Redundant Safety System from a Functional Control Viewpoint
The importance of redundant control in passenger safety control systems.
REDUNDANT SAFETY SYSTEM FROM A FUNCIONAL CONTROL VIEWPOINT
Written by Enrico Fabbri
Download
In the December article we talked about the importance of redundant mechanical safety systems, highlighting how the mechanical parts must be designed in such a way as to guarantee passenger safety even in the event where one of the components breaks. Here we address the second point concerning the importance of the functional safety management system, which too must be redundant. The image below shows a rider seat where a collective safety bar has been installed to prevent passengers from being thrown upward during operation of the ride. This safety bar can however be opened directly by the riders, which is certainly dangerous, and consequently the operator has installed a second safety mechanism to prevent this from happening. This second mechanism thus has a very important function.
Let’s then analyse in detail how this mechanism has been set up and see whether everything is compliant with the regulations. Compressed air is supplied by a compressor. A solenoid valve (contr lled by a selector in the operator’s control station) retracts the cylinder rod, thus opening the safety bar. The same solenoid valve allows compressed air to be released from the pneumatic cylinder, while a spring (located inside the cylinder) pushes the cylinder rod outwards against the back plate. If the operator operates the solenoid valve while the ride is operating, it stops. So everything seems OK, but it’s NOT.
What happens if the solenoid valve fails? How does the operator know if the solenoid valve (which controls all of the pneumatic cylinders) is working correctly? Solenoid valves are complex mechanisms that fail after a certain number of cycles. They can also fail due to impurities in the pneumatic system or insufficient lubrication. So the point is not “if it fails” but rather “when it fails”, because it is certain that sooner or later it will stop working, and we have no way of knowing if it will fail in the ‘closed’ or ‘open’ position. It is therefore a question of understanding what type of control system ‘automatically’ notifies the operator of the fault and at the same time ensures that a fault does not endanger passengers. Let’s then look at the details of the solutions:
(a) there must be a sensor that detects when the cylinder rod is correctly inserted in the back plate; in fact, incorrect rotation of the safety bar prevents the cylinder rod from entering the safety position;
(b) at least 2 solenoid valves are needed to correctly isolate the pneumatic system that supplies the cylinder, ensuring that there is no compressed air in the system; in this way, if the first one fails, the second one continues to work;
(c) at least 2 pressure switches are needed (sensors that measure the pressure in the pneumatic system). These sensors monitor that there is compressed air in the system, and thus the 2 solenoid valves are working correctly;
(d) a buzzer is needed to notify the operator when one of these components stops working properly;
(e) an appropriate electrical system is needed to properly manage these electrical components (and not a simple switch).
I see rides every day with safety systems that have been installed unprofessionally, especially those that have been operating for several years. Operators often do their best and sincerely believe they have modified the ride correctly, even when this is not so.
Perhaps (let me put this out there) theoretical-practical courses would be a good idea, to understand in detail and see first-hand how these operations need to be carried out.
Ref: 29-2017 / January 2018
Published by www.fabbrirides.com
Published by Games Industry (Italy) magazine
L’importanza del controllo ridondante nei sistemi di controllo delle sicurezze dei passeggeri.
I SISTEMI DI SICUREZZA RINDONDANTI SOTTO IL PROFILO FUNZIONALE DI CONTROLLO
Scritto da Enrico Fabbri
Nell’articolo di Dicembre abbiamo parlato dell’importanza delle sicurezze ridondanti sotto il profilo meccanico, evidenziando come le parti meccaniche devono essere progettate in modo tale da garantire la sicurezza del passeggero anche nel caso di un guasto a uno dei loro componenti. Ora affrontiamo il secondo punto relativo all’importanza del sistema di gestione funzionale delle sicurezze che deve essere anch’esso ridondante. L’immagine a sinistra in basso mostra un sedile per passeggeri dove è stato installato un maniglione di sicurezza collettivo per impedire ai passeggeri di essere sbalzati verso l’alto durante il funzionamento dell’attrazione. Questo maniglione di sicurezza può però essere aperto direttamente dai passeggeri, cosa certamente pericolosa, e per questo l’operatore ha provveduto ad installare un secondo meccanismo di sicurezza che dovrebbe impedire quest’operazione. Questo secondo meccanismo ha quindi una funzione molto importante.
Vediamo quindi di analizzare nel dettaglio come è stato predisposto questo meccanismo e vediamo se il tutto è conforme alle norme. L’aria compressa viene fornita da un compressore. Un’elettrovalvola (comandata da un selettore posto in cabina operatore) consente di far rientrare l’asta del cilindro determinando l’apertura del maniglione. La stessa elettrovalvola consente di far uscire l’aria compressa dal cilindro pneumatico ed una molla (situata all’interno del cilindro) spinge l’asta del cilindro all’esterno e quindi nella contropiastra. Se l’operatore aziona l’elettrovalvola durante il funzionamento dell’attrazione, questa si ferma. Sembra quindi tutto ok, invece NO. Cosa succede se si guasta l’elettrovalvola? Come fa l’operatore a sapere se l’elettrovalvola (che comanda tutti i cilindri pneumatici) sta funzionando correttamente?
Le elettrovalvole sono meccanismi complessi che si guastano dopo un certo numero di cicli. Possono anche guastarsi a causa di impurità presenti nell’impianto pneumatico o per un’insufficiente lubrificazione. Quindi il punto non è “se si guasta” ma “quando si guasta”, perché è sicuro che prima o poi smetterà di funzionare e non abbiamo modo di sapere se si guasterà in posizione ‘chiusa’ o ‘aperta’. Si tratta quindi di capire come dovrebbe essere il sistema di controllo che ‘automaticamente’ comunichi all’operatore il guasto e come, contemporaneamente, garantire che un guasto non metta in pericolo i passeggeri. Entriamo quindi nel dettaglio delle soluzioni:
(a) ci deve essere un sensore che confermi che l’asta del cilindretto sia inserito correttamente nella contropiastra; infatti la rotazione errata del maniglione impedisce all’asta del cilindro di entrare in posizione di sicurezza;
(b) servono almeno due elettrovalvole per sezionare correttamente l’impianto penumatico che alimenta il cilindro garantendo che non ci sia aria compressa nel sistema; in questo modo se la prima si guasta, la seconda continua a funzionare;
(c) servono almeno due pressostati (sensori che rilevano la pressione nel sistema pneumatico). Questi sensori consentono di monitorare se l’aria compressa nel sistema, quindi le due elettrovalvole, stanno funzionando correttamente;
(d) serve un segnalatore acustico che avvisi l’operatore quando una di queste componenti smette di funzionare correttamente;
(e) serve un sistema elettrico che gestisca nel modo appropriato questi componenti elettrici (e non è un semplice interruttore).
Vedo tutti i giorni attrazioni con sistemi di sicurezza installati con poca professionalità, soprattutto nelle attrazioni che hanno diversi anni di operatività. Gli operatori ci mettono spesso tutta la loro buona volontà e credono sinceramente di aver modificato correttamente l’attrazione, anche se poi alla prova dei fatti non è così. Forse (lancio quest’idea) sarebbero auspicabili dei corsi teorico-pratici per capire a fondo e vedere dal vivo come si dovrebbero fare questi interventi
Ref: 29-2017 / January 2018
Published by www.fabbrirides.com
Published by Games Industry (Italy) magazine