Ridondanza: di più non è sempre più sicuro
Le analisi di sicurezza sono fondamentali per la progettazione e l'implementazione di sistemi sicuri, in particolare nei settori in cui un guasto può provocare gravi effetti (aerospaziale, ferroviario, medico, petrolio e gas).
In molti casi la cura "magica" per la sicurezza è la ridondanza, ad esempio:
- Alimentatori di backup (UPS e generatori)
- Reti di comunicazione con percorsi ridondanti
- Sistemi frenanti ridondanti
- Motori ridondanti
Ci sono tuttavia alcune insidie nell'aggiungere molte ridondanze:
Costo:
Più unità significano un costo di approvvigionamento più elevato (attribuito a CAPEX).
Inoltre, si verificheranno più guasti alle unità sul campo, quindi anche i costi di manutenzione aumenteranno (attribuito a OPEX).
Guasti per causa comune:
I guasti per causa comune sono modalità di guasto che non sono indipendenti da altri guasti degli elementi.
esempi:
- Se un alimentatore va in cortocircuito, può causare il guasto di altri sistemi a meno che non sia protetto da un fusibile
- Se un motore si guasta e il danno interno non è contenuto dalla carcassa, gli oggetti vengono espulsi dal motore e possono causare il guasto dei sistemi vicini
Un modo per ridurre le cause comuni è utilizzare diversi tipi di unità ridondanti (come discusso nel "Manuale dell'albero dei guasti con applicazioni aerospaziali" [1] della NASA).
Di seguito sono riportati due esempi interessanti dal campo dell'aviazione:
1. Boeing KC-46 Pegasus [2]
Nel luglio 2014, Boeing ha registrato un addebito ante imposte di $272 milioni per coprire una riprogettazione del cablaggio del Boeing KC-46 Pegasus. È stato riscontrato che 5-10% dei fasci di cavi non avevano una distanza di separazione sufficiente o non erano adeguatamente schermati per soddisfare i requisiti dell'Air Force per il cablaggio a doppia o tripla ridondanza per alcuni sistemi di missione.
La logica alla base della richiesta di separazione tra cablaggi ridondanti è evitare un guasto per causa comune. Supponiamo che un oggetto sciolto recida un filo, se il filo ridondante è vicino, ha anche un'alta probabilità di essere tagliato.
2. ETOPS
ETOPS è l'acronimo di Extended Operations. In passato, 4 aeroplani motore sono stati utilizzati per voli a lungo raggio, ma oggi aeroplani bimotore possono effettuare voli simili. Parte del motivo è l'elevata affidabilità delle moderne centrali elettriche.
Di seguito è riportata un'analisi utilizzando il software Fault Tree Analysis (FTA) di BQR.
La probabilità di spegnimento del motore in volo (IFSD) è di circa 2 · 10-6 per ora di volo per una moderna centrale elettrica PW4000 [3] (per confronto, nel 1952 la probabilità IFSD per ora di volo era 2,5 · 10-4 per motori a pistoni [4]).
La FAA richiede una probabilità di guasto catastrofico inferiore a 10-9 per ora di volo per un aeroplano di tipo pendolare [5].
Supponendo che un singolo motore sia sufficiente durante il volo, una semplice analisi mostra che più motori producono un volo più sicuro:
| Numero di motori | Probabilità per tutti i guasti al motore per ora di volo |
| 1 | 2 · 10-6 |
| 1 | 4 · 10-12 |
| 1 | 8 · 10-18 |
| 1 | 1.6 · 10-23 |
Tuttavia, se esiste una causa comune, la situazione è diversa:
Mentre vengono condotti test di guasto del motore (vedere il filmato [6]) per garantire che i detriti non mettano in pericolo i sistemi vicini, si consideri il caso in cui esiste una probabilità 0,015% * che un guasto di un singolo motore crei un guasto catastrofico di causa comune. Di seguito sono riportati i diagrammi ad albero dei guasti per i casi di 2, 3 e 4 motori:
