REDUNDÁNS IRÁNYÍTÁSI STRUKTÚRÁK ÉS A BIZTONSÁG SÉRTHETETLENSÉG SZINT (SIL 2 ) KAPCSOLATA. Absztrakt



Hasonló dokumentumok
1002D STRUKTÚRÁJÚ, KRITIKUS ÜZEMBIZTONSÁGÚ RENDSZER (SCS 1 ) ELEMZÉSE DISZKRÉT-DISZKRÉT MARKOV MODELLEL

AZ APERIODIKUSAN ALKALMAZOTT KATONAI BERENDEZÉSEK ELLENŐRZŐ TESZTJEINEK HATÁSA A MEGBÍZHATÓSÁG ÁLLAPOTVEKTORRA

Biztosítóberendezések biztonságának értékelése

Autóipari beágyazott rendszerek. Kockázatelemzés

Irányítástechnikai alapok. Zalotay Péter főiskolai docens KKMF

A szolgáltatásbiztonság alapfogalmai

Járműinformatika A járműinformatikai fejlesztés

FMEA tréning OKTATÁSI SEGÉDLET

A minőség és a kockázat alapú gondolkodás kapcsolata

Szoftverminőségbiztosítás

Fejlesztés kockázati alapokon

biztonságkritikus rendszerek

A kockázatelemzés menete

24 V DC áramkörök biztosítása

Az irányítástechnika alapfogalmai Irányítástechnika MI BSc 1

Verifikáció és validáció Általános bevezető

A fejlesztési szabványok szerepe a szoftverellenőrzésben

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

WAGO PLC-vel vezérelt hő- és füstelvezetés

IEC Basic Engineering -től a Leszerelésig

Biztonsági kézikönyv. PFF-HM31A decentralizált biztonsági vezérlés MOVIPRO -hoz

Hadmérnöki Doktori Iskola

NESZVEDA JÓZSEF APERIODIKUS ALKALMAZÁSÚ KATONAI BERENDEZÉSEK MEGBÍZHATÓSÁGA

IRÁNYÍTÁSTECHNIKAI ALAPFOGALMAK, VEZÉRLŐBERENDEZÉSEK FEJLŐDÉSE, PLC-GENERÁCIÓK

Budapesti Mûszaki Fõiskola Rejtõ Sándor Könnyûipari Mérnöki Kar Médiatechnológiai Intézet Nyomdaipari Tanszék. Karbantartás-szervezés a nyomdaiparban

Dinamikus modellek szerkezete, SDG modellek

A gyártási rendszerek áttekintése

Biztonságkritikus rendszerek Gyakorlat: Architektúrák

X. ANALÓG JELEK ILLESZTÉSE DIGITÁLIS ESZKÖZÖKHÖZ

1. Generáció( ):

Transzformátor, Mérőtranszformátor Állapot Tényező szakértői rendszer Vörös Csaba Tarcsa Dániel Németh Bálint Csépes Gusztáv

Tisztelt Partnerünk! És hogy mikor lép hatályba, az (5) bekezdés vonatkozik rá:

1. Egy lineáris hálózatot mikor nevezhetünk rezisztív hálózatnak és mikor dinamikus hálózatnak?

Alapkapuk és alkalmazásaik

Megoldások a mintavizsga kérdések a VIMIAC04 tárgy ellenőrzési technikák részéhez kapcsolódóan (2017. május)

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

ISO A bevezetés néhány gyakorlati lépése

Új kompakt X20 vezérlő integrált I/O pontokkal

NUMERIKUS MODELL AZ IMET ESZKÖZÖK MEGBÍZHATÓSÁGI SZINTJÉNEK VIZSGÁLATÁRA

Hidak építése a minőségügy és az egészségügy között

IATF 16949:2016 szabvány fontos kapcsolódó kézikönyvei (5 Core Tools):

USB I/O kártya. 12 relés kimeneti csatornával, 8 digitális bemenettel (TTL) és 8 választható bemenettel, mely analóg illetve TTL módban használható.

A TESZTELÉS ALAPJAI MIÉRT SZÜKSÉGES A TESZTELÉS? MI A TESZTELÉS? ÁLTALÁNOS TESZTELÉSI ALAPELVEK

Karbantartási filozófiák. a karbantartás szervezetére és a folyamat teljes végrehajtására vonatkozó alapelvek rendszere.

Dr. Baradits György M:

Szoftverminőségbiztosítás

XI. DIGITÁLIS RENDSZEREK FIZIKAI MEGVALÓSÍTÁSÁNAK KÉRDÉSEI Ebben a fejezetben a digitális rendszerek analóg viselkedésével kapcsolatos témákat

ISO/DIS MILYEN VÁLTOZÁSOKRA SZÁMÍTHATUNK?

A közlekedés társadalmi költségei és azok általános és közlekedési módtól függő hazai sajátosságai

Szoftverminőségbiztosítás

Kockázat alapú karbantartás kialakítása a TPM rendszerben

Fejlesztés kockázati alapokon 2.

1. VDA és Ford ajánlások a hibaláncolatok pontozásához konstrukciós FMEA esetén

26. MINIMÁLIS KÖLTSÉGŰ UTAK MINDEN CSÚCSPÁRRA

Konferencia. robbanásbiztonság-technika haladóknak

MÉRŐERŐSÍTŐK EREDŐ FESZÜLTSÉGERŐSÍTÉSE

Az irányítástechnika alapfogalmai

ÁLLAPOTFÜGGŐ KARBANTARTÁST SEGÍTŐ INTEGRÁLT DIAGNOSZTIKAI RENDSZER. Dr. Nagy István, Kungl István. OKAMBIK Pécs, április

ÁGAZATI SZAKMAI ÉRETTSÉGI VIZSGA VILLAMOSIPAR ÉS ELEKTRONIKA ISMERETEK KÖZÉPSZINTŰ ÍRÁSBELI VIZSGA JAVÍTÁSI-ÉRTÉKELÉSI ÚTMUTATÓ A MINTAFELADATOKHOZ

A BIZTONSÁGINTEGRITÁS ÉS A BIZTONSÁGORIENTÁLT ALKALMAZÁSI FELTÉTELEK TELJESÍTÉSE A VASÚTI BIZTOSÍTÓBERENDEZÉSEK TERVEZÉSE ÉS LÉTREHOZÁSA SORÁN

Szoftver értékelés és karbantartás

Generátor gerjesztés kimaradási védelmi funkcióblokk leírása

I. A DIGITÁLIS ÁRAMKÖRÖK ELMÉLETI ALAPJAI

Biztonságkritikus rendszerek

Szoftver karbantartási lépések ellenőrzése

3., A gépek biztonsági követelményei és megfelelőségének tanúsítása

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

Szoftverminőségbiztosítás

Új felállás a MAVIR diagnosztika területén. VII. Szigetelésdiagnosztikai Konferencia 2007 Siófok

A HACCP rendszer fő részei

A Dräger PEX 1000 egy 4-20 ma távadó modul, amelyik a Dräger Polytron SE Ex DD szenzor fejek mv jeleit ma jelekké alakítja, és elküldi őket a

Áramkörök elmélete és számítása Elektromos és biológiai áramkörök. 3. heti gyakorlat anyaga. Összeállította:

(HL L 384., , 75. o.)

Előadó: Nagy István (A65)

Multi-20 modul. Felhasználói dokumentáció 1.1. Készítette: Parrag László. Jóváhagyta: Rubin Informatikai Zrt.

Programozható logikai vezérlő

Minőségmenedzsment (módszerek) BEDZSULA BÁLINT

Élettartam teszteknél alkalmazott programstruktúra egy váltóvezérlő példáján keresztül

korreferátum prof. Dr. Veress Gábor előadásához

Enabling and Capitalising of Urban Technologies

MÉRÉSI EREDMÉNYEK PONTOSSÁGA, A HIBASZÁMÍTÁS ELEMEI

3. Az univerzális szabályozó algoritmusai.

Modulzáró ellenőrző kérdések és feladatok (2)

MOTOR HAJTÁS Nagyfeszültségű megszakító

PCS100 UPS-I Ipari felhasználási célú UPS

Szoftverminőségbiztosítás

MUST Három fázisú Moduláris UPS. A moduláris UPS előnyei már mindenki számára elérhetőek

ECL Comfort 300 / V és 24 V váltóáramra

SZOLGÁLTATÁS BIZTOSÍTÁS

Megbízhatósági analízis

A HACCP minőségbiztosítási rendszer

KeyLock-2V Digitális kódzár 2 kimenettel

SIOUX-RELÉ. Sioux relé modul telepítési leírás Szerkesztés MACIE0191

Ellátási lánc optimalizálás P-gráf módszertan alkalmazásával mennyiségi és min ségi paraméterek gyelembevételével

Az üzemi méréstechnika hat szabálya

Irányításelmélet és technika II.

Járműinformatika Bevezetés

Szoftver-mérés. Szoftver metrikák. Szoftver mérés

INFORMATIKAI FELADATOK ÉS IR MŰKÖDTETÉS

Átírás:

Neszveda József REDUNDÁNS IRÁNYÍTÁSI STRUKTÚRÁK ÉS IZTONSÁG SÉRTHETETLENSÉG SZINT (SIL ) KPCSOLT bsztrakt biztonság sérthetetlenségi szint meghatározásához szükséges fogalmak rövid áttekintése. z alapfolyamat irányítás és a vész-, védelmi rendszer be integrálásának előnyei és problémáinak tárgyalása. légvédelmi rakéták rátöltési technológiájának besorolása. hiba típusok osztályozása, és a redundancia hatása a kezelhető és a veszélyes hibára. Markov modell és a közelítő enletek kapcsolata. üzembiztosra tervezett integrált rendszer biztonság sérthetetlenség szint alapján történő redundáns struktúra választásának esettanulmánya. The short overview the terms needed the determination of the safety integrity level. Discuss the advantages and the disadvantages of the integration of the basic process and the safety process. Classification of applying for blastoff technologies of air protection missile. Partition of type of the failure rate and how the redundancy work on the safe and the dangerous failures. Connection between the Markov model and the simplified equitation. Case study for choosing redundant structure of safety related system. Kulcsszavak: SIL, biztonság sérthetetlenség szint, közelítő enletek, redundáns struktúra. evezetés vész-, védelmi rendszerek komplexitásának növekedése miatt vált szükségessé a biztonság sérthetetlenség szintjeinek a kialakítása és a szintek meghatározási módszereinek szabványba foglalása. 80-as évek közepéig a vész-, védelmi rendszerek jellemzően szerű vezérlési láncokból álltak, és a vezérlési láncok mástól és az alapfolyamat irányítását végző rendszertől fizikailag is elkülönülten működtek. mikroprocesszor alapú eszközök látványos terjedése az automatizálásban új helyzetet teremtett. z alapfolyamatok automatizált berendezései, amelyek jellemzően a kezelőszemélyzet által voltak összehangolva integrált irányítási rendszerré váltak. z integrált rendszerek megfelelően megtervezve növelik az élőmunka, az anyag és energia hatékonyságot, valamint lehetővé teszik a folyamatos minőség ellenőrzés. kedvező hatások éppen a teljes irányítási rendszer komplexitásának növekedéséből fakadnak. Mellékhatásként, már csak költséghatékony tervezési és telepítési megfontolásokból is, a vész-, védelmi rendszerekben is megjelentek a mikroprocesszor alapú eszközök, és ezáltal növekedett a komplexitásúk. komplexitás növekedésnek pozitív vonzata, hogy megfelelő tervezéssel csökkenthető az irányított technológia teljes vagy részleges leállásának gyakorisága, azonban új hibaforrások (szoftver, nem várt kölcsönhatás, stb.) is keletkeznek. főiskolai docens, irányítástechnikai szakmérnök, MF KVK Műszeripari és utomatizálási Intézet, Neszveda.jozsef@bmf.kvk.hu SIL: Safety Integrity Level 86

z angol HSE 3, amely több magyar főhatóság (Országos Katasztrófavédelmi Főigazgatóság, Országos Munkaügyi és Munkabiztonsági Főfelügyelőség, Állami népegészségügyi és Tisztiorvosi Szolgálat) jogosítványával rendelkezik, 34 súlyos, különböző iparágakban bekövetkezett baleset okait elemezve tette közé [] az. táblázatot.. táblázat: z ipari balesetek okai Specifikáció (Mit és hogyan ten az irányítási rendszer) 44% Üzembe-helyezés utáni változtatás 0% Tervezés 5% Működtetés és karbantartás 5% Telepítés és üzembe-helyezés 6% z. táblázat jól szemlélteti, hogy a súlyos balesetek háromnede elkerülhető, ha a mérnökök rendelkezésére áll konzekvens a hibaforrásokat feltáró, kockázatot elemző és számszerűsítő eljárás. Elkerülendő az állami szabályozást, az angol mondás z előírás az ostobák, az ajánlás a bölcsek részére készül tanácsát követve, a szabványosítással foglalkozó nemzetközi szervezet, az iparági és nemzeti szervezetekkel üttműködve a 90-es évek végétől folyamatosan teszi közé a mikroprocesszor alapú eszközök lehetőségeit figyelembe vevő a vész-, védelmi rendszerekre vonatkozó ajánlásait ajánlásait. nemzetközi szabvány nem írja felül az iparági és a nemzeti szabványokat, de erős kölcsönhatás van közöttük. Minél kisebb ország, annál inkább csak a nemzetközi szabványokat honosítja. biztonság sérthetetlenség szint (SIL) meghatározásához szükséges fogalmak z általános minden iparágra érvényes IEC 6508 szabványcsomag vezette be a megkülönböztetést az alacsony és a magas működtetés igényű 4 üzemmód között. lacsony működtetés igényű [] üzemmód: hol a működtetési igény gyakorisága nem nagyobb, mint évente, illetve nem nagyobb, mint az ellenőrző tesztek közötti idő kétszerese években mérve per év Magas vagy folyamatos működtetés igényű [] üzemmód: hol a működtetési igény gyakorisága nagyobb, mint évente, illetve nagyobb, mint az ellenőrző tesztek közötti idő kétszerese években mérve per év λ. ábra hibaarány változása (átlagos hibavalószínűség) az életciklus alatt t 3 HSE: Health and Safety Executive 4 Low and High Demand Mode 87

z üzembiztos működés szempontjából az a működtetési igény hibás végrehajtásának a valószínűsége a fontos. Ezt szokás hibaaránynak is nevezni, és általában a görög λ betűvel jelölik. z. ábra mutatja a hibaarány változását az eszköz, a vezérlési lánc, vagy a vész-, védelmi rendszer életciklusa alatt. z. ábra baloldala a hibás alkatrészek és az első üzembe-helyezéskor előforduló túlterhelések, a jobb oldala az anyagfáradás miatt magasabb. Feltételezve a megfelelő próbaüzemet, illetve felújítást elegendő a közbenső értékkel számolni. λ dimenziója hibavalószínűség per év, vagy per óra. cikkben a továbbiakban csak az év dimenziót használjuk. hétköznapi gondolkodásnak különösen az alacsony működtetés igényű üzemmódú rendszerek esetén - jobban megfelel az /λ. Ennek MTF 5 (hibák közötti átlagos idő) az elnevezése. z alacsony és a magas működtetés igényű üzemmódhoz rendelt átlagos hibavalószínűség eltérő dimenziójú és értékű. [] megadja az alsó határértékeket. z alacsony működtetés igényű üzemmódban a megtervezett működés hibás végrehajtásának átlagos valószínűsége nem lehet kisebb, mint 0-5. Ez más szavakkal azt jelenti, hogy 00,000 működés közül legalább hibás. Figyelembe véve, hogy az alacsony működtetés igényű rendszerhez tartozik ez a limit, mondhatjuk azt is, hogy százezer évente legalább hiba előfordul. magas vagy folyamatos működtetés igényű üzemmódban a veszélyes hiba átlagos valószínűsége nem lehet kisebb, mint 0-9 /óra. mi azt jelenti, hogy 000,000,000 óra, vagyis nagyjából százezer év alatt legalább hiba előfordul. (Egy év 8760 óra.) Minél komplexebb rendszer, annál jobban képes elkerülni a teljes leállást. Ennek megfelelően hibák feloszthatók kezelhető és veszélyes hibákra. [] definíciója: kezelhető hiba 6 nem teszi szükségessé a vész-, védelmi rendszer azonnali működtetését. veszélyes hiba 7 szükségessé teszi a vész-, védelmi rendszer azonnali működtetését. Természetesen, hogy hiba kezelhető-e, vagy veszélyes az függ a hardver kialakítástól. hibák másik csoportosítás szerint - mivel a hibák része felszínre kerül az ellenőrző tesztekkor, programozható eszközök esetén a diagnosztizáláskor, vagy karbantartáskor - lehetnek detektáltak és nem detektáltak. z ellenőrző teszt és a diagnosztizálás működésközben is végezhető. biztonság sérthetetlenség (SIL) definíciója ugyancsak a [] szerint: z E/E/PE 8 vész-, védelmi rendszerhez rendelt biztonsági műveletek sérthetetlenség igényének 4 diszkrét szintje van (től négyig). 4 a legmagasabb, az a legalacsonyabb biztonság sérthetetlenségi szint. [] két táblázatban adja meg az üzemmódokhoz tartozó SIL értékeket, amit a. táblázat ben tartalmazz. SIL. táblázat: biztonság sérthetetlenségi szintekhez tartozó hibavalószínűségek lacsony működés igényű üzemmód z átlagos hibavalószínűség tervezett működtetés végrehajtásakor. Magas vagy folyamatos működés igényű üzemmód z óránként veszélyes hibák valószínűsége. 4 0-5 λ 0-4 0-9 λ 0-8 3 0-4 λ 0-3 0-8 λ 0-7 0-3 λ 0-0 -7 λ 0-6 0 - λ 0-0 -6 λ 0-5 5 Mean Time etween Failure 6 Safe failure 7 Dangerous failure 8 Elektromos / Elektronikus / Programozható elektronikus 88

Vannak technológiák, amelyek évente csak -két napon át üzemelnek, ilyenkor azonban nagyon megbízhatóan kell működniük. speciális katalizátor anyagot előállító vipari reaktort szokás példaképpen felhozni. mikor ilyen rendszer működik, akkor az alapfolyamatainak az irányítása a folyamatos működtetés igényű üzemmódba tartoznak. zonban részt a. táblázat közvetve az 5. megjzésben feltételezi, hogy a magas vagy folyamatos működtetés igényű technológia berendezései szinte folyamatosan üzemkész állapotban vannak, és az ilyen technológiákban tipikusan nem ez a helyzet. Másrészt az. ábra mutatja, hogy üzembe-helyezéskor, és a hosszú üzemen kívüli állapot utáni újraindítás ennek felel meg, megnő a hibaarány.. táblázat 5. megjzése []: magas vagy folyamatos működtetés igényű technológia hibavalószínűségét osztani kell az üzemkész állapot per év viszonyszámmal. Ezekben a rendszerekben ez a viszonyszám jóval kisebb, mint, ami a λ értékét növeli és így a SIL besorolást csökkenti. Ezért számos szakértő azt javasolja, hogy az ilyen rendszerek alapfolyamatainak az irányítását is a költségesebb, de üzembiztos működést biztosító, a vész-, védelmi rendszerekre kidolgozott módszerekkel tervezzék meg. szerző véleménye szerint ezen típusú technológiák közé tartozik számos katonai technológia, köztük a felkészített rakéták rátöltési folyamata is, és osztja azon szakértők álláspontját, akik az üzembiztos tervezési technikákat javasolják ezen esetekben. Integrálva vagy elkülönítve 90-es évek közepéig a szabványok kategorikusan az alapfolyamat irányítás, és a vész-, védelmi rendszer fizikai szétválasztását írták elő. Manapság, amikor az alapfolyamat irányítása, és a vész-, védelmi rendszer kialakítása jórész programozható eszközökkel történik, és az eszközök re megbízhatóbbak, valamint képesek, akár többszörös redundáns működésre számos szakértő felveti a két rendszer integrálhatóságát. z irányítási rendszerek független működésének hasznát a. ábra is jól szemlélteti. ang! Vész-, védelmi rendszer larm és kezelői beavatkozások lapfolyamat irányítás Kiváltó ok. ábra baleset kialakulása Ha a baleset kialakulásának megelőzésére szolgáló felületek tömörek, és mástól függetlenek, akkor nem alakulna ki baleset. Sajnos a felületen lyukak vannak, mert az alapfolyamat technológiai, és/vagy gépészeti és/vagy irányítástechnikai tervezésekor elkerülte a figyelmet néhány kölcsönhatás és/vagy határérték, vagy mert a kezelő téveszt és/vagy ignorálja az alarmjelzést, vagy mert a vész-, védelmi rendszer valamely eleme meghibásodott 89

és/vagy karbantartás állapotban van. lyukak dinamikusan vándorolnak, mert mindig keletkezik új. z IEC 6508 előírása: z EUC 9 (irányított berendezés) irányító rendszere el fog különülni és független az E/E/PE vész-, védelmi rendszertől, más technológiák vész-, védelmi rendszertől, és a külső kockázat csökkentő megoldásoktól. Ez engedékenyebb, mert többféleképp értelmezhető az elkülönülés. szabvány más pontjai azonban előírják, hogy a vész-, védelmi rendszer érzékelői és a programozható irányító berendezése len fizikailag is független. De például információ szolgáltatás, ha az nem befolyásolja a vész-, védelmi rendszer működését, történhet az alapfolyamat irányítással közös hálózaton. z alapfolyamat irányítás aktív, ezért a rejtett hibák hamar kiderülnek. kezelő személyzet hamar észleli, ha a berendezés nem megfelelően működik és gyorsan korrigál, elkerülve a nagyobb bajt. vész-, védelmi rendszer passzív. Szerencsés esetben a kezelő személyzet sohasem látja működés közben, és így tapasztalatot sem szerez, nem veszi észre a baljós előjeleket. Csak az intenzív teszt és karbantartás biztosítja, hogy az eszközök, ha szükséges, akkor működni fognak. Sajnos ezek a műveletek is lehetnek hibaforrások. másik lehetőség, hogy tervezéssel üzembiztos 0 rendszert alakítanak ki. z olyan technológiákban a repülőgép a szokásos példa -, ahol az alapfolyamat legkisebb hibája is végzetes lehet, az előzőektől eltérően be integrálva, és az alapfolyamatokra is az üzembiztos tervezési eljárásokat alkalmazva kel az irányító rendszert kialakítani. z cikk szerzője az előkészített légvédelmi rakéták rátöltés technológiáját az ilyen speciális üzembiztos tervezésen alapuló automatikus rendszerrel javasolja megvalósítani. redundancia és a hibavalószínűség kapcsolata. [3] szerzőpárosa annak a tételnek a szemléltetésére, hogy a nem, mindig több, mint az, és a három nem mindig jobb, mint a azt javasolja, hogy reprezentálja a kezelhető hiba vezérlési láncát bontó és a hiba bekövetkezését az áramkör szakadása, a veszélyes hiba vezérlési láncát záró érintkező és hiba bekövetkezését az áramkör vezetése. Ha így vizsgáljuk a nem redundáns és a különböző redundáns rendszerekben hogyan változik a hibavalószínűség, hogy a különböző hibafajták eltérően viselkednek struktúraváltáskor. 3. táblázat: redundancia hatása a hiba gyakoriságra 00 00 00 Kezelhető hiba λ E λ 0,0 MTTF/ λ E 50 év λ E λ +λ 0,04 MTTF/ λ E 5 év λ E λ *λ 0,0004 MTTF/ λ E 500 év Veszélyes hiba λ E λ 0,0 MTTF/ λ E 50 év λ E λ *λ 0,0004 MTTF/ λ E 500 év λ E λ +λ 0,04 MTTF/ λ E 5 év 9 Equipment Under Control 0 szabvány által előírt eljárások végrehajtása összességében vezet ilyen rendszerhez. 90

300 három C C λ E λ *λ +λ *λ +λ *λ 0,00 MTTF/ λ E 833 év C C λ E λ *λ +λ *λ +λ *λ 0,00 MTTF/ λ E 833 év cikk szerzője a 3. táblázatban, szerű számpélda segítségével, szemlélteti a fenti igazságot. könnyű összehasonlíthatóság érdekében a kezelhető és a veszélyes hiba valószínűsége λ 0,0 len. z MTTF /λ 50 év. 80-as évek negatív tapasztalatai hatására indított, főleg a Markov modellel végzett és a 90-es évek elején publikált kutatások eredménye, hogy a hibafajták eltérően viselkednek a különböző redundáns struktúrákban, és hogy a háromszoros redundancia nem minden szempontból jobb, mint a kétszeres. 3. táblázat ezen kutatási eredményeknek csak szellemes prezentációja. 00 struktúra a legkedvezőbb a veszélyes hibák szempontjából, viszont kényelmetlen, hogy a különben kezelhető hibák rendkívül gyakran okozzák a technológia teljes vagy részleges kiesését. Ez huzalozott rendszerekben megkerülhetetlenül így volt. programozható eszközök azonban képesek üzemközben diagnosztikára. Ha tudom, hogy a redundáns vezérlési lánc ik ága azért, mert valamelyik eleme hibás, akkor mint 00 struktúra tovább működtethető. Ha elegendően gyorsan elhárítják a hibát, vagyis csekély a valószínűsége, hogy azért zen, mert mindkét láncban van hibás elem, akkor a kezelhető hiba szempontjából a 00 struktúrához közelít. Ezért hitelesítő intézetek kiadnak SIL tanúsítványt az úgynevezett 00D ( a ből diagnosztizálással) rendszerekre. Egyedi rendszerekre elvégezhető a SIL analízis az 00D rendszerek esetén, azonban az elméleti kutatások ez idáig nem tudtak megalapozni olyan általánosítható szabályrendszer, aminek könnyen ellenőrizhető mechanikus végrehajtása megadná a kezelhető hiba valószínűségét. Ez támadási felület az ilyen rendszerekkel szemben. z cikk szerzője az előkészített légvédelmi rakéták rátöltés technológiájának irányító rendszerének edi SIL elemzésen alapuló redundáns 00D struktúrát javasolja. Markov modell és az szerűsített enletek Markov modell gráf, amellyel számszerűsítve elemezhető, hogy hogyan kerül rendszer hibás állapotba. rendszer állapotai a gráf - csomópontja. csomópontokat összekötő élek a hibagyakorisággal, vagy a karbantartás gyakoriságával vannak súlyozva. gráf megkonstruálásához a rendszer állapotait, a hibagyakoriságot, a nem detektált hibák arányát ismerni kell. gráf modell jól alkalmazható komplex több bemenetű, több kimenetű rendszerek esetén, és a gráf modell írja le a legjobban a redundáns rendszereket. 3. ábra példaképp viszonylag szerű rendszer Markov modelljét ábrázolja. 9

λ 00 λ 0. λ γ.0 Kezelhető hiba okozta leállás λ 0 λ. λ 0 Kiindulási állapot.0. γ λ 330 30 λ 03 λ 0.3 λ γ 3. λ 3 λ 330 λ 30 Veszélyes hiba okozta leállás 3.0 λ 030 3. ábra Minta Markov modell gráf alapján felírhatók mátrix enletek. Összetett esetekben a mátrix enletek felírása és megoldása komoly szaktudást igényel. z összetett esetek szerű megoldására számos szerűsítést dolgoztak ki az elmúlt évtizedben. z ik legnépszerűbb a [4] által publikált szerűsített enleteknek nevezett formulák. z szerűsített enletek a kezelhető hibákra az MTTF sp (közelítő átlagos idő a hibáig) értéket adja meg. Ebben a képletben az /λ kezelhető értékkel kell számolni. veszélyes hibákra a PFD (hibavalószínűség működtetési igénykor) értéket adja meg, aminek két összetevője van PFD PFD avg + PFD test. nem detektált veszélyes hibák valószínűségét a PFD avg adja meg, aminek a képletében a λ nem_detektált_veszélyes értékkel kell számolni. Redundáns rendszerekben a javítás, vagy a kézi teszt alatt, a működő ágban a detektált hiba is veszélyes. Ezt az összetevő PFD test, aminek a képletében a λ veszélyes értékkel kell számolni. közelítő enletek a detektált, veszélyes hiba összetevő PFD érték kiszámítási képletét is megadják, ez azonban több nagyságrenddel kisebb értéket ad, mint a nem detektált összetevő, ezért elhanyagolható. 4. táblázatban, a [4] vezérlési láncra érvényes alap formuláit és kiegészítő megjzéseit, a cikk szerzője, beszerkesztette és kiegészítette a kezelhető (s), és a veszélyes (d), valamint a nem detektált (u) hibaarány faktorokkal. Továbbá az eszközök számával (k). 4. táblázat: kiegészített szerűsített enletek 00 00 Kezelhető hiba Nem detektált veszélyes hiba Veszélyes hiba javítás/teszt közben MTTF sp PFD avg PFD test λ d u k TI TD λ s k TI MTTF sp λ s k PFD avg ( λ duk) 3 TI PFD test TD λ d( TI + MTTR) TI Probability of Failure on Demand 9

00 300 három MTTF sp ( λsk) MTTR MTTF sp 6 ( λsk) MTTR Igaz, ha: >> λ MTTR PFD avg λ d u k TI PFD avg ( λduk) TI Igaz, ha: MTR >> TI PFD test PFD test TD TI 6 TD λ d( TI + MTTR) TI Igaz, ha üzemel a rendszer az ik redundánság tesztje, vagy javítása közben. z szerűsített enletekben szereplő további paraméterek: z MTTR (a javítás átlagos ideje) évre vonatkoztatva. Ha az átlagos javítás 30 órányi időt igényel, akkor az MTTR 30/8760 0,0034. TI 3 (a manuális tesztek közötti idő) évre vonatkoztatva. Ha a tesztek között átlagosan hat hónap van, akkor TI 6/ 0,5. TD 4 (a teszt időtartama) évre vonatkoztatva. Ha a tesztek átlagosan 0 órát vesznek igénybe, akkor TD 0/8760 0,00. 4. táblázat eredményeinek értékelésekor, a hétköznapi gondolkodásmód számára jobban megfelel az RRF 5 (kockázat csökkentő tényező) használata, ami az /PDF és idő dimenziójú. 4. táblázat képleteinek használatakor a rendszer minden elemére (érzékelők, irányító berendezés, beavatkozók), és a rendszer kölcsönhatásaira el kell végezni a veszélyforrás és kockázat elemzést 6, és ez alapján lehet meghatározni a rendszer hibaállapotait, a hibaarány faktorokat. Ez természetesen iteratív művelet. Először a vész-, védelmi funkciók védelmi felületekhez (. ábra) rendelését kell megtenni, amelyet a vezérlő berendezés struktúrájának megválasztása követ, amihez elegendő nagyságrendileg ismerni a vezérlő berendezés be és kimeneteinek számát, és nagyságrendileg megbecsülni a kezelhető, a veszélyes, és a nem detektált hibaarányokat. Esettanulmány z előkészített légvédelmi rakéták rátöltés technológiájának irányító rendszer struktúra választáshoz feltételezzük, hogy 4 bemenete és 6 kimenete van a vezérlő berendezésnek, és 5 bemenet jele közvetlen veszélyt. z irányítási algoritmus 5 vezérlési lánccal megvalósítható, amelyből 0 tartozik a veszélyes jelek kezeléséhez. tápellátást, ami külön vizsgálatot igényel, az esttanulmány nem tárgyalja. Huzalozott relés rendszer. Feltételezzük, hogy a huzalozott rendszerben minden be-, és kimenet - ipari logikai relét igényel, és így k30, a veszélyes jeleket kezelő bemenetek száma 5. Huzalozott rendszerben veszélyes a hiba, ha kimenet vagy közvetlen veszélyt jelző bemenet reléje nem húz meg, így mivel 6 kimenet és 5 közvetlen veszélyt jelző bemenet van így k d. z ipari relék átlagos meghibásodási ideje 00 év, azaz MTF00 és λ0,0. veszélyes hibaarány becsülhető. 30 reléből veszélyes hibához tartozik. kezelhető hibák vezérlési láncai általában több kontaktust tartalmaznak. Vagyis *9+49 hibaforrást Mean Time To Repair 3 Test Interval 4 Test Duration 5 Risk Reduction Factor 6 Hazard and Risk analyses 93

feltételezve: d/490, és s0,78. rendszer nem redundáns, így 00 struktúrájú, nincs működés közbeni diagnosztikája, vagyis u (nem kell a képletben figyelembe venni) és PFD test 0. Feltételezzük továbbá, hogy félévente ellenőrzik a rendszert manuális teszttel, és így TI0,5. 4. táblázat alapján: (z eredmény két értékes jre kerekítve.) MTTF sp 4,3[ év] s k 0,0 0,78 30 λ λ d kd TI 0,0 0, 0,5 PFDavg 0,00605 RRF 66[ év] () PFDavg 0,00605 z () enlet azt mutatja, hogy a huzalozott rendszer veszélyes hibákra a. táblázat szerint SIL. kezelhető hibák bántóan gyakran okoznak felesleges, kellemetlen helyzetet, a. táblázat szerint SIL. Nem redundáns PLC. Feltételezzük, hogy CPU, két bemeneti és kimeneti kártya szükséges, és így k IO 3. k CPU, vagyis nem kell a képletben figyelembe venni. CPU átlagos meghibásodási ideje 0 év, vagyis MTF CPU 0 és λ CPU 0,. z I/O kártyák átlagos meghibásodási ideje 50 év, vagyis MTF IO 50 és λ IO 0,0. Minthogy a logikát program valósítja meg a CPU veszélyes hibáinak aránya a veszélyes hibákat kezelő létraágak számából becsülhető (0/5), így d CPU 0,4 és s CPU 0,6. z I/O veszélyes hibáinak aránya a veszélyes hibákat kezelő bemenetek, és az összes kimenet összegéből (/30) becsülhető, vagyis d IO 0,37 és s IO 0,63. rendszer nem redundáns, így 00 struktúrájú, és így PFD test 0. PLC működés közbeni diagnosztikáját csak részben tudjuk kihasználni, vagyis u CPU 0, (a diagnosztikai lefedettség 7 90%) és u IO 0,5. rendszert évente ellenőrzik manuális teszttel, és így TI. sp MTTF 0[ év] λcpu scpu + λio sio kio 0, 0,6 + 0,0 0,63 3 ( λcpu dcpu ucpu + λio dio uio kio) TI PFDavg 0, 0,4 0, + 0,0 0,37 0,5 3 0,05 RRF 66[ év] () PFDavg 0,05 Nem meglepő, hogy a kezelhető hibák okozta kellemetlenségek előfordulása csökken, azonban a veszélyes hibák előfordulása nő. Redundáns PLC. Minthogy a 003 struktúra nagyon drága, próbálkozunk az 00D struktúrával. párhuzamos ágakban - CPU, két-két bemeneti és - kimeneti kártya szükséges. 3. és a 4. táblázat képleteit összevetve, vük észre, hogy a nedik táblázatban a λ, s, d, u, k tényezőket csatornára kell megadni, és így k IO 3 és k CPU. CPU átlagos meghibásodási ideje 0 év, vagyis MTF CPU 0 és λ CPU 0,. z I/O kártyák átlagos meghibásodási ideje 50 év, vagyis MTF IO 50 és λ IO 0,0. Minthogy a logikát program valósítja meg a CPU veszélyes hibáinak aránya a veszélyes hibákat kezelő létraágak számából becsülhető (0/5), így d CPU 0,4 és s CPU 0,6. z I/O veszélyes hibáinak aránya a veszélyes hibákat kezelő bemenetek, és az összes kimenet összegéből (/30) becsülhető, vagyis d IO 0,37 és s IO 0,63. rendszer redundáns, vagyis PFD test értékével is számolni kell. 7 Diagnostic coverage 94

Tételezzük fel, hogy a hiba elhárításához óra szükséges, az esetünkben azonban a tényleges működés 5 nap, így (/0) TD0,07. Manuális teszt évente van így TI. PLC diagnosztikai lefedettsége 99,5%, az I/O kártyáké 90%, vagyis u CPU 0,005 és u IO 0,. 4. táblázat kezelhető hiba képlete nem tartalmazza a diagnosztikai lefedettséget, pedig nyilvánvaló: ha a csatorna azért, mert valamelyik eleme hibás, attól még a rendszer működhet, mint 00 struktúrájú. Ez nyilván alsó határ, hisz a rendszer nagyobb részt nem 00 struktúrájú. zt, hogy szerre detektálunk hibát mindkét ágban, annak a valószínűsége λ, ennek használata azonban nem veszi figyelembe, hogy 00 struktúrájúként is működik, és a diagnosztikai lefedettséget nem. cikk keretében nem indokolva, a szerző az alábbi hibagyakoriság érték használatát javasolja a becsléshez: λ λk + TD TD λ (3) (3) képlettel λ kcpu 0,087 és λ kio 0,00 sp MTTF 90[ év] ( λkcpu scpu + λkio sio kio) (0,087 0,6 + 0,00 0,63 3) (4) ( λcpu dcpuucpu k + λiod IOuIOkIO) TI PFDavg 3 (5) (0, 0,4 0,005 + 0,0 0,37 0, 3) 6 0 3 karbantartó javítás len nap, ebből MTTR /365 0,00548 következne. Estünkben a karbantartó javítást célszerű üzemen kívüli időpontban elvégezni, ezért MTTR0. TD λ d( TI + MTTR) PFDtest TD λ d TD ( λcpu dcpu + λio d IO) TI 0,07(0, 0,4 + 0,0 0,37) 0,0008 (6) z eredő PFD PFD avg +PFD test 0,00000+0,00080,0008. RRF /PFD 00 év. z eredmény kielégítő, a kezelhető hibára jó SIL, a veszélyes hibára SIL3 értéket ad. 95

Irodalomjzék. U.K. Health and Safety Executive. Out of Control: Why control systems go wrong and how prevent failure., 995. IEC 6508. Functional safety of Electrical/Electronic/Programmable electronic Safety- Related Systems, 998 3. Grun, Paul. Cheddie, Harry L. Safety Instrumented Systems: Design, nalysis and Justifications IS, 006 4. Smith, David J. Reliability, Maintainability, and Risk: Practical Methods for Engineers. 6 th edition. utterworth-heinemann, 00 96

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés