Biztonságkritikus rendszerek Gyakorlat: Megbízhatósági analízis Rendszertervezés és -integráció dr. Majzik István Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék BME-MIT
Megbízhatósági blokk diagram használata BME-MIT 2.
Ismétlés: Megbízhatósági blokk diagram Blokkok: Kapcsolás: Utak: Komponensek (hibamódjai) Soros vagy párhuzamos kapcsolat Működőképes rendszerkonfigurációk o Működőképes a rendszer, ha van út a megbízhatósági blokkdiagramon a kezdőponttól a végpontig hibamentes komponenseken keresztül (komponens hibák ezt megszakítják ) Soros (nem redundáns komponensek): Párhuzamos (redundáns komponensek): K 1 K 1 K 2 K 3 K 2 K 3 BME-MIT 3.
Feladat: Felügyeleti rendszer analízise Egy ipari folyamat felügyeleti rendszere a következő komponensekből áll: 4 adatgyűjtő egység, 3 vezérlő egység, 2 felügyeleti szerver, 1 naplózó szerver, és az ezeket összekötő hálózat. A 2 felügyeleti szerver melegtartalékolt. Az adatgyűjtő egységek és vezérlők egy (kritikus) része melegtartalékolt: 2 adatgyűjtő és 2 vezérlő egység található melegtartalékoltan. Az egyes komponensek megbízhatósági adatai a következők (órában mérve, a javítások egymástól függetlenül végezhetők): Adatgyűjtő Vezérlő Felügyeleti Naplózó Hálózat egység egység szerver szerver MTTF 9000 12000 4500 2000 30000 MTTR 2 3 5 1 2 Rajzolja fel a felügyeleti rendszer megbízhatósági blokkdiagramját! Számítsa ki a felügyeleti rendszer készenlétét (aszimptotikus rendelkezésre állását) a fenti adatokat felhasználva! Hány óra átlagosan a felügyeleti rendszer kiesése egy évben? BME-MIT 4.
Megoldás: Felügyeleti rendszer analízise Megbízhatósági blokkdiagram: Adatgyűjtő Vezérlő Felügyeleti szerver Adatgyűjtő Adatgyűjtő Vezérlő Naplózó szerver Hálózat Adatgyűjtő Vezérlő Felügyeleti szerver Komponens szintű készenlét értékek: K = MTTF / (MTTF+MTTR) Adatgyűjtő egység Vezérlő egység Felügyeleti szerver Naplózó szerver Hálózat MTTF 9000 12000 4500 2000 30000 MTTR 2 3 5 1 2 K KA=0,99977 KV=0,99975 KF=0,99889 KN=0,9995 KH=0,99993 Rendszerszintű készenlét: KA*KA*(1-(1-KA) 2 )*KV*(1-(1-KV) 2 )*(1-(1-KF) 2 )*KN*KH = 0,9987362 Ez kb. 11 óra kiesést jelent évente. BME-MIT 5.
Feladat: Hőmérséklet szabályozó analízise Egy hőmérséklet szabályzó komponensei egy fűtőszál, egy kapcsoló relé, egy mikrokontroller és két redundáns hőmérő (egy hőmérő meghibásodása esetén semmilyen értéket nem ad a mikrokontrollernek). Egy-egy komponens megbízhatósági jellemzői a következők: Fűtőszál Relé Mikrokontroller Hőmérő MTTF (óra) 25.000 40.000 30.000 10.000 MTTR (óra) 2 2 6 2 Rajzolja fel a hőmérséklet szabályzó megbízhatósági blokk diagramját! Adja meg képlettel, hogy a fenti jellemzők alapján hogyan számítható ki a hőmérséklet szabályzó készenléte (aszimptotikus rendelkezésre állása) amennyiben a hibás komponensek javítása mindig megtörténik! Elegendő a képletet felírni, a számítást nem kell elvégezni. BME-MIT 6.
Kombinatorikus megbízhatósági analízis (esettanulmány) BME-MIT 7.
A feladat Egy SCADA rendszer megbízhatósági analízise o Adatgyűjtő komponensek: Hardver modulok (kártyák) o Felügyeleti komponensek: Technológiai adatbázisszerver és operátori munkaállomások Hierarchikus számítások: Alulról felfelé o Kártya szint: Elektronikai komponensek Nem redundáns kialakítás o Hálózat szint: Hálózati eszközök és összeköttetések Redundáns hálózati összeköttetések o Felügyeleti szint: Szerverek és munkaállomások Redundáns szerverek Redundáns szerver komponensek (RAID) BME-MIT 8.
Az architektúra áttekintése BME-MIT 9.
Kártya szint: Kártyánként adott alkatrészlista Component name Type Additional data Quantity Panduit D1 Connector Rectangular 1 Panduit D2 Connector Rectangular 1 74AHCT14 IC-Digital Standard 3 74HC/HCT540 IC-Digital Standard 2 74HC/HCT541 IC-Digital Standard 3 PALCE16V8 IC-Digital PAL 1 HMA124 Optoelectronic Optocoupler 16 MB6S IC-Digital Standard 16 Resistor Resistor General purpose (RC) 32 Resistor Resistor Fixed, high dissipation film 32 Capacitor Capacitor Tantalum - solid electrolyte 17 Capacitor Capacitor Ceramic class II. 41 SMD led Optoelectronic Solid State Lamp 16 U22-DI016-C3 PWB 1 SOD80 BZV55C LF Diode Zener 64 BME-MIT 10.
Elektronikai komponensek megbízhatósági adatai MIL-HDBK-217 o The Military Handbook Reliability Prediction of Electronic Equipment Telcordia SR-332 o Reliability Prediction Procedure for Electronic Equipment IEC TR 62380 o Reliability Data Handbook - Universal Model for Reliability Prediction of Electronic Components, PCBs, and Equipment Ground; stationary; weather protected Ground; stationary; non weather protected Ground; non stationary; moderate Ground; non stationary; severe BME-MIT 11.
Példa eszköz: ALD MTBF Calculator BME-MIT 12.
Példa eszköz: ALD MTBF Calculator BME-MIT 13.
Hardver modul hibagyakorisága: Soros modell Component name IEC 62380 reference Type Additional data Fault rate Quantity Panduit D461612 Default value Connector Rectangular 0,003625 1 Panduit D461612 Default value Connector Rectangular 0,007200 1 74AHCT14 Substituted with - IC-Digital A kézikönyv Standard alapján 0,014200 3 SN74AHCT14D kikeresve 74HC/HCT540 Substituted with - IC-Digital Standard 0,019000 2 CD74HC540E (MTBF Calculator) 74HC/HCT541 Substituted with - SN74AHCT541DW IC-Digital Standard 0,014000 3 PALCE16V8 Exact matching IC-Digital PAL 0,036000 1 HMA124 Default value Optoelectronic Optocoupler 0,011600 16 MB6S Default value IC-Digital Standard 0,012700 16 Resistor Default value Resistor General purpose (RC) 0,000232 32 Resistor Default value Resistor Fixed, high dissipation film 0,001047 32 Capacitor Default value Capacitor Tantalum - solid 0,000725 17 Hogyan electrolyte történt Capacitor Default value Capacitor Ceramic class II. 0,000223 41 SMD led Default value Optoelectronic ennek kiszámítása? Solid State Lamp 0,002000 16 U22-DI016-C3 Default value PWB 0,003403 1 SOD80 BZV55C Default value LF Diode Zener 0,011500 64 Module fault rate: 1,392021 failure per million hours BME-MIT 14.
Élettartam számítások Milyen élettartam esetén használhatók ezek a konstans meghibásodási gyakoriságok? o Ütemezett karbantartás (csere) előírható ezután IEC 62380: Life expectancy Leginkább korlátoz: Elektrolit kondenzátorok (kiszáradás) o Hőmérsékletfüggő o Kezdeti bevizsgálástól is függ o 25 C esetén kb. 100 000 óra (~ 11 év) BME-MIT 15.
Feladat: Felügyeleti szint RBD konstrukció Készítsük el a megbízhatósági blokk diagramot a felügyeleti szint rendelkezésre állásának vizsgálatához! Magas szintű struktúra: Server block Operator workstation block Engineering workstation Network components A blokkok részletezése: o Szerver blokk: Két redundáns szerver egység (átkapcsolható melegtartalék) Egy szerver egység részei az alaplap, két diszk RAID-1 konfigurációban és egy DVD-RW egység o Operátori munkaállomás blokk: Két munkaállomást tartalmaz (melegtartalékolva) o Mérnöki (konfigurációs) munkaállomás: Nincs redundancia o Hálózati komponensek: Nincs redundancia BME-MIT 16.
Megoldás: Felügyeleti szint RBD konstrukció Server block Operator workstation block Engineering workstation Network components Server unit Operator workstation Server unit Operator workstation Disk Motherboard DVD-RW Disk BME-MIT 17.
Eszközök megbízhatósági analízishez Kombinatorikus megbízhatósági modellekhez o hibafa, o eseményfa, o megbízhatósági blokk diagram, o FME(C)A, és Markov-láncokhoz is: o Relex 2009 (www.relex.com) o Item Toolkit (www.itemuk.com) o RAM Commander (www.aldservice.com) o Functional Safety Suite BME-MIT 18.
Kiegészítő anyag: HAZOP BME-MIT 20.
Hazard and Operability Analysis (HAZOP) Veszély- és működőképesség analízis Hibaszótár használata o NO, NONE: nincs működés o MORE: több eredmény o LESS: kevesebb eredmény o AS WELL AS: más, nem tervezett aktivitás o PART OF: csak részben valósul meg o REVERSE: az előírtak ellenkezője történik o OTHER THAN: egészen más történik, mint az előírt Alkalmazás beágyazott rendszerekben: az információ áramlásának vizsgálata (pl. folyamatábra alapján) o Lehetséges eltérések azonosítása o Az eltérésekhez tartozó veszélyek azonosítása o Okok azonosítása, kiküszöbölése BME-MIT 21.
Kiegészítő anyag: Markov-láncok BME-MIT 22.
Ismétlés: Markov modellek CTMC: Continuous Time Markov Chain o Diszkrét állapotok o Állapotátmenetek o Állapotátmenet gyakoriság (folytonos idő modell) Analízis o Tranziens: Állapotok valószínűségi időfüggvénye o Állandósult: Állapotok valószínűsége (határérték) Megbízhatósági analízis o Rendelkezésre állás: Hibamentes (U) állapotpartícióban lévő állapotok valószínűségeinek összege BME-MIT 23.
Ismétlés: CTMC megbízhatósági modell CTMC állapotok o Rendszerszintű állapotok: A komponens állapotok (hibamentes, hibás adott hibamód szerint) kombinációi CTMC átmenetek o Komponens szintű meghibásodás: Az állapotátmenet gyakoriság a meghibásodási tényező ( ) o Komponens szintű javítás: Az állapotátmenet gyakoriság a komponens javítási tényező (, a javítási idő reciproka) OK Fail o Rendszer szintű javítás: Az állapotátmenet gyakoriság a rendszerállapot javítási tényezője (javítási idő reciproka) BME-MIT 24.
Példa: CTMC megbízhatósági modell Két szerverből (A, B) álló rendszer: o Bármelyik szerver meghibásodhat o A szerverek külön-külön vagy együtt is javíthatók Rendszerszintű állapotok: Szerverek állapotai (jó / hibás) alapján Állapotátmenetek és gyakoriságok: o Az A szerver meghibásodása: o A B szerver meghibásodása: o Egy szerver javítása: o Teljes rendszer javítása: A meghibásodási tényező B meghibásodási tényező 1 javítási tényező 2 javítási tényező U partíció A B jó 1 A,B jó 2 B 1 A jó B A Nincs jó D partíció BME-MIT 25.
Ismétlés: Rendszerszintű jellemzők számítása A modell megoldása: o Tranziens analízis: (s 0, s, t) időfüggvények o Állandósult állapotbeli analízis: (s 0, s) valószínűségek Állapotpartíciók kijelölése o Rendszerszintű hibamentes U illetve hibás D Rendelkezésre állás: Készenlét: Megbízhatóság: 0 a t s U ( s, s, t) o Itt: A modell megoldása előtt a modell módosítása: D-ből U-ba vezető állapotátmenetek törlése i K A ( s, s ) s U 0 r t s U i i i 0 ( s, s, t) i i BME-MIT 26.
Feladat: Egy 2oo2 architektúra analízise Két csatorna szükséges a biztonsági funkcióhoz o Komparátor használt a hibadetektálásra o A komparátor nem tökéletes: Hibafedés kisebb, mint 100% o Javítás különbözik, ha a hiba detektált, illetve ha nem detektált (pl. ekkor csak a felhasználó veszi észre) Paraméterek: o Csatorna 1 hibagyakoriság: o Csatorna 2 hibagyakoriság: 1*10-6 hiba/h 2*10-6 hiba/h o Komparátor hibafedése: 99% o Detektált hiba javítási gyakoriság: 0,25 1/h o Nem detektált hiba javítási gyakoriság: 0,10 1/h Számítsuk ki a következő jellemzőket: o Készenlét (aszimptotikus rendelkezésre állás) o Állandósult állapotbeli valószínűsége a detektált illetve nem detektált hibás állapotnak BME-MIT 32.
Megoldás: 2oo2 architektúra analízise DetectingFault RepairingDetected Fault Detected Csatorna 1 vagy Csatorna 2 hiba és a komparátor detektál OK NotDetectingFault RepairingUndetected Fault Undetected Csatorna 1 vagy Csatorna 2 hiba és a komparátor nem detektál Paraméterek: Csatorna 1 hibagyakoriság: 1*10-6 hiba/h Csatorna 2 hibagyakoriság: 2*10-6 hiba/h Komparátor hibafedése: 99% Detektált hiba javítása: 0.25 1/h Nem detektált hiba javítása: 0.1 1/h Gyakoriságok: DetectingFault: (1*10-6 + 2*10-6 )*0.99 = 2.97*10-6 1/h NotDetectingFault: (1*10-6 + 2*10-6 )* (1-0.99) = 3*10-8 1/h RepairingDetected: 0.25 1/h RepairingUndetected: 0.1 1/h BME-MIT 33.
Megoldás: 2oo2 architektúra analízise Hibás állapotok valószínűsége: 1.2*10-5 + 3.0*10-7 Készenlét (aszimptotikus rendelkezésre állás): 99.99877% BME-MIT 34.