Minıség és megbízhatóság (NGB_AU017) Biztonsági kérdések

Átírás

1 Minıség és megbízhatóság (NGB_AU017) Biztonsági kérdések

2 Biztonság fogalma Köznapi értelmezésben veszélymentességet jelent, a biztonság az ember fontos pszichológiai igénye Mőszaki értelmezésben ez is valószínőségi jellegő számszerő jellemzı Biztonság különbözı értelmezési módjai safety értelmében véve, security értelmében véve

3 Biztonság, mint pszichológiai igény (Maslow) Önmegvalósítás Elismerés Valahová tartozás B I Z T O N S Á G Fiziológiai igények

4 Biztonság értelmezési módjai (1) safety értelmében vett biztonság: a mőszaki rendszerbıl származóan ne érje veszélyeztetés a környezetet, és az ott lévı embereket security értelmében vett biztonság: a mőszaki rendszert ne érje veszélyeztetés a környezet ill. az ott lévı emberek felıl

5 Biztonság értelmezési módjai (2) Biztonság safety ill. security értelmében Környezet Környezet Veszélyeztetés Biztonságkritikus rendszer Biztonságkritikus rendszer

6 A biztonság és a megbízhatóság fogalmának Hasonlósága: Mindkét fogalom hibákkal, meghibásodásokkal kapcsolatos Mindkét fogalom az adott idıpontbeli hibátlan állapot valószínőségét jelenti Különbözısége: Megbízhatóság vizsgálatánál valamennyi hibát (akadályozó/veszélyes) figyelembe kell venni Biztonság vizsgálatnál csak a veszélyes hibát kell figyelem bevenni

7 A biztonsági és a megbízhatósági Valószínőségi vizsgálatok hibaszemlélete szemlélet! HIBAOSZTÁLYOK Megbízhatóság Baleseti lehetõség Biztonság Súlyos üzemzavar Kisebb üzemzavar Jelentéktelen hibák

8 Megbízhatósági jellemzı Biztonsági jellemzı Megbízhatósági függvény R(t) Biztonsági függvény S(t) Meghibásodási valószínőség F(t) Veszélyeztetési valószínőség G(t) Meghibásodás sőrőség fgv.e f(t) Veszélyeztetés sőrőség fgv.e g(t) Meghibásodási ráta λ(t) Veszélyeztetési ráta ρ(t) Javítási ráta µ(t) Biztonság helyreállítási ráta ν(t) Üzemkészség D(t) Védelem jósága V s (t)

9 A biztonsági számjellemzık és összefüggéseik e t 0 d t S τ τ ρ = ) ( ) ( e t 0 d 1 t S 1 t G τ τ ρ = = ) ( ) ( ) ( dt dg dt ds t t g e t 0 d = = ρ = τ τ ρ ) ( ) ( ) (

10 ρ( t) A biztonsági számjellemzık és = t g( t) g( τ) dτ = összefüggéseik = 1 S( t) ds dt = 1 1 G( t) { x (t) 1} V (t) P (t) = 1 P = s i v i V v MTBD (t ) = = S ρ + v MTBD + MTTSR dg dt

11 Biztonság értelmezési módjai (2) Aktív és passzív biztonság Hiba Meghibásodás Tervezés és szerelés Üzemeltetés 0 < P < 1 0 < < H-V 1 AKTÍV BIZTONSÁG P MH-V Veszélyeztetés 0 < P < 1 V - B Baleset 0 < P < 1 B - K PASSZÍV BIZTONSÁG Kár

12 A biztonság kockázatalapú meghatározása Kockázat = rizikó rhiza (görög szó: zátony, a görög hajósok kockázata!) Kockázat fogalma: a nyereség vagy veszteség lehetıségét tartalmazza Valamely mőszaki folyamattal vagy állapottal összefüggı kockázat szintén valószínőségi kijelentéssel írható le

13 Kockázati tényezık (1) A kockázattal kapcsolatos valószínőségi tényezık: a kárhoz vezetı esemény fellépésének várható gyakorisága, és az esemény fellépésekor bekövetkezı kár nagysága.

14 Kockázati tényezık (2) Mai civilizáció kockázati tényezıi: géntechnika, atomerımővek, közlekedés, rák stb. Technika kettıs szerepe: segít kizárni a veszélyeztetéseket, maga is veszélyforrást jelent.

15 Kockázat értelmezési módjai (1) Kockázat, mint biztosítási kifejezés: kiváltó esemény és vele kapcsolatos kár valószínősége Kockázat, mint mőszaki kifejezés: annak a várakozásnak a mértéke, hogy emberi vagy mőszaki hibából kár következhet be

16 Kockázat értelmezési módjai (2) egyéni kockázat:: annak a valószínősége, hogy egy személy meghatározott esemény miatt elıre meghatározott károsodást szenved (pl. gépkocsivezetı halálos balesete) kollektív kockázat: fenti valószínőség személyek meghatározott csoportjára

17 Kockázat számszerősítése (1) R = p E K ahol: K - a kár nagysága p E - a kár bekövetkezésének valószínősége NB.: a számszerő meghatározás ellenére itt azért minıségi definícióról van szó: általában nem adható meg, hogy milyen funkcionális kapcsolatban van a két befolyásoló paraméter

18 Kockázat számszerősítése (2) A kár nagyságát általában valamilyen természetes mértékegységben adják meg: ember életben okozott kár esetén: =halálesetek száma, =súlyos sérülések száma, =könnyő sérülések száma; anyagiakban okozott kár esetén: pénzben fejezhetı ki a kár nagysága

19 Kockázat értékelésének módja Értékelés a kár nagyságának és bekövetkezési valószínőségének (gyakoriságának) kategorizálásával történhet Kár elszenvedésének valószínősége függ a veszélyeztetésnek való kitétel mértékétıl Lehetséges kockázati kategóriák: R1 - elhanyagolható kockázat R2 - elfogadható kockázat R3 - nem kívánatos kockázat R4 - elfogadhatatlan kockázat

20 Kár nagyságának kategóriái Kár Kockázati kategória jellege nagysága neve jele haláleset több katasztrofális K4 egy kritikus K3 súlyos sérülés több egy csekély K2 könnyő sérülés több egy jelentéktelen K1

21 Gyakorisági szint kategóriái (pe) Gyakorisági szint jele neve leírása nagyság 1 ó A gyakori állandó veszélyeztetés > 10-3 B valószínő gyakori veszélyeztetés C esetleges többszöri veszélyeztetés D csekély legalább egyszeri veszélyeztetés E valószínőtlen veszélyeztetés kivételes esetben F hihetetlen veszélyeztetés nem várható < 10-9

22 A lehetséges kockázati kategóriák Valószínős égi szint Jelentéktele Kárkihatási kategóriák Csekély Kritikus Katasztrofális Gyakori nem kívánatos elfogadhatatlan elfogadhatatlan elfogadhatatlan Valószínő elfogadható nem kívánatos elfogadhatatlan elfogadhatatlan Esetleges elfogadható nem kívánatos nem kívánatos elfogadhatatlan Csekély elhanyagolható elfogadható nem kívánatos nem kívánatos valószínûtl en elhanyagolható elhanyagolható elfogadható elfogadható Hihetetlen elhanyagolható elhanyagolható elhanyagolható elhanyagolható

23 Kockázatalapú biztonság (1) Kockázat fogalom alapján meghatározható egy ún. határkockázat, ami alatt valamely mőszaki folyamattal vagy állapottal kapcsolatos még elviselhetı maximális kockázatot értjük Biztonság teljesül, ha a kockázat a határkockázat alatt van, egyébként veszélyeztetés áll fenn (l. ábra)

24 Kockázatalapú biztonság (2)

25 A biztonsági folyamat feladatai Felhasználó alapvetı feladata a kockázatelemzés Gyártó feladata a veszélyeztetés elemzés Mindkét elemzés feltétfüzetek formájában jelenik meg - amit a felügyeleti hatóságnak jóvá kell hagyni

26 A kockázatelemzés részfeladatai (1) A rendszerrel kapcsolatos funkcionális követelmények meghatározása (mőszaki megoldástól függetlenül) Technológiai kérdések Üzemi paraméterek meghatározása A rendszer határainak definíciója A rendszerrel kapcsolatos alapvetı veszélyeztetések azonosítása Veszélyeztetési ráták becslése

27 A kockázatelemzés részfeladatai (2) A veszélyeztetések következményeinek elemzése (baleset, majdnem baleset, biztonságos állapot felvétele) Elfogadható veszélyeztetési ráták meghatározása (THR = Tolerable Hazard Rate) Az adódó kockázat elfogadhatóságának igazolása (a megfelelı kockázattőrési kritériumok alapján, kockázatcsökkentési eljárások alkalmazásával)

28 A kockázat elviselhetı mértéke az elfogadható kockázat szintjét a CENELEC nem szabja meg - ez inkább a nemzeti vagy európai törvényi elıírásoktól függ Kockázattőrés mértékének javasolt meghatározási módjai (EN szerint) ALARP (= As Low As Reasonably Practicable) - Anglia GAMAB (= Globalement Au Moins Aussi Bon) - Franciao. MEM (= Minimum Endogenous Mortality) Németo.

29 ALARP (1) Bizonyos veszélyeztetések olyan nagy kockázattal járnak, hogy ezek semmiképpen nem tőrhetık meg a kockázat kivételes esetektıl eltekintve nem indokolható ha a kockázat nem csökkenthetı, akkor a rendszer nem üzemeltethetı Másik szélsı értékben a kockázat olyan kis mértékő, hogy a kockázat további csökkentésére semmi szükség nincs (biztosítani kell, hogy a kockázat e szint alatt maradjon)

30 ALARP (2) A két szélsı tartomány közt van az ún. ALARP tartomány itt a kockázatot az ésszerően megvalósítható legalacsonyabb szintre kell csökkenteni, = be kell mutatni, hogy a jelenlegi legjobb szabványokat ill. gyakorlati módszereket alkalmazzák, vagy = ha az új szabványok alkalmazása kétséges, akkor ún. költséghaszon elemzés, ill. az élet-érték elv alkalmazható A kockázat szintje csak akkor fogadható el, ha a kockázat csökkentése megvalósíthatatlan, vagy a kockázat csökkentés költségei aránytalanul nagyobbak a kockázatcsökkentéssel járó haszonnál

31 ALARP (3)

32 GAMAB Minden új rendszernek legalább a meglévı egyenértékő rendszerrel azonos biztonsági szintet kell nyújtania Minıségi megfogalmazásként nem mérlegeli a konkrét kockázatot Mennyiségi megközelítésben a meglévı rendszer biztonságát egy τ cref hányadossal jellemezhetjük (a haláleseteknek az utasok számára viszonyított aránya) - meglévı rendszerek statisztikai adataiból határozható meg!

33 MEM - Minimális endogén halálozás elve (1) Endogén halálozás azt az R kockázat jelenti, hogy valamely egyén halálát ún. technológiai körülmények okozzák: szórakozás, sport, házi tevékenység, munkagépek használata, közlekedés (betegség, vele született fogyatékosság nem tartozik ide!) E kockázat fejlett országokban 5 és 15 év között a legkisebb, ez a minimális érték: R m = [ ] halálos kimenetelő baleset személy év

34 MEM - Minimális endogén halálozás elve (2) A MEM által megfogalmazott alapszabály: új rendszer alkalmazásából származó veszélyeztetések nem növelhetik számottevıen R m értékét Gyakorlatban használt értékek: R 1 = 10-5 [halálos baleset/személy/év] R 2 = 10-4 [komoly sérülés/személy/év] R 3 = 10-3 [könnyő sérülés/személy/év] Nagyszámú halálesetet okozó rendszerek esetén ún. DRA érték határozható meg (lásd korábban)

35 A veszélyeztetés-elemzés lépései (1) rendszerdefiníció veszélyeztetések azonosítása következmények, veszteségek elemzése kockázatértékelés az egyéni kockázat explicit meghatározása, implicit megoldási feltételezések további megoldási feltételezések

36 A veszélyeztetés-elemzés lépései (2) veszélyeztetési okok elemzése a funkció részesedése a veszélyeztetésben - adódik e funkcióra a THR értékek listája, az egyes részrendszerek által realizált funkciók meghatározása - adódik a részrendszerek számára a THR értékek listája a közös okra visszavezethetı meghibásodások (CCF = Common Cause Failure) elemzése a biztonsági követelmény-szintek hozzárendelése (SILi)

37 A kockázatértékelés módszerei kockázati mátrix alkalmazása kockázati prioritások alkalmazása (autóiparban, szoftver tervezés területén) az FMEA - FMECA kockázati gráfok alkalmazása a Sárga könyv -ben közölt módszer - az Angliában alkalmazott biztonságmenedzsment eljárása ASCAP - a GAMAB amerikai változatának igazolására az egyéni kockázat értékelése az EN szerint

38 Az automatikák kialakításának gazdasági vonatkozása Biztonságkritikus rendszerek biztonsági szintjének meghatározásakor nem lehet gazdasági optimumra törekedni, Tökéletes biztonság nem érhetı el, a rendelkezésre álló anyagi lehetıségek végesek Az elegendı biztonsági szint meghatározásához az élet alapkockázata jelentheti az objektív alapot

39 A biztonság definíciójából következı tények abszolút (100%-os) biztonság nem érhetı el! (=teljesen kockázatmentes állapot) valamely mőszaki rendszernél a szükséges biztonsági szint függ az emberek kockázattőrésétıl, a megfelelı biztonsági szint mindig csak meghatározott környezeti feltételek között érhetı el: hımérséklet, nedvességtartalom, mechanikus rezgés, elektromágneses mezık, stb.

40 Az élettel kapcsolatos kockázat Az élet teljes kockázata R = R + R ö 0 i A pótlólagos kockázatok származhatnak foglalkozásból, közlekedésbıl, közvetlen és tágabb környezetbıl, stb. Az R 0 alapkockázat az, ami nem változtatható, és mindenképpen jelentkezik az összkockázatban - ez a domináns tényezı!

41 Az élettel kapcsolatos kockázat (folyt.) A pótlólagos kockázat a statisztikák szerint az alapkockázat értékétıl felfelé és lefelé egyaránt nagy mértékben eltérhet, esetenként lehet az élet alapkockázatánál lényegesen kisebb értékő is de ez nem javítja észrevehetıen az összkockázat szintjét Az új mőszaki megoldásoknál nincs értelme a pótlólagos kockázat értékét jelentısen az alapkockázati szint alá vinni

42 Az élet alapkockázata R R 0 = 10-6 R ö = R 0 + R i R i -10 = R 1. ábra

43 A kockázattőrés meghatározása A kockázattőrés nagysága társadalompszichológiai tényezıktıl függ Tapasztalatok szerint nincs szoros összefüggésben az adott folyamat objektív veszélyességével A korábban megismert veszélypotenciálsor megitélése nagy mértékben szubjektív tényezıktıl is függ

44 Veszélypotenciál szubjektív megítélése Férfi alkalmazottak Nıi alkalmazottak Statisztika Élvezeti szerek Egyéni közlekedés Tömegközlekedés Atomerımő

45 A kockázattőrés jelentısége A kockázattőrés társadalmilag elfogadott mértéke nem marad csupán kötetlen formában megadott számérték, hanem a törvényadó testületeken keresztül minıségi és mennyiségi biztonsági elıírásokban ölt testet (atomerımővekre vonatkozó törvény, CENELEC szabványok a vasúti közlekedés biztonságára vonatkozóan, stb.)

46 A kockázattőrés szokásos értékei (1) Az élet alapkockázata statisztikák szerint: w A = 10 6 Kockázattőrés saját felelısség esetén: haláleset fı óra w saját = 10 2 wa = 10 4 haláleset fı óra

47 A kockázattőrés szokásos értékei (2) Kockázattőrés túlnyomóan saját felelısség esetén: haláleset w = = 10 6 saját/idegen wa fı óra Kockázattőrés túlnyomóan idegen felelısség esetén: w idegen/saját = 10 1 wa = 10 7 haláleset fı óra

48 A kockázattőrés szokásos értékei (3) Kockázattőrés kizárólag idegen felelısség esetén: w idegen = 10 Figyelemre méltó, hogy = 10 a kockázattőrés teljes tartománya 4 nagyságrendet fog át között! NB.: A számértékek csak durva közelítı értékeknek tekinthetık 2 wa 8 halott fı óra

49 A kockázattőrés nagysága Kockázattőrés alapkockázat R 0 = 10-6 idegen idegen / saját saját / idegen saját Felelısség

50 A kockázattőrés nagyságát befolyásoló tényezık A kockázatnak kitett csoport nagyságával fordított az összefüggés - kisebb érintett csoport esetén nagyobb a megtőrt kockázati szint A kockázatvállalás gazdasági haszna is befolyásolja az elfogadható szintet: a haszon nagysága, a haszon jelentkezésének idıpontja (közvetlen vagy késıbbi idıpontban)

51 A biztonságelemzés célkitőzése (1) A biztonságelemzés célja annak igazolása, hogy a biztonsági rendszer és az üzemi folyamat esetén a maradék kockázati szint a megengedhetı érték alatt marad. Az igazolás analitikus módszerrel történik, biztonságkritikus vizsgálatok, tesztek nem tartoznak a biztonságelemzés körébe

52 A biztonságelemzés célkitőzése (2) Az elemzés a biztonsági rendszerek által elkerülendı általános kockázatokra vonatkozik A biztonságelemzés során a fejlesztésben részes szakértık bevonásával lehet a kockázatok felmérésével esetleges biztonsági hiányosságokat felfedezni, és az ezzel kapcsolatos szakértıi döntéseket meghozni A biztonságelemzés fı célja nem az összes kockázat abszolút meghatározása,

53 A biztonságelemzés módszere Klasszikus megoldás a megbízhatósági blokkdiagramra alapozott módszer (különbözı területeken számos módszert alkalmaznak) A megbízhatóság-technika különbözı módszerei alkalmazhatók, de azokat a konkrét alkalmazási esethez kell illeszteni

54 Az automatizálandó folyamat jellemzıi (1) a folyamat veszélyessége: baleseti statisztikák alapján különbözı ipari és közlekedési területekre (ún. veszélypotenciál sor, megítélése gyakran szubjektív!)

55 Az automatizálandó folyamat jellemzıi (2) Veszélypotenciál sor baleseti statisztikai adatok alapján rangsorolva közli a különbözı biztonságkritikus rendszereket: Háztartási berendezések Gépi mőködtetéső kapuk Nagyfeszültségő kapcsolók Gépjármő Orvosi készülékek Emelı szerkezetek Mozgólépcsık

56 Veszélypotenciál sor (folytatás) Tüzelı berendezések Daruk Drótkötélpálya Közúti jelzılámpák Felvonók gızkazánok Vasúti biztosítóberendezések Olajfúró szigetek Repülıgépek Kémiai reaktorok Atomreaktorok Stb..

57 Az automatizálandó folyamat jellemzıi (3) a folyamatban lehetséges biztonságos állapotok száma az üzemszerő állapot jól megtervezett rendszernél mindig biztonságos, fontos kérdés, hogy meghibásodás esetére van-e biztonságos tartalékállapot? az ember szerepe a folyamatban (ember elválasztható-e a veszélyforrástól?).

58 Biztonsági automatika rendszerek (1) A folyamat automatizálásának biztonságfilozófiáját alapvetıen a folyamat fenti biztonsági jegyei határozzák meg. Ha a rendszernek nincs biztonságos tartalék-állapota (safe life technológia), akkor a meghibásodásokat nagy valószínőséggel ki kell zárni

59 Biztonsági automatika rendszerek (2) Ha a rendszernek van biztonságosan elérhetı tartalékállapota (ún. fail-safe technológia), akkor a meghibásodás esetén törekedni kell e tartalék állapot elérésére

60 Biztonsági automatika rendszerek (3) Az automatikák biztonságos kialakítását eldöntı kérdések: Kell-e a rendszerelemek meghibásodásával számolni? Hiba esetén van-e megfelelı hibafelismerési mechanizmus a hibák érzékelésére? Ha igen, az kijelzi-e a fellépett hibákat (azok legalább zavarként jelentkeznek-e?) Van-e a meghibásodok esetére redundancia a rendszerben?

61 Biztonsági automatika rendszerek (4) Fenti kérdésekre adott különbözı válaszok alapján megkülönböztethetı biztonsági automatika rendszerek: safe life, fault tolerant és a fail-safe rendszer! Definiciók: safe life (= hibamentes ) rendszer - az engedélyezett üzemidın belül nem kell meghibásodással számolni (rendszeres felülvizsgálatot igényel),

62 Biztonsági automatika rendszerek (5) fault tolerant (= hibatőrı ) rendszer - kell számolni meghibásodással, azt a hibafelismerı mechanizmus felismeri, vagy zavarként kijelzi, teljes készülék-redundancia meghibásodás esetére is teljes üzemkészséget garantál fail safe (= hibabiztos ) rendszer - mint elıbb, de nincs, vagy csak részleges készülékredundancia van, emiatt meghibásodás esetén részleges vagy teljes üzemképtelenséggel kell számolni

63 A U T O M A T I K A R E N D S Z E R N m e g h i b? K i j e l e z? I N I h i b a f e l i s m I N m û k ö d i k? N I I z a v a r? N I r e d u n d a n c i a? N V a n - e r é s z le g e s k é s z ü lé k - r e d u n d a n c ia? N I t e l j e s ü z e m k é s z s é g m e g h i b á s o d á s e s e t é n k o r l á t o z o t t ü z e m k é p t e l e n s é g t e l j e s s a f e l i f e h i b a tő rı f a i l s a f e B I Z T O N S Á G I N E M B I Z T O N S Á G I R E N D S Z E R

64 Biztonsági rendszerekkel szembeni követelmények (1) A megbízható mőködés feltételei egyértelmő mőködésmód = megfelelı konstrukció = megfelelı mőködési alapelvek jól bevált elvek szerint kialakított elemek használata ellenırzött gyártás és szerelés üzembehelyezés elıtti próbák

65 Biztonsági rendszerekkel szembeni követelmények (2) A kényszerő hatásosság feltételei veszélyes állapot kezdetétıl annak teljes idıtartama alatt jelen legyen védıintézkedés feloldásakor a veszélyes állapot kényszerően fejezıdjön be (kölcsönös függıség!) Pl.: centrifuga lezárt fedéllel indítható, lift bezárt ajtókkal indul, stb.

66 Biztonsági rendszerekkel szembeni követelmények (3) A megkerülhetetlenség feltételei A reteszelı berendezés a rendszer szerves részét képezi sem szándékosan, sem véletlenül nem iktatható ki Pl. Mozdonyok éberségi berendezése, a biztonsági menetkapcsoló (Si-Fa)

67 A védıreakciók megvalósítási lehetıségei Visszajelentés alkalmazása Önellenırzés alkalmazása Redundancia alkalmazása Bistabil elemek alkalmazása Újraindítás reteszelése A védı funkció vizsgálhatósága

68 Visszajelentés alkalmazása beavatkozás tényének, okának rögzítése beavatkozás módja a folyamat sebességétıl függıen egyfokozatú - azonnali beavatkozás kétfokozatú - elıször figyelmeztetı jelzés, majd beavatkozás

69 Önellenırzés alkalmazása Védelem bekapcsolása veszély esetén és meghibásodás esetén Önellenırzés megvalósítása nyugalmi áramú elv munkaáramú elv - csak ellenırzı kapcsolás alkalmazása mellett

70 Redundancia alkalmazása (1) Térbeli redundancia (párhuzamos redundancia) forró tartalék - a tartalék elem teljes idı alatt teljes terheléssel mőködik meleg tartalék - a tartalék elem a meghibásodásig kisebb terheléssel mőködik hideg tartalék (Stand-by) - a tartalék elem a meghibásodásig nincs terhelés alatt

71 Redundancia alkalmazása (2) Idıbeli redundancia (idıszakos hibák, zavarok ellen): információ-feldolgozás idıben egymásután (kétszeres -, többszörös feldolgozás) Elv-redundancia - a redundancia speciális megjelenési formája: az adott funkció ellátására alkalmazott tartalékegységek más-más elven mőködnek

72 A redundancia bevezetésének szintjei alkatrész redundancia (többlet -, vagy speciális alkatrész) pl. biztonsági jelfogó készülék redundancia a megbízhatóság növelés szempontjából kedvezıbb megoldás, rendszer-redundancia

73 Bistabil elemek alkalmazása Védırendszer mőködtetése meghatározott megszólalási értéknél (ezen érték alatt és felett stabil -, az értéknél pedig instabil állapot) Rendszer állapot 2 instabil stabil 1 üzemszerő helyzet Megszólalási érték 3 Védı helyzet Folyamat-paraméter

74 Újraindítás reteszelése Más elnevezés: ismétlızár funkció Védırendszer megszólalása után önmőködıen nem vihetı ismét normál üzemi helyzetbe További üzem csak a kialakult helyzet ellenırzése után lehetséges

75 Vizsgálhatóság Védırendszer veszély helyzet nélkül is megszólaltatható legyen - veszélyhelyzet szimulációja! Vizsgálat módja indítás vizsgálat (felfutás vizsgálat) rendszeres vizsgálat

76 Biztonsági irányítórendszerek alapjai (1) Fail-safe elv A (valódi) fail-safe tulajdonság: a funkcióban jelentkezı meghibásodások közvetlenül eredményezik a rendszer biztonságos állapotát. Realizálási mód: a vezérlı rendszerben az energia szegény (illetve energiamentes) állapotot reteszelés, tiltás értelmében használják.

77 Biztonsági irányítórendszerek alapjai (2) A jelfogós rendszerek általában fail-safe módon viselkednek biztonsági jelfogók N típusú (I. biztonsági osztály) C típusú (II. biztonsági osztályú) A jelfogó konstrukciójánál fogva alkalmas fail-safe áramkörök kialakítására - megfelelı kapcsolási elvek alkalmazásával teljesíthetık a biztonsági feltételek

78 Biztonsági irányítórendszerek alapjai (3) Kvázi fail-safe elv A kvázi fail-safe tulajdonság: a meghibásodás nem közvetlenül vezet a biztonságos állapothoz, hanem : egy ellenırzı kapcsolás kijelzi a hibát, és ezután kerül a rendszer a biztonságos állapotba.

79 Biztonsági irányítórendszerek alapjai (4) Kvázi fail-safe elv realizálási módja: megfelelı biztonsággal rövid idı alatt mőködı ellenırzés és lekapcsolás útján. Az elektronikus, többcsatornás mikroprocesszoros rendszerek általában kvázi fail-safe módon mőködnek.

80 Biztonsági rendszerek megvalósítási lehetıségei (1) A hibabiztos (valódi fail-safe) tulajdonság: a funkcióban jelentkezı meghibásodások közvetlenül eredményezik a rendszer biztonságos állapotát. Realizálási mód: a vezérlı rendszerben az energia szegény (illetve energiamentes) állapotot reteszelés, tiltás értelmében használják. A jelfogós rendszerek általában fail-safe módon viselkednek. A biztonsági jelfogó konstrukciójánál fogva hibabiztos - megfelelı kapcsolási elvek alkalmazásával teljesíthetık a biztonsági feltételek

81 Biztonsági rendszerek megvalósítási lehetıségei (2) A kvázi fail-safe tulajdonság: a meghibásodás nem közvetlenül vezet a biztonságos állapothoz, hanem egy ellenırzı kapcsolás kijelzi a hibát, és ezután kerül a rendszer a biztonságos állapotba. Realizálási mód: megfelelı biztonsággal rövid idı alatt mőködı ellenırzés és lekapcsolás útján. NB.: az elektronikus, többcsatornás mikroprocesszoros rendszerek általában kvázi failsafe módon mőködnek.

82 Elektronikus biztosítóberendezések lehetséges kialakítási formái A hardver tervezés és kivitelezés során a hibabiztos tulajdonságot kell megcélozni A szoftver szerepe függ a biztonsági feladatok hardver és szoftver közötti megosztásának módjától

83 Architektúra típusok HW SW Egy Több Egy 1. típus 5. típus Több Azonos Szoros csatolás Mérsékelt csatolás 2. típus 3. típus Eltérı Laza csatolás 4. típus

84 1. típusú architektúra Jellemzı felépítés: egy számítógép + egy program Hibavizsgálat: külsı ellenırzı hardveren keresztül BE HW SW Külsõ hardver HW Hardverhiba esetén: rendszerkimenet meghatározott veszélytelen állapotba vihetı KI V

85 Az 1. architektúra típus értékelése (1) Hardverhibák felismerése az öndiagnosztikával rendelkezı programoknál nehézkes (gyártó cég tesztjei hatékonyabbak) Hardver meghibásodások kijelzéséhez tesztprogramokat meghatározott maximális idın belül meg kell ismételni - ezzel a többszörös hibák valószínősége korlátozható (Igen nehéz igazolni, hogy valamennyi meghibásodás-típus felismerhetı-e?)

86 Az 1. architektúra típus értékelése (2) Külsı zavarok felismerhetısége függ a kontrollösszeg képzési módjától; adatok aktualizálásának gyakoriságától, hihetıségvizsgálat lehetıségeitıl. Szoftver-hibák (program ill. adatok) felismerésére nem rendelkezik mechanizmussal, alapvetı a szoftver hibamentessége!

87 Az 2. architektúra típus Jellemzı felépítés: azonos számítógépeken azonos programok (szorosan csatolt számítógépek) Hibavizsgálat: Számítógépek minden buszmőveletét ellenırizni egyezésre (közös órajel!) HWA SW BE T HWA SW A "V" összehasonlító csak egyezés esetén engedélyezi a biztonsági rendszerkimenetet KI V

88 A 2. architektúra típus értékelése (1) Hardverhibák: megfelelı vizsgáló eljárásokkal kizárhatók (azonos gyártási hibák kizárása több gyártó, kellı minıségbiztosítás Hardver-meghibásodások közül egyedül jelentkezı meghibásodás nem kritikus, független többszörös hibával rövid hibafelismerési idı esetén nem kell számolni, azonos okra visszavezethetı ( common mode ) meghibásodásokra különös figyelmet kell fordítani

89 A 2. architektúra típus értékelése (2) Külsı zavarok felismerhetısége hasonló, mint az 1. típusnál (tehát itt is kontrollösszeg, adatok aktualizálása ill. hihetıség vizsgálat szabja meg) Szoftver-hibák (program ill. adatok) felismerésére nem rendelkezik mechanizmussal, alapvetı a szoftver hibamentessége!

90 A 3. architektúra típus BE Jellemzı felépítés: azonos számítógépeken azonos programok (mérsékelten csatolt számítógépek) HWA SWA Hibavizsgálat: tárolók és kimenetek állapotának kölcsönös ellenırzése - összehasonlíthatóság érdekében szinkronizáló jel! HWA SWA Hiba esetén: számítógépek egymást kölcsönösen lekapcsolják KI V

91 A 3. architektúra típus értékelése (1) Hardverhibák: több gépes rendszer lévén tervezési hibák kizárhatók; Hardver-meghibásodások: meghibásodások különbözı típusainak hatása hasonló a 2. típusnál mondottakra (egyszeres, független többszörös meghibásodás), de meghibásodások felismerése csak a kimeneti-, vagy a tárolóállapot síkon lehetséges

92 A 3. architektúra típus értékelése (2) Külsı zavarok felismerhetısége hasonló, mint az 1. típusnál, a zavarok felismerhetıségét az aszinkronitás teszi egyszerőbbé Szoftver-hibák (program ill. adatok) felismerésére nem rendelkezik mechanizmussal, alapvetı a szoftver hibamentessége!

93 A 4. architektúra típus BE Jellemzı felépítés: (több lazán kapcsolt számítógép) számítógépek és programjaik különbözıek lehetnek, szinkronizáció igen laza Lehetséges változat: egyik gép végzi a számításokat, másik ellenırzi az eredményeket HWA SWA KI V HWB SWB

94 A 4. architektúra típus értékelése (1) Hardverhibák: több gépes rendszer lévén tervezési hibák kizárhatók; különbözı hardver-csatornák esetén azonos hatással jelentkezı tervezési hibával nem kell számolni Hardver-meghibásodások: az egyszeres ill. a függetlenül jelentkezı többszörös hibák hatása: mint a 2. típusnál (szoros csatolás!) a meghibásodások kijelzése ennél a típusnál a legnehezebb

95 A 4. architektúra típus értékelése (2) Külsı zavarok felismerhetısége hasonló, mint az 1. típusnál, a zavarok felismerhetıségét a diverzitás teszi egyszerőbbé Szoftver-hibák (program ill. adatok) szempontjából itt is fontos a szoftver hibamentessége, a hibák felismerését diverziter algoritmus ill. programozás segíti

96 Az 5. architektúra típus BE Jellemzı felépítés: (egy számítógép két különbözı programmal) SWA SWB HW diverziter programok futása egy számítógépen külsı összehasonlító! V KI

97 Az 5. architektúra típus értékelése (1) Hardverhibák: minden más úton ki nem zárható hiba felismerése e típusnál a szoftver feladata Hardver-meghibásodások: független többszörös hibákkal rövid hibafelismerési idı esetén nem kell számolni a common mode meghibásodások felismerhetısége függ a programok különbözıségének (diverzitás) mértékétıl adatok aktualizálásának idıközétıl

98 Az 5. architektúra típus értékelése (2) Külsı zavarok felismerhetısége hasonló, a zavarok felismerhetısége függ továbbá a program- és adat-diverzitás mértékétıl Szoftver-hibák (program ill. adatok): itt is fontos a szoftver hibamentessége, hibafelismerés: diverzitás (algoritmus, programozás)

99 Biztonsági rendszerekkel szembeni alapvetı követelmények Megfelelı mőszaki kialakításon túl fontos, hogy a rendszer: kezelése, fenntartása kifogástalan legyen. A kezelési hibák elleni védelmet garantálja a robusztus kialakítás: védelem a véletlen és szándékos kezelési hibák ellen

100 Megbízhatóság-menedzsment szükségessége (1) Gazdaságos eredmények megkövetelik a megfelelı megbízhatóságot A biztonságkritikus automatikák területén a szükségesség eltérıen jelentkezik

101 Megbízhatóság-menedzsment szükségessége (2) Safe-life rendszereknél már régen alkalmazzák a megengedett kockázati szinthez kellett a megbízhatóságot illeszteni Fail-safe rendszereknél csak az elektronikus rendszerek megjelenésével vált szükségessé