Sicurezza in fase di progettazione: Cosa fanno i sistemi di controllo

mobility
safety
control
16 Dicembre 2024
In un post precedente, Jared Miller e Niklas Schmid hanno analizzato il significato di sicurezza in ingegneria. Ma come i diversi sistemi di automazione implementano queste specifiche?
Cartoon-style illustration of an open laptop with code on screen, overlaid with symbols for warnings and settings.
Partecipanti
Jared Miller

Nell'ultimo post del blog abbiamo analizzato i diversi aspetti della sicurezza che gli ingegneri e le ingegnere dell'automazione devono considerare, dalla sicurezza psicologica di sapere che un sistema funzionerà come previsto, alla sicurezza fisica di evitare danni. Abbiamo visto che le diverse specifiche a volte entrano in conflitto e devono avere la priorità; e che è importante garantire che il risultato non sia solo appena accettabile, ma sia sufficientemente sicuro. Quindi, come possiamo eseguire il controllo per assicurarci che questi vincoli di sicurezza siano rispettati? 

Naturalmente non esiste una risposta univoca. I ricercatori e le ricercatrici del controllo lavorano con una serie di possibili strumenti che possono essere applicati a problemi diversi. Quando si tratta di controllare i sistemi del mondo reale, due degli approcci dominanti sono il controllo proporzionale-integrale-derivativo (PID) e il controllo predittivo del modello (MPC). Ognuno di questi ha punti di forza diversi. 

Come prendono le decisioni i sistemi di controllo?

Gli schemi di controllo PID per l'inseguimento di un setpoint desiderato, come la temperatura, si basano sul confronto tra l'errore attuale (proporzionale), l'errore passato (integrale) e il tasso di variazione dell'errore (derivato). Ad esempio, le FFS utilizzano i regolatori PID per controllare il clima all'interno dei treni misurando la differenza tra la temperatura effettiva e quella desiderata. 

La regolazione dei pesi dei guadagni proporzionali, integrali e derivativi può portare a comportamenti diversi; può verificarsi una sovraelongazione, oppure può essere necessario più o meno tempo per raggiungere l’obiettivo, e così via. In alcuni casi, una corretta regolazione può contribuire a garantire il rispetto dei requisiti di sicurezza, ma gli schemi di controllo PID in genere non possono garantire né la sicurezza né le prestazioni.

A differenza di questo approccio, MPC risolve una serie di problemi di ottimizzazione per trovare una strategia di controllo. Ogni problema di ottimizzazione comporta la pianificazione di una sequenza di ingressi che minimizzi un costo di controllo previsto, in modo da trovare la soluzione migliore a un problema prima di passare al successivo; a ogni passo si sa un po' meglio quali dovrebbero essere gli ingressi. Questo processo si ripete continuamente, adattandosi costantemente alle nuove informazioni. 

L'MPC eccelle nell'ottimizzazione all'interno di vincoli prefissati, ed è per questo che il ricercatore di NCCR Automation Ahmed Aboudonia sta lavorando all'aggiunta di un controllore MPC al sistema di controllo PID delle FFS per migliorare l'efficienza e risparmiare energia, garantendo al contempo il comfort a bordo dei treni svizzeri. 

È anche per questo che l'MPC è utile per i problemi di sicurezza. Le specifiche di sicurezza fatali e non fatali possono essere aggiunte direttamente ai vincoli che guidano i problemi di ottimizzazione MPC, sia come vincolo rigido (cioè la traiettoria proiettata nel futuro deve soddisfare le specifiche desiderate), sia come costo (sarebbe meglio se questi vincoli fossero soddisfatti, ma è accettabile violarli occasionalmente). 

Una proprietà fondamentale dell' MPC è la nozione di “fattibilità ricorsiva”. Ciò significa che se un sistema è previsto sicuro fino a un determinato orizzonte temporale (ad esempio, 30 secondi nel futuro), continuerà a essere sicuro nel corso dell'intera esecuzione (forse 4.000 secondi). Più precisamente, l'applicazione dell'input di controllo generato da MPC al momento attuale garantisce la possibilità di risolvere il problema di ottimizzazione di trovare un input di controllo al momento successivo. Le prove di fattibilità ricorsiva sono fondamentali per garantire la sicurezza delle strategie basate su MPC. Il fallimento della fattibilità ricorsiva potrebbe causare l'atterraggio del sistema in una posizione in cui è impossibile rimanere al sicuro.

Qualunque sia il sistema di controllo in uso, i controlli e i certificati co-progettati forniscono una certa garanzia che se la strategia di controllo viene seguita, il controllore rimarrà sicuro. Questa certificazione può essere utilizzata per chiamare i controllori di riserva (filtri di sicurezza) che subentrano quando la traiettoria sta per diventare insicura - per esempio, in un veicolo autonomo, schemi che mettono in pausa o rallentano l'accelerazione dell'auto se l'aumento della velocità causerebbe l'urto con l'auto che precede; o controllori di volo di emergenza per evitare di schiantarsi al suolo se il pilota esegue un input sbagliato o sviene durante la manovra. 

E l'incertezza?

Una volta progettato il controllore, tenendo conto delle specifiche di sicurezza, di solito viene testato in una simulazione prima di essere impiegato sul sistema reale. Tuttavia, un sistema di controllo che si comporta bene in una simulazione potrebbe non garantire la sicurezza quando viene applicato nel mondo reale. Questo divario “Sim2Real” può avere una serie di cause: rumore dei sensori, telecamere non calibrate, raffiche di vento, comportamento imprevisto dell'utente, componenti difettosi o persino raggi cosmici che alterare i bit nel computer di un veicolo spaziale.

A space satellite catching fire, with planet Earth in the distance
Nonostante l'attento lavoro di progettazione dei veicoli spaziali, questi possono essere vulnerabili ai danni causati da una serie di fattori che non possono essere completamente considerati nella simulazione.

I sistemi di controllo hanno quindi bisogno di leggi che possano rimanere sicure nonostante queste incertezze. Gli ingegneri e le ingegnere possono ricorrere a due metodologie principali per gestire l'incertezza: il controllo robusto o quello stocastico. Un sistema è sicuro in modo robusto se rimane sicuro per ogni possibile valore della grandezza incerta: per esempio, se il rumore su un cavo sarà sempre compreso tra +-0,1 volt, o se la velocità del vento che colpisce un drone è sempre inferiore a 10 m/s. Un sistema è stocasticamente sicuro se rispetta il vincolo di sicurezza con alta probabilità. I controllori che rispettano i vincoli di sicurezza stocastici sono generalmente meno conservativi di quelli che rispettano i vincoli di sicurezza robusti, perché un sistema di controllo robusto deve sempre rispondere al caso peggiore di disturbo. 

I vincoli stocastici possono essere ulteriormente suddivisi in vincoli di probabilità individuale o vincoli di probabilità congiunta. I vincoli di probabilità individuali garantiscono la sicurezza (fino alla probabilità definita) separatamente in ogni momento. Al contrario, un vincolo di probabilità congiunto restituisce una probabilità di rimanere in sicurezza nel corso dell'intera traiettoria. Ad esempio, una strategia di controllo per un aereo potrebbe essere scelta in modo tale che la probabilità che l'aereo atterri in sicurezza a destinazione e che rispetti tutti i vincoli nel corso del volo) superi il 99,9999%. I vincoli di probabilità congiunti sono specifiche di sicurezza più appropriate nella pratica rispetto ai vincoli di probabilità individuali, ma richiedono uno sforzo computazionale e una cura tecnica maggiori per essere risolti. 

Vincoli robusti (hard) Rimangono sicuri per ogni possibile valore della quantità incerta.
Vincoli di probabilità individuale Rimangono sicuri in ogni punto distinto nel tempo con una certa probabilità.
Vincoli di probabilità congiunta Rimangono sicuri per l'intera traiettoria con una certa probabilità.
Robustezza distributiva Rimangono al sicuro per tutti i processi di rumore coerenti con una certa probabilità.

Un ponte tra la sicurezza robusta e quella stocastica è la sicurezza robusta dal punto di vista distributivo. I metodi robusti dal punto di vista distributivo forniscono una sicurezza stocastica contro tutti i processi di rumore sufficientemente vicini a una distribuzione di riferimento (che in genere si basa su dati osservati); in altre parole, gli eventi reali vengono utilizzati per ricavare un intervallo di rumore probabile che definisce i vincoli di sicurezza “robusti”. Poiché è teoricamente possibile che questo intervallo venga superato, i vincoli di sicurezza devono essere definiti stocastici, ma all'interno dell'intervallo probabile i vincoli robusti vengono rispettati con alta probabilità. La sicurezza robusta dal punto di vista distributivo trova applicazione nel funzionamento delle turbine eoliche e dei parchi solari, in cui i dati storici sull'andamento del vento e della copertura nuvolosa possono essere utilizzati per definire le probabili fonti di rumore in futuro. 

Gli schemi MPC possono trovare controllori in grado di garantire la sicurezza in tutte queste condizioni di incertezza: incertezza robusta, stocastica e distributivamente robusta (purché la fattibilità ricorsiva sia valida). 

Sicurezza su cui contare

Come abbiamo discusso, il significato di “sicurezza” dipende molto dall'applicazione specifica. Abbiamo anche esplorato i metodi per definire, quantificare e controllare la sicurezza nei sistemi del mondo reale. Abbiamo inoltre considerato il fatto che la sicurezza deve essere prioritaria a tutti i livelli, con decisioni gestionali e strategiche che influenzano il processo dalle prime fasi (definizione delle norme, valutazione dei rischi e così via) fino agli audit di sicurezza finali e continui. 

Il controllo può contribuire a garantire la sicurezza durante l'intero ciclo di vita. Idealmente, l'obiettivo della progettazione del controllo dovrebbe essere una sicurezza verificata su cui gli utenti possano fare affidamento senza pensarci... come se si dovesse premere un interruttore della luce.