Közlekedési automatika BME Közlekedés- és Járműirányítási Tanszék Dr. Sághi Balázs
1
Közlekedési automatika • Közlekedésben alkalmazott automatikus irányító rendszerek – Jármű • szerkezeti • fedélzeti
– Forgalomirányító – Egyéb (energiaellátás stb.)
• Tantervileg – Járművek (közúti, vasúti, légiforgalmi) – Irányító és kommunikációs rendszerek (közúti, vasúti, légiforgalmi) • irányító funkció • biztonsági funkció (normál működés, védelem a külső veszélyek ellen)
2
„Közlekedési automatika” tantárgy • Közlekedési rendszerek és alrendszereik műszaki megbízhatósága és biztonsága RAMS(S) • Megbízhatóság – Reliability
– a működőképesség valószínűsége
– Availability
– rendelkezésreállás, üzemkészség
– Maintainability
– karbantarthatóság, javíthatóság
• Biztonság – beleértve a biztonságos hibaviselkedést is – Safety
• Védettség – Security 3
Biztonság/Sértetlenség • Sértetlenség – személyek • utasok • személyzet
– szállított áruk – közlekedési rendszer és elemei • zavartalan üzem
– környezet
4
Biztonságkritikus folyamatok •
A közlekedés veszélyes üzem: –
személyek
–
tárgyak
–
a környezet
biztonságát sérülések okozásával veszélyeztetheti. •
•
Példák más veszélyes folyamatokra, rendszerekre: –
vegyipari és energiaipari folyamatok,
–
gyártási folyamatok (gyártósorok, ipari robotok),
–
anyagmozgatás, raktározás,
–
orvosi technológiák (orvosi, radiológiai műszerek/készülékek).
A veszélyeztetést az adott folyamattal, berendezéssel vagy rendszerrel, illetve annak funkcióival összefüggő egy vagy több veszélyforrás okozhatja.
5
Tantárgytematika • Előadások – Veszélyeztetés, kockázat, biztonság – Védelem a véletlenszerű és a szisztematikus hibák ellen – Ágazati automatikák
• Gyakorlatok – Megbízhatósági számítások, modellezések
6
Veszélyforrások, veszélyeztetések
7
ELVÁRÁSOK A KÖZLEKEDÉSSEL SZEMBEN Elvárások • költség • gyakoriság • sebesség • eljutási idő • biztonság • megbízhatóság • utazási komfort • egyéb
Megfelelés az elvárásoknak: ráfordítás
attraktivitás Az egyes tényezők fontossága viszonylatfüggő, de a biztonság mindig az első helyen áll.
AUTOMATIKUS FOLYAMATIRÁNYÍTÓ RENDSZEREK A KÖZLEKEDÉSBEN - jármű fedélzeti rendszerek - forgalomirányító rendszerek - egyéb rendszerek (pl. energiaellátás irányítása) 8
Biztonságkritikus folyamatok A közlekedés veszélyes üzem: • személyek • tárgyak • a környezet biztonságát sérülések okozásával veszélyeztetheti. Példák más veszélyes folyamatokra, rendszerekre: • vegyipari és energiaipari folyamatok, • gyártási folyamatok (gyártósorok, ipari robotok), • anyagmozgatás, raktározás, • orvosi technológiák (orvosi, radiológiai műszerek/készülékek). A veszélyeztetést az adott folyamattal, berendezéssel vagy rendszerrel, illetve annak funkcióival összefüggő egy vagy több
veszélyforrás okozhatja. 9
Veszélyforrás és veszélyeztetés • veszélyeztetés – aktív veszélyforrás – a veszélyeztetés tárgya ki van téve a veszélyforrás hatásának – a rendszer nem biztonságos állapota, amely balesethez vezethet
10
Biztonság és veszélyeztetés – Baleseti eseménylánc
Biztonság: a veszélyeztetettségtől mentes állapot valószínűsége
Biztonságos állapot
Balesetmentesség: a sérüléstől mentes állapot valószínűsége
P A veszélyforrás passzív
a Veszélyeztető állapot
Műszaki hiba, hibás cselekvés
A A veszélyforrás aktív
b
„Majdnem-balesetek”
Baleset
S Sérülés
11
Veszélyforrások a közlekedésben (1) Egyetlen jármű esetén • pályahiba • személyek, tárgyak, idegen jármű a pályán, ill. a pálya veszélyes megközelítése • rakomány nem megfelelő elhelyezése/rögzítése • utasok nem megfelelő magatartása • járműhiba • jármű/pálya kapcsolat megváltozása • járművezetési hiba Több jármű vonatkozásában • a forgalmi helyzet téves megítélése • veszélyes megközelítés hátulról szemből oldalról A belátható távolságnál hosszabb fékút A jármű/vontató jármű energiaellátása
Műszaki vagy emberi hiba
Emberi hiba (ritkán műszaki)
Adottság 12
Veszélyforrások a közlekedésben (2) A forgalomirányítás szabály- és eszközrendszere a veszélyforrások egy részének hatását kizárja, illetve mérsékeli, és ezáltal lehetővé teszi a nagyobb sebességgel való közlekedést, illetve a pályakapacitás jobb kihasználását. Ugyanakkor a forgalomirányítással kapcsolatos hibák is veszélyforrást jelentenek. Forgalomirányítási szabályok • hiányosságai • helytelen értelmezése • figyelmen kívül hagyása
Emberi hiba
Forgalomirányító jelzések • hiánya, megrongálódása, észlelhetetlensége • helytelen értelmezése • figyelmen kívül hagyása
Emberi hiba
Helytelen forgalomirányító jelzések adása Forgalomirányító berendezések hibája
Emberi hiba Műszaki hiba 13
Az irányító rendszer szerepe Környezeti hatások
Irányítandó rendszer
Irányító rendszer
Külső veszélyforrások Irányító funkciók Biztonsági funkciók Belső veszélyforrások 14
Lehetséges veszélyforrások •
A rendszer valamely elemének – szisztematikus hibája – emberi eredetű • HW • SW
– véletlenszerű meghibásodása • HW
•
A rendszer – funkcionalitása; – normál üzeme; – hibaállapotai;
– szükségüzeme; – helytelen használata; – csatlakozó felületei; – üzemeltetése, karbantartása és ellátási kérdései; – selejtezése 15
Lehetséges veszélyforrások (folyt.) •
Hibás emberi cselekvés – a rendszer létrehozása folyamán – a rendszer üzemeltetése folyamán • utas • személyzet (működtetés, karbantartás)
•
Környezeti hatás – mechanikai – villamos környezet – időjárás, természeti – egyéb
------------------------------------------------------•
Szándékos veszélyeztetés >> security
16
Veszélyek számbavétele • Lehetséges módszerek – ellenőrző lista alapján – a vizsgált rendszer alrendszerekre bontásával – a funkciók számbavétele alapján A veszélyes helyzethez vezető események meghatározása
• Azonosított veszélyek listája – azonosító (pl. sorszám)
P A veszélyforrás passzív
– a veszélyforrás megnevezése – a veszélyeztetés okai – a keletkező elsődleges baleset
– a lehetséges következmény baleset
a
Műszaki hiba, hibás cselekvés, környezeti hatások
A A veszélyforrás aktív
17
BIZTONSÁGI KOCKÁZAT
18
Biztonsági kockázat Valamely veszélyeztető hatás jelentőségét egy alkalmazásban az ún. biztonsági kockázat fejezi ki. Biztonsági kockázat: • a veszélyeztetésből adódó baleset bekövetkezési valószínűségének vagy gyakoriságának és • a keletkező sérülések súlyosságának kombinációja. Kockázat • kollektív • egyéni A kockázat meghatározható • mennyiségileg / kvantitatív módon •kockázatosztályozással / kvalitatív eljárással
Gyakoriság Kockázat
Súlyosság
19
Kvantitatív kockázatmeghatározás
20
Példa a kockázat számszerű kifejezésére (1)
Valamely speciális alkatrész meghibásodása robbanást okozhat egy rendszerben, aminek következtében 100 ember halhat meg. Az alkatrész átlagosan 10 000 évenként egyszer hibásodik meg. Mekkora az alkatrészhibához kapcsolódó kockázat? Kockázat = súlyosság x gyakoriság = 100 ember halála/hiba x 0,0001 hiba/év Kockázat = 0,01 ember halála/év
21
Példa a kockázat számszerű kifejezésére (2)
Egy 50 milliós lakosságú országban évente átlagosan 25 embert ér halálos villámcsapás. Mekkora a villámcsapásból adódó halálozás kockázata? Évente a lakosság 25/50 000 000=5x10-7 részét éri villámcsapás. Az egyes emberek számára ennyi annak a valószínűsége, hogy az adott évben villámcsapás éri őket. A lakosság egészére vonatkozó kockázat: 5x10-7 halál/ember-év
22
Károk, sérülések Példa balesetbiztosításból:
• személyi • anyagi • környezeti Példa 1: Áldozat = halálozás = 10 súlyos sérülés = 100 könnyű sérülés 23
Egyéni és kollektív kockázat • Példa egyéni kockázatra – kőomlás egy vonalszakaszon 10 évenként – hétvégi oda-vissza utazás (100/év) – a vonat 4 s alatt halad el a veszélyeztetett helyen s utazás 100 1esemény halálozás esemény utazás év Rii HRi Dai 1 nap s személy 10 év 365 24 60 60 év nap 4
halálozás 6 Rii 1,2 10 személy év 24
Kollektív kockázat • az egyéni kockázatok összege • Példa – a vonaton 650-en utaznak halálozás 6 Rio Rii 650személy 1,2 10 személy év halálozás 4 Rio 7,8 10 év 25
Szubjektív és objektív kockázat • szubjektív kockázat – a lehetséges kártól való félelem mértéke – személyenként/szituációnként változó
• rizikóaverzió – a bekövetkező eseménytől való félelem annál nagyobb, minél nagyobb a várható károsodás
• objektív kockázat – Probléma: többnyire csak hiányos, becsült bemeneti adatok
26
Alap- és járulékos kockázat KÖ Eredő kockázat
haláleset fő óra
10-2
KÖ = KA + KJ
10-4
KA =
10-6
Alapkockázat
10-8
10-2
10-4
10-6
10-8
10-10
10-12
haláleset fő óra Járulékos kockázat
KJ 27
Kockázatosztályozás
28
Kárkihatási kategóriák (példa) (Súlyosság) Kategória
Leírás
Következmények (csak személyekre)
4
Katasztrofális
Több haláleset és súlyos sérült
3
Kritikus
Egy haláleset és/vagy több súlyos sérült
2
Csekély
Egy súlyos sérült; több kisebb sérülés
1
Elhanyagolható
Legfeljebb egy kisebb sérülés
29
Kárkihatási kategóriák (példa) (Súlyosság) Következmények
Kategória
Leírás
4
Katasztrofális
Halálesetek és/vagy több súlyos sérült
3
Kritikus
Egy haláleset vagy több Egy alapvető rendszer súlyos sérült teljes elvesztése
2
Csekély
Egy súlyos sérült, több Súlyos károk egy vagy kisebb sérülés több rendszerben
1
Elhanyagolható
Lehetséges kisebb egyedi sérülések
a személyeket illetően
a szolgáltatásokat illetően
Károk a rendszerben
30
Veszélybekövetkezési gyakoriságok (példa) Szint
Leírás
Fellépési gyakoriság [h-1]
Fogalom
A
gyakori
Feltételezhetően gyakran fellép; veszélyeztetés állandóan jelen van
a
B
valószínű
Többször fellép; várható, veszélyeztetés gyakran fellép
a
C
néha
Várható, hogy a veszélyeztetés többször bekövetkezik
10-4 … 10-5
D
alig
Várható hogy a veszélyeztetés rendszer életében bekövetkezik
10-5 … 10-7
E
valószínűtlen
Valószínűtlen; azzal lehet számolni, hogy a veszély csak kivételesen lép fel
10-7 … 10-9
F
rendkívül valószínűtlen
Rendkívül valószínűtlen bekövetkezés; azzal lehet számolni, hogy a veszély nem lép fel
<10-9
hogy
a
> 10-3 10-3 … 10-4
31
Súlyossági kategóriák a légiközlekedésben Polgári
Katonai
Katasztrofális
Katasztrofális
Veszélyes
Kritikus
Nagy
----
Kicsi
Csekély
Hatástalan
Elhanyagolható 32
Valószínűség/gyakoriság a légiközlekedésben Polgári
Katonai Gyakori Valószínű Eseti Ritka Valószínűtlen Hihetetlen 33
Kockázati osztályok (példa) Kárkihatási kategóriák Valószínűségi szint gyakori
A
valószínű
B
néha
C
alig
D
valószínűtlen
E
rendkívül valószínűtlen
F
Katasz trofális
Kritikus
Csekély
Elhanya golható
4
3
2
1
34
Kockázatosztályozás (példa) Kárkihatási kategóriák Valószínűségi szint gyakori
A
valószínű
B
néha
C
alig
D
valószínűtlen
E
rendkívül valószínűtlen
F
Katasztrofális
Kritikus
Csekély
Elhanyagolható
4
3
2
1
K4 K3
K2
K1 K4 - elfogadhatatlan K3 - nem kívánatos
K2 - elfogadható K1 - elhanyagolható 35
Kockázati gráf - Követelményosztályok (DIN 19250) S - kárkihatás súlyossága A - a veszélyövezetben tartózkodás időtartama/gyakorisága G - menekülési lehetőség S1 W - a veszélyeztetés valószínűsége
W3 W2 W1 1
–
–
G1
2
1
–
S2 A1
G2
3
2
1
A2
G1
4
3
2
G2
5
4
3
6
5
4
7
6
5
8
7
6
S3 A1 A2
S4
36
KOCKÁZATCSÖKKENTÉS KOCKÁZATTŰRÉS
37
Biztonsági kockázat Kockázat: • a veszélyeztetés bekövetkezési valószínűségének és • a keletkező sérülések súlyosságának kombinációja. Biztonság (Safety)
S
Biztonságos állapot
H Veszélyeztető állapot Baleset
D Sérülés
38
Kockázatmentesség, kockázatcsökkentés • Társadalmi igény • kockázatmentesség (veszélyforrás-specifikus) – a potenciális veszélyeztető hatás megszüntetése – a veszélyforrás helyének/hatókörének elkerülése
• kockázatcsökkentés (műszaki/szervezési intézkedések) – a rendszer és környezete megfelelő • kialakítása • üzemeltetése
• karbantartása
– a veszélyforrás és a környezet fizikai elkülönítése – a veszélyeztető hatású rendszer használatának szabályozása – folyamatirányító rendszer alkalmazása 39
Elfogadható kockázati szint •
Elfogadható kockázati szint (kockázattűrés) – Társadalmi elfogadottság – érdekcsoportok, érdekképviselet – érdekegyeztetés • a kockázat okozója • a kockázat elszenvedője •
–
•
a hatóság
költségek – elérhető eredmény
Az elfogadható kockázati szint függ pl. –
a sérülések súlyosságától
–
a veszélynek kitett személyek számától
–
a veszélynek kitett személyek jellege
–
a veszélyeztető hatás időtartamától
– a felelősség arányától
•
Elfogadható kockázati szint → Kielégítő biztonság 40
Kockázati határ – elfogadható kockázat • társadalmi konszenzus
• a kielégítő (megengedhető) valószínűség határértékét – az arányosság elvének megfelelően, – a védendő javak értéke alapján
határozzák meg • határérték meghatározása – a veszély fellépési valószínűségére/gyakoriságára
– a kárértékre – a reprezentatív kárkategóriák fellépési valószínűségére
41
kockázat
A kockázatcsökkentés hatékonysága Ri K
elvárható arányát meg kell határozni
Ri 4 Ri a
Ri 3 Ri b
kockázatcsökkentés
Ri 2 Ri 1
K1
K2 Ka
K4
K3
költségek
Kb 42
A kockázattűrés függése a felelősségtől Kockázattűrés
haláleset fő óra
Kizárólag saját felelősség Pl. teljesítménysportok
10-4
Túlnyomóan saját felelősség Pl. egyéni közlekedés
10-5 10-6
Túlnyomóan idegen felelősség Pl. tömegközlekedés
Alapkockázat
Kizárólag idegen felelősség Pl. erőművek közelében
10-7 10-8 idegen
idegen/saját
saját /idegen
saját
felelősség 43
Kockázattűrési megközelítések • MEM – Minumum endogeneous mortality – minimális „halandóság” – 5-15 év között az értéke 2×10-4 haláleset/fő/év – Feltételezése szerint egyidejűleg max. 20 műszaki rendszer veszélyeztethet egy egyént – egy rendszerre 10-5 haláleset/fő/év jut – azaz 10-9 haláleset/fő/óra
Kockázattűrési megközelítések • GAME / GAMAB – Globalement Au Moins Equivalent – Egy új rendszer nem lehet rosszabb, mint a régiek – Mi van új rendszer esetén?
Kockázatcsökkentés – Az ALARP elv As Low As Reasonably Practicable Olyan alacsony, amennyire ésszerűen megvalósítható Az egységnyi ráfordítással elérhető kockázatcsökkentés
K3
K2 K1
ALARP terület
K4
Elfogadhatatlan kockázat Akkor fogadható el, ha a csökkentés kivitelezhetetlen, vagy költségei aránytalanok
Feltételesen elfogadható kockázat
Elhanyagolható kockázat 46
Kockázatosztályozás – kockázatcsökkentés Kárkihatási kategóriák Valószínűségi szint gyakori
A
valószínű
B
néha
C
alig
D
valószínűtlen
E
rendkívül valószínűtlen
F
Katasztrofális
Kritikus
Csekély
Elhanyagolható
4
3
2
1
K4 K3
K2
K1
K4 - elfogadhatatlan kockázat; K3 - nem kívánatos kockázat; csak akkor fogadható el, ha a kockázatcsökkentés kivihetetlen, vagy költségei az eredményhez képest rendkívül aránytalanok K2 – elfogadható kockázat, ha a kockázatcsökkentés költségei meghaladnák az eredményt (nem fogadható el, ha kis ráfordítással jó eredmény érhető el) K1 – elhanyagolható kockázat 47
A kockázatcsökkentés formái – Biztonsági szűrők A kockázatcsökkentés formái • aktív (a baleset bekövetkezési valószínűségének csökkentése) • passzív (a kárkövetkezmények mérséklése)
AKTÍV KOCKÁZATCSÖKKENTÉS/BIZTONSÁG P A veszélyforrás passzív
A veszélyforrás eliminálása A veszélyforrás aktiválódásának meggátlása
a
Műszaki hiba, hibás cselekvés
A A veszélyforrás aktív A baleset bekövetkezésének meggátlása A baleset következményeinek mérséklése
b
Baleset
S
Sérülés
PASSZÍV KOCKÁZATCSÖKKENTÉS/BIZTONSÁG 48
Biztonsági intézkedések • aktív biztonság – a balesetek megelőzése – a biztonságos állapottól való eltérés megakadályozása – a veszélyeztetések idejekorán való felismerése – folyamatos ellenőrzés • műszaki berendezések állapota • emberi tevékenység (éberség stb.)
– megfelelő reakció kiváltása
• passzív biztonság – a balesetek következményeinek enyhítése
49
Kockázatcsökkentés – Kockázatmenedzselés
A veszélyeztetésből adódó kockázat
Az elfogadható kockázat
Szükséges kockázatcsökkentés
A maradék kockázat
Tényleges kockázatcsökkentés
Km
Ke
Kv
kockázat
50
Biztonsági funkciók – Biztonsági integritás Teljes funkcionalitás Biztonsági funkciók Gyakoriság
Normál működés Kockázat osztályozás
Veszélyelemzés
Irányító funkciók
Súlyosság
Kockázatcsökkentés
Hibák elleni védettség
Belső kockázat
IRÁNYÍTANDÓ FOLYAMAT
Biztonsági integritás
Saját (belső) biztonság
IRÁNYÍTÓ RENDSZER
Biztonsági rendszerekben fellépő hibák Szisztematikus hibák (emberi eredetűek )
Véletlenszerű hibák (hardver meghibásodások)
• Követelményspecifikációs hibák • Tervezési/megvalósítási meg nem felelőségek • Gyártási hibák • Szoftver fejlesztési, javítási hibák • Szerelési/üzembehelyezési meg nem felelőségek • Kezelési/karbantartási előírások hibái • Egyéb emberi eredetű hibák
• Üzemmód • Környezeti hatások • Alulterhelés • Túlterhelés
• Elhasználódás • Egyebek Fellépési gyakoriság megadható!
A biztonsági integritás összetevői A hardver integritás a biztonsági integritásnak a veszélyes véletlenszerű hardver meghibásodásokra vonatkozó része. Véletlen hardver hibák elleni védelem Hardver integritás
Integritás Saját (belső) biztonság
Szisztematikus integr.
Szoftver integritás
Szisztematikus hibák elleni védelem
A szisztematikus integritás a biztonsági integritásnak a veszélyes szisztematikus hibákra vonatkozó része. A szoftver integritás a biztonsági integritásnak a veszélyes szoftver hibákra vonatkozó része.
Biztonsági integritási szintek és hibakezelés
Véletlen hardver hibák elleni védelem A biztonsági szintnek megfelelő megbízhatóság elérése, biztonsági stratégiák Hardver integritás
THR
Eltűrhető veszélyeztetési ráta Tolerable Hazard Rate [1/h]
Szisztematikus integr.
SIL
Biztonságintegritási szint Safety Integrity Level
Integritás Saját (belső) biztonság
Szisztematikus hibák elleni védelem A biztonsági szintnek megfelelő fejlesztési módszerek alkalmazása Minőségbiztosítás a teljes életciklusban
Biztonsági integritási szintek és hibakezelés
TH
Véletlen hardver hibák elleni védelem A biztonsági szintnek megfelelő megbízhatóság elérése, biztonsági stratégiák Hardver integritás
Hibadetektálás Hibatűrés Biztonsági állapot
Szisztematikus integr.
A hibák • elkerülése • eltávolítása Diverz kialakítás
Integritás Saját (belső) biztonság
Szoftver integritás
Szisztematikus hibák elleni védelem A biztonsági szintnek megfelelő fejlesztési módszerek alkalmazása Minőségbiztosítás a teljes életciklusban
Védelem a véletlenszerű egyedi hibák fellépése, illetve veszélyeztető hatása ellen
Megbízhatóság Biztonsági stratégiák
Megbízhatóság
Megbízhatóság – a rendszernek az a tulajdonsága, amely lehetővé teszi a rendszer szolgáltatása iránti bizalmat
MEGBÍZHATÓSÁG Dependability TÚLÉLÉSI VALÓSZÍNŰSÉG Reliability
RENDELKEZÉSRE ÁLLÁS Availability
R
A
KARBANTARTHATÓSÁG Maintainability
M
BIZTONSÁG Safety
S
R - A - M - S (1) Túlélési valószínűség (Reliability)
Rendelkezésreállás (Availability)
R(t)
1
A(t)
1
R(t ) e
0,5
0
1/l
m m+l
l t
0,5
t
At
m m +l
+
l m +l
0
Túlélési valószínűség annak a valószínűsége, hogy egy rendszer meghibásodása csak az adott időpont után következik be Rendelkezésre állás annak a valószínűsége, hogy egy rendszer az adott időpontban működőképes
t
e m +l t
R - A - M - S (2) Biztonság (Safety)
Karbantarthatóság (Maintainability) M(t) 1
PB t 1 PV t
1/m
B 0,5
0
M (t ) 1 e mt
a [h-1] V
t
Biztonságos állapot
Veszélyeztető állapot
PB t + t PB t PB t a t
Karbantarthatóság annak a valószínűsége, hogy egy meghibásodott rendszert az adott időpontra ismét üzembe helyeznek
Biztonság annak a valószínűsége, hogy egy rendszer az adott időpontban környezetét nem veszélyezteti
AZ IRÁNYÍTÓ RENDSZER VÉLETLENSZERŰ MEGHIBÁSODÁSAI ELLENI VÉDELEM ESZKÖZEI
BIZTONSÁGI STRATÉGIÁK • MÓDSZEREK • ELJÁRÁSOK
VESZÉLYFORRÁSOK • KIKÜSZÖBÖLÉSE • HATÁS KIKÜSZÖBÖLÉSE • HATÁS MÉRSÉKLÉSE
PB(t) PBmin PV(t) PVmax
IRÁNYELVEK, INTÉZKEDÉSEK • MŰSZAKI • SZERVEZÉSI
IRÁNYÍTÓ RENDSZER • KIALAKÍTÁSA • ÜZEMELTETÉSE (Karbantartás, javítás)
SAFE-LIFE
MŰKÖDŐKÉPESSÉG Tökéletesség, hibakizárás FENNTARTÁSA Megbízhatóságnövelő módszerek FAULT-TOLERANT
Hibatűrés, hibahatás maszkolása
BIZTONSÁGI ÁLLAPOT ELÉRÉSE
FAIL-SAFE Hibabiztos, akadályozó állapot Azonnali vagy szabályozott leállás
AZ IRÁNYÍTOTT FOLYAMAT JELLEGÉTŐL FÜGGŐ VÁLASZTÁS • BIZTONSÁG = MŰKÖDŐKÉPESSÉG Pl. repülés
• BIZTONSÁGOS HIBAÁLLAPOT Pl. energiaminimum (szárazföldi)
SAFE-LIFE FAULT-TOLERANT
FAIL-SAFE
AZ IRÁNYÍTÓRENDSZER KARBANTARTÁSI, JAVÍTÁSI LEHETŐSÉGEI
TÖKÉLETESSÉG, HIBAKIZÁRÁS IDEÁLIS
l=0
VALÓSÁGOS
l@0
0 P0(t) = PB(t)
KORLÁTOZOTT ALKALMAZÁS • EGYSZERŰ ELEMEK, RENDSZEREK • RÖVID BIZTONSÁGOS ÉLETTARTAM MEGELŐZŐ KARBANTARTÁS
l PB(t)
1 P (t) = P (t) 1 V
1
PB1
PBmin
WORST CASE FELTÉTELEZÉS t1
t
Bennfoglalt (inherens) hibabiztosság Ennél a technikánál megengedjük, hogy egyetlen egység lásson el egy biztonságreleváns funkciót, feltéve, ha annak valószínűsíthető meghibásodási módjai nem veszélyesek. Bármely olyan hibamódot, amelyet valószínűtlennek minősítenek (pl. belső fizikai tulajdonságok miatt), ilyen szempontból igazolni kell. A bennfoglalt hibabiztosságot összetett és reaktív hibabiztosságú rendszerekben fel lehet használni, például az egységek közötti függetlenség biztosítására, illetve veszélyes hiba észlelésekor a rendszer leállításának kikényszerítésére.
AKADÁLYOZÓ ÁLLAPOT, VESZÉLYEZTETŐ ÁLLAPOT
P0(t) mv
AKADÁLYOZÓ ÁLLAPOT • hibafelismerés, lekapcsolás • hibakatalógus hibaszituációk
2
A hibafelismerő mechanizmus hibája is akadályozó állapotot kell, hogy kiváltson!
0
ma
la lv
1
P1(t)
P2(t)
PB (t ) P0 (t ) + P1 (t ) PV (t ) P2 (t )
VESZÉLYEZTETŐ ÁLLAPOT • tudatos kockázatvállalás - hibakizárás kockázat-tűrés!!! • nem tudatos kockázatvállalás ismeretlen alkatrészek, szoftverek
lv << la mv << ma A rendszer az egyszer már elért akadályozó állapotot csak emberi beavatkozásra (javítás) hagyhatja el.
VALÓDI FAIL-SAFE RENDSZEREK
Önellenőrző tulajdonság: kapcsolóelemek + kapcsolástechnika Egycsatornás kialakítás
ASZIMMETRIKUS MEGHIBÁSODÁSI TULAJDONSÁG parciális meghibásodási ráták
0 Valódi FS
Kapcsolóelemek • biztonsági jelfogók • speciális elektronika
le
lh
1
2
l = le + lh lh << le
X
lv << la
EGY HIBA ELV • a rendszert úgy kell kialakítani,egy hiba önmagában ne okozhasson veszélyeztető állapotot; • a hibafelismerő mechanizmus kialakításánál elegendő egyidejűleg egy hibát feltételezni ha, ez a hiba felismerhető, és a hibafelismerő mechanizmusnak nem kell túl sok elemet ellenőriznie;
• a fellépő hibát még egy újabb hiba fellépése előtt, Ta időn belül fel kell ismerni, és a rendszert akadályozó állapotba kell vezérelni, hogy az esetleges további hibák hatástalanok legyenek:
1 Ta , 1000a
ahol
a l1 + l2
• amennyiben az első hiba nem ismerhető fel, úgy további egyidejű hibákat kell feltételezni mindaddig, amíg a hibakombináció felismerhetővé nem válik.
Reaktív hibabiztosság VALÓDI FAIL-SAFE RENDSZEREK
Ennél a technikánál megengedjük, hogy egy biztonságreleváns funkciót egyetlen egység lásson el, feltéve, hogy annak biztonságos működése bármely veszélyes hiba behatárolásával és hatálytalanításával biztosítható (például kódolással, többszörös számítással vagy összehasonlítással, illetve folyamatos ellenőrzéssel). Bár a tényleges biztonságreleváns funkciót csak egyetlen egység látja el, az ellenőrző/tesztelő/hibadetektáló funkciót másik egységként kell tekinteni, amely független a közös eredetű hibák elkerülése végett.
Reaktív hibabiztosság VALÓDI FAIL-SAFE RENDSZEREK
„A” FUNKCIÓ HIBADETEKTÁLÁS BIZT. ÁLL.-BA VALÓ KÉNYSZERÍTÉS
„A” FUNKCIÓ
OUTPUT
„A” FUNKCIÓ HIBÁJA DETEKTÁLÁS
OUTPUT
T
BIZTONSÁGI ÁLLAPOT
Az „A”-ban fellépő hiba felismerési és a biztonságos állapotba való kényszerítési ideje nem haladhatja meg a tranziens, potenciálisan veszélyes kimeneti jel időtartamára vonatkozó korlátot.
FÉLVEZETŐ ELEMEK PROBLÉMÁJA
+UT
UBe
0
UKi
Stuck at 1 – sa1 Stuck at 0 – sa0
lsa
lsa
0
1
1
2
lsa0 lsa1 Szimmetrikus meghibásodási tulajdonság Nincs veszélytelen hibaállapot
Megoldás: • speciális,valódi FS elektronika • többcsatornás kialakítás
Speciális, huzalozott félvezető logika „ 1”
Szokásos
„0”
H
Speciális
L
Egycsatornás valódi FS feldolgozás
Korlátozott alkalmazhatóság
„ 0” „1” „0”
Duál elektronikai felépítés KÉTCSATORNÁS KIALAKÍTÁS – NEM FAIL-SAFE
E/PE 1
0
2
1 2
saX
sa0 saX
2
Hibátlan állapot
1
sa1 3 sa1
TÖBBCSATORNÁS KIALAKÍTÁS
Információfeldolgozás: nem fail-safe 2 v2 2-ből 2 rendszer
1
0
saX
Számítógépek
1
2
1 2
sa0 saX
2
sa1 3 sa1
Valódi FS kapcsoló ák.
KVÁZI FAIL-SAFE RENDSZEREK
Információfeldolgozás: nem fail-safe Többcsatornás kialakítás Valódi FS összehasonlító
1
la = 2l+lÖH
lÖH<
ÖH+K
l
Reset
Számítógépek
Valódi FS
1
2
2
2
1 l
1
ÖH
ÖH
2 ÖH Időablak!
Összetett (kompozit) hibabiztosság KVÁZI FAIL-SAFE RENDSZEREK Minden egyes biztonságreleváns funkciót legalább két egység lát el. Ezeknek az egységeknek függetlenek kell lenniük minden más egységtől a közös eredetű hibák elkerülése végett. A nem akadályozó (restrictive) jellegű működések csak akkor hajtódhatnak végre, ha a szükséges számú egység “egyetért”. Egy egység veszélyes hibájának felismerése és hatástalanítása adott időn belül meg kell, hogy történjen annak érdekében, hogy a második egység azonos jellegű hibája elkerülhető legyen.
Összetett (kompozit) hibabiztosság KVÁZI FAIL-SAFE RENDSZEREK „A” FUNKCIÓ HIBADETEKTÁLÁS
BIZT. ÁLL.-BA VALÓ KÉNYSZERÍTÉS
„A” FUNKCIÓ
&
„B” FUNKCIÓ
OUTPUT
„B” FUNKCIÓ HIBADETEKTÁLÁS
„A” FUNKCIÓ HIBÁJA DETEKTÁLÁS „B” FUNKCIÓ HIBÁJA OUTPUT T
BIZTONSÁGI ÁLLAPOT
Az első hiba fellépésének valószínűsége, együttesen az első hiba detektálási és biztonságos állapotba való kényszerítési ideje alatt fellépő második hiba valószínűségével, kisebb kell, hogy legyen, mint a valószínűségszámítással biztonsági meghatározott célkitűzés.
A rendszer, berendezés architektúrájára vonatkozó követelmény (pl.) Technikák, intézkedések
SIL 1
SIL 2
SIL 3
SIL 4
1. A biztonságorientált és nem biztonságorientált rendszerek szétválasztása
R R R R R R R HR
R R R R R R R HR
HR --HR HR HR HR HR
HR --HR HR HR HR HR
2. Egyszerű elektronikai felépítés ön-teszteléssel és ellenőrzéssel 3.Duál elektronikai felépítés
4. Összetett fail-safe jellegen alapuló duál elektronikai felépítés fail-safe összehasonlítással 5. Belső fail-safe jellegen alapuló egyszerű elektronikai felépítés 6. Reaktív fail-safe jellegen alapuló egyszerű elektronikai felépítés 7. Diverz elektronikai struktúra fail-safe összehasonlítással 8. Az architektúra igazolása a hardver mennyiségi megbízhatósági elemzésével
A humán hibagyakoriság mérséklése A hibás emberi cselekvés gyakorisága le = 10-3 … 10-4 / cselekvés. Mérséklési lehetőségek (forgalomirányító személyzet, járművezetők, javító személyzet): • a biztonsági feladatot ellátó irányító rendszer minél ritkábban kerüljön akadályozó állapotba, és minél rövidebb ideig tartózkodjon ebben az állapotban; • a rutinműveletektől való mentesítés (kevesebb cselekvés), • vezetett cselekvéssor (check-listák, gépi támogató eszközök), • hibajelzések, javítási eljárások a javító személyzet számára; • megfelelő kiképzés, szinten tartás.
A HIBA FELISMERÉSE ÉS HATÁSÁNAK MASZKOLÁSA HARDVER-REDUNDANCIA / TARTALÉKOLÁS
m>> l
m
0 P0(t)
l
1 P1(t)
l
1
PB (t ) Pi (t ) i 0
PV (t ) P2 (t )
2 P2(t) A biztonsági rendszerek működőképességének biztosítása • teljes értékű tartalékolással (teljes funkcionalitás) • csökkentett értékű tartalékolással (csökkentett funkcionalitás). EGYÉB REDUNDANCIA FORMÁK
2x(2v2) RENDSZER
l
l
ÖH
l
l
ÖH
TÖBBSÉGI LOGIKA (SZAVAZÓ) ALKALMAZÁSA
l
l M
l 3-ból 2 szavazólogika
Biztonsági architektúrák • 1 hardver, 1 szoftver – Lehet, h. a szoftver jól van megírva, – de a hardver véletlen hibái ellen semmi nem véd.
A
Biztonsági architektúrák • 1 hardver, 2 szoftver – Két különböző (diverz) szoftver fut (A és B) ugyanazon a gépen. – Két szoftver futhat párhuzamosan, vagy egymás után. – Az összehasonlító felfedi, ha a két szoftver mást mond felfedhetők a specifikációs és programozási hibák – Mivel a két program eltérő, ezért egy HW hiba nem egyformán hat a két szoftverre, így a véletlen HW hibák is felfedhetők
• Pl. Ebilock (svéd) elektronikus bb.
A B ÖH
Biztonsági architektúrák • 2 hardver, 1 szoftver – 2-ből 2 rendszer (2v2) – Véd a hardver véletlen meghibásodásai ellen – A szoftvert „eleve jóra” kell készíteni, mert az architektúra nem véd a specifikációs és programozási hibák ellen.
• Pl. Siemens SIMIS-elv
A
A
ÖH
Biztonsági architektúrák • 2 hardver, 2 szoftver – Az architektúra véd a véletlen hardver hibák ellen és – a szoftver hibák ellen. – A két csatornában eltérő specifikációval, eltérő programnyelven kifejlesztett programok futnak
• Pl. Alcatel (Thales) Elektra
A
B
ÖH
Rendelkezésre állás •
•
Az eddig bemutatott architektúrák biztonságosak ugyan, de már egy hiba esetén is működésképtelenek. Módszerek a rendelkezésre állás növelésére Tartalékolás – – –
Egycsatornás rendszer: redundancia 2v2 2×(2v2) (pl. SIMIS IS: SIMIS PC) 2v2 2v3 (pl. SIMIS IS: ECC számítógépek)