIVAZIONE

Uno dei test più importanti per stabilire quali sono le tempistiche di sicurezza collegate alle operazioni di segnalamento che coinvolgono il segnale, è la rilevazione dei suoi tempi di attivazione e disattivazione. Proviamo ad immaginare quale debba essere la prontezza richiesta al segnale nell’accendersi, ad esempio di colore Rosso, per imporre lo stop ad un treno. Il tempo impiegato dal sistema nel suo complesso e, quindi, dal segnale (sia in attivazione che in disattivazione) è di solito minore di un secondo. Pensiamo cosa potrebbe succedere se, a causa delle logiche circuitali di un segnale, la sua accensione impiegasse inaspettatamente un tempo dell’ordine delle decine di secondi tenendo presente le velocità a cui viaggiano i treni.

La misura del tempo viene effettuata, in questo caso, dal momento in cui la scheda di comando riceve la “volontà” di accensione fino al momento in cui il segnale non risulta effettivamente acceso.

TEST DI GUASTO.

Un test molto importante è la verifica di cosa potrebbe succedere nel caso avvenga la rottura accidentale del cavo di collegamento tra scheda di comando e segnale. L’obiettivo di questo test è verificare se la scheda di comando sia in grado di accorgersi (segnalandolo opportunamente al Sistema di Diagnostica e Manutenzione) che il segnale non è più acceso (essendo il collegamento elettrico interrotto). Deve essere inoltre verificato che una volta effettuata la riparazione e ricollegato il cavo, la scheda di comando sia in grado di rilevare che il guasto è stato ripristinato informando opportunamente il Sistema di Diagnostica e Manutenzione.

Pur essendo la scheda di comando un dispositivo di sicurezza (ed in quanto tale, in caso di malfunzionamento, sia previsto che transiti in uno stato sicuro[3]) potrebbe capitare che in alcune condizioni specifiche di fallimento critico la scheda di comando invii degli impulsi spuri di tensione di breve durata (es. alcuni millisecondi) con occorrenza imprevedibile e difficilmente mitigabile. In questi casi è necessario appurare:

  • Il comando inviato dalla scheda di comando viene ricevuto dal segnale?
  • Il segnale si accende?
  • La scheda di comando restituisce l’informazione di segnale acceso?
  • Per quanto tempo il segnale rimane acceso?

Altra condizione operativa da simulare ed indagare tramite test è la cosiddetta perdita di controllo. Questo test è molto importante perché va a simulare alcune condizioni di degrado che potrebbero verificarsi durante l’esercizio.

Una delle condizioni di degrado è il degrado della Linea, ovvero un degrado sul cavo di collegamento tra la scheda di comando ed il segnale. Si simula il degrado del cavo aumentando progressivamente la resistenza elettrica che simula la lunghezza del cavo fino a verificare che il segnale non è più in grado di rimanere acceso o la scheda di comando rileva una corrente tale da non considerare il segnale acceso.

Il secondo test di degrado è il degrado del Segnale, che viene simulato introducendo cortocircuito interno al segnale tale da comprometterne le sue funzionalità.

In entrambi i casi sopracitati deve essere verificato che, in caso di permanenza di degrado, il comportamento della scheda di segnale rimanga coerente segnalando l’allarme in diagnostica e informando l’operatore che la lampada è spenta.

TEST DI AFFIDABILITÀ.

L’ultima prova che viene eseguita è una prova per verificare la affidabilità del sistema nel suo complesso: quel che si vuole verificare è se il sistema rimane completamente funzionante anche sul lungo periodo, come ad es. un utilizzo continuativo per un tempo superiore ad un anno.

Per poter ottenere questo risultato vengono simulate continue e ravvicinate accensioni/spegnimenti del segnale (circa ogni 10 s) in un arco temporale di 24/48 ore. Se la scheda di comando ed il segnale continuano a comunicare correttamente anche alla fine di tale prova e se non vengono rilevati allarmi di funzionamento il test può ritenersi superato e l’affidabilità del sistema completo può essere confermata.

[1] Documentazione che riassume le caratteristiche di un componente (ad esempio un componente elettrico, elettronico o meccanico);

[2] Esistono diverse modalità di lampeggiamento che assumono significati differenti a seconda del Duty Cycle e della Frequenza di lampeggio;

[3] Con stato “sicuro” intendiamo una condizione che garantisce la non generazione di output contrari alla sicurezza. Per entrare nel dettaglio, ti consigliamo di leggere questo articolo.

DALLE PAROLE AI FATTI .

Contattaci per saperne di più sull’argomento dell’articolo.

    Condividi .