Un sistema di allarmi mal configurato manda 200 notifiche al giorno e dopo una settimana nessuno le guarda più. È peggio di non averlo.
1. Tre livelli di severità, non di più
INFO: registrato nel log, niente notifica (es. cambio operatore, fine lotto).
WARNING: notifica al responsabile entro il turno, no escalation (es. scarto superiore al 5%, sopra il target ma non critico).
FAULT: notifica immediata al manutentore e al responsabile, con escalation dopo X minuti senza ack (es. fermo macchina critico, temperatura cella fuori range HACCP).
Tre livelli sono sufficienti per il 90% dei casi. Tassonomie a 5-6 livelli sembrano più precise ma in pratica gli operatori non distinguono fra "high" e "critical".
2. Soglie con isteresi e tempo minimo
Senza isteresi: la temperatura oscilla intorno alla soglia e il MES manda allarme/clear ogni 30 secondi. Cura: differenziare soglia di allarme e soglia di clear (es. allarme a 10°C, clear a 9°C).
Senza tempo minimo: una micro-deviazione di 1-2 secondi scatena l'allarme. Cura: tempo minimo di permanenza sopra soglia (es. 30 secondi per warning, 5 minuti per fault). Il rilevamento perde reattività ma azzera i falsi positivi.
3. Escalation con timeout
Un FAULT senza ack entro 10 minuti escala al responsabile superiore. Senza ack entro 30 minuti escala al direttore di stabilimento. Senza ack entro 60 minuti escala su numero esterno o reperibilità.
L'escalation va costruita per evitare la "death by inattention" — situazioni dove l'allarme parte e per tre ore nessuno se ne accorge.
4. Silenziamento orari/turni
Un allarme di "stato macchina = idle" alle 18:30 di sabato non è un problema — la fabbrica è chiusa. Vanno silenziati gli allarmi non critici fuori orario produzione. Le configurazioni di silenziamento per giorno della settimana, ora, turno previsto evitano il 60-70% dei falsi positivi extra-orario.