II. Évfolyam 3. szám - 2007. szeptember

ARCHÍV

Forgon Miklós1 - Neszveda József2

1002D STRUKTÚRÁJÚ, KRITIKUS ÜZEMBIZTONSÁGÚ RENDSZER (SCS3)
ELEMZÉSE DISZKRÉT-DISZKRÉT MARKOV MODELLEL

Absztrakt

Összehasonlítva az alap és a vész, védelmi irányítás jellemzőit, a cikk az integrált vész, védelmi rendszerek tervezési eljárását javasolja a légvédelmi rakéták ráemelési technológiájának alap irányítására is, mivel a légvédelmi rakéták ráemelési technológiája a kritikus üzembiztonságú irányításokhoz sorolható. Hogyan módosítja a rendszeres ellenőrzés (meleg teszt és javítás) a biztonság sérthetetlenség szintet (SIL4), feltételezve, hogy a légvédelmi rakéták ráemelési technológiájának irányítási rendszere 1002D struktúrájú.

Comparing the performance of the basic process and the safety process this article suggest the SIS design method for the basic process of blastoff technologies of air protection missile too, because the blastoff technologies of air protection missile can be classifiable the Safety Critical Control. How the periodic inspection (warm test and repair) can modify the Safety Integrity Level, assuming that control system of the blastoff technologies of air protection missile uses a 1002D structure.

Kulcsszavak: redundáns struktúra, Markov modell ~ redundant structure, Markov model

 

BEVEZETÉS

A folytonos technológiai irányításokban, az alap technológiai műveletek (BPCS5), és a vész, védelmi rendszer (SIS6) hardveresen és szoftveresen elkülönített két irányítási rendszer. Az elkülönülés okát jól magyarázza a hibás üzemmódokat felsoroló az [1] szakirodalomból átvett 1. táblázat. Ugyancsak indokolja az elkülönítést, hogy amíg az alapirányításban a hibajelenséget a kezelőszemélyzet szinte azonnal észleli, addig a vész, védelmi rendszerek hónapokig, vagy jó esetben akár több évig nem hajtanak végre műveletet. Mekkora a valószínűsége annak, hogy amikor szükséges, akkor a végrehajtó eszköz (a légvédelmi rakéták ráemelési technológiájában a hidraulikus szelep és munkahenger) ténylegesen működni fog? Hogy erre a fontos kérdésre a szakhatóságok számára ellenőrizhető választ lehessen adni kidolgozták az IEC 61508 szabványt [2], ami definiálja az alapfogalmakat és bevezeti a biztonság sérthetetlenség szint (SIL) mérőszámot. A definíciók közül a téma szempontjából fontosakat, valamint a SIL mérőszám értelmezését eszközökre, és ezen eszközökből épített redundáns rendszerekre az előző cikkemben [3] már tárgyaltam.

1. táblázat Hibás üzemmódok

A veszély csökkentésére az IEC61511 szabvány az üzembiztonság életciklus7 eljárástechnikáját javasolja, amelynek összefoglaló ábrája a [4] szabványból átvéve az 1. ábrán látható.

1. ábra:
Üzembiztonság életciklus diagram

Az IEC61511 szabvány az 1. ábra minden szövegdobozához az 1. ábrához hasonló alrendszert rendel. Például a módosításokat, a teljes rendszerhez hasonlóan, analízis előzi meg, vagy hogy a karbantartást tervezetten, a megbízhatóság sérthetetlenségi szint fenntarthatósága mellett kell végezni.

A folytonos technológiai irányításokban a vész, védelmi rendszer biztonságosan energia mentesíti a technológiát (shutdown), és az alap irányítási rendszer hibáját a kezelő személyzet számos esetben kiküszöbölheti, még mielőtt a vész, védelmi rendszer működésbe lépne. A vész, védelmi rendszer hamis működtetése, bár gazdaságilag káros, de nem veszélyes. Veszélyt a lassú működtetés, vagy a működtetéskor fellépő hiba jelent, amit leggyakrabban az okozhat, hogy a hosszú várakozási idő alatt rejtve marad valamely alkatrész, eszköz meghibásodása.

Vannak olyan rendszerek, amelyekben az alapirányításban fellépő legcsekélyebb hiba is veszélyhelyzetet jelent. A tízezer méteren repülő utasszállító repülőgép a legkedveltebb példa. Ezeket hívják kritikus üzembiztonságú (SCS) rendszereknek. A kritikus üzembiztonságú rendszerekben a vész, védelem hamis működése is veszélyes hiba. A légvédelmi rakéták ráemelési technológiáját a működtetés gyakorisága, és a működtetéskor megkövetelt igen nagy üzembiztonság okán célszerű a kritikus üzembiztonságú rendszerek közé sorolni. A kritikus üzembiztonságú rendszerekben az alap és a vész-, védelmi irányítást egybeintegrálva nagyon-nagy üzembiztonságúra kell tervezni.

A Markov modell

A Markov modellben egy eszköz, vagy alrendszer, illetve a teljes rendszer működése egymást követő állapotok sorozatából áll, amelyek között az átmenetet valószínűségi változó írja le. Megbízhatóság vizsgálat csak néhány diszkrét állapotot (hibátlan, rejtett hibával, detektált hibával működés, illetve biztonságos vészleállás, baleset, stb.) tételez fel. Az átmenetek között valószínűségi változó teremt kapcsolatot. A veszélyesebb állapotba kerülés valószínűségét, más szavakkal a hibagyakoriságot, λ betűvel, a kevésbé veszélyesebb állapotba kerülés valószínűségét, más szavakkal a javíthatóságot µ betűvel szokás jelölni. A technológia működése lehet az időben folytonos vagy diszkrét. A λ értékét, a következmények miatt, célszerű megosztani kezelhető, detektált (λSD), veszélyes, detektált (λDD), kezelhető, nem detektált (λSU), és veszélyes, nem detektált (λDU) hibaarányra.

A légvédelmi rakéták ráemelési technológiájának irányítási struktúrájának az 1002D típust célszerű választani [3]. Az 1002D struktúra általános Markov gráfja a 2. ábrán látható.

2. ábra:
Általános 1002D Markov modell

A 2. ábrán diszkrét állapotok vannak, és a rendszer λi valószínűséggel kerül az i-edik állapotból egy másikba. Ebből az is következik, hogy az i-edik állapotban maradás valószínűsége 1-λi. Az 1002D struktúra a hibamentes állapotból kerülhet csökkentett (1001D struktúra) állapotba, amennyiben az egyik redundáns ág meghibásodik. Ennek valószínűsége λN0, és mert két párhuzamos ág van 2λN0. Hibamentes állapotból hibás állapotba kerülésnek λF0 a valószínűsége. Így λ0= 2λN0F0. Bármely λi tovább bontható kezelhető, detektált (λSD), veszélyes, detektált (λDD), kezelhető, nem detektált (λSU), és veszélyes, nem detektált (λDU) hibaarányra. Ha a hiba kijavításra kerül, akkor értelemszerűen a hibamentes állapotba kerül vissza a rendszer. Annak valószínűsége, hogy definiált időtartam alatt újra hibamentes legyen a rendszer µi. A 2. ábra alapján definiálható a P valószínűségi mátrix. Az 1002D rendszerben a mátrix 7x7-es, mert a rendszert 7 állapot írja le.

A 2. ábra, és így az <1> összefüggés folytonos technológiák vész, védelmi rendszereire igaz, vagyis nem tartalmazza a légvédelmi rakéták ráemelési technológiájának sajátosságait. A légvédelmi rakéták ráemelési technológiája az időben diszkrét módon működtetett. A tényleges működtetés, beleértve a teszteket, rövid időtartamúak, és a működtetést hosszabb kikapcsolt állapotok szakítják meg. A λ és a µ diszkrét időpontokban értelmezett értéke önmagában nem probléma, hiszen a működtetés folyamata mintavételezetten is vizsgálható. Az eltérést az okozza, hogy valóságos éles gyakorlatot vagy harci helyzetet a 2. ábra gráfja jól írja le, de a hideg teszteket, és így az életciklus folyamatát, azonban nem.

A különbség, hogy az időben diszkrét értékek nem pontjai semmilyen analitikus függvénynek, minthogy a tesztek lefolyása, erősen különbözik a valóságos éles gyakorlattól vagy harci helyzettől. A folytonos technológiákban a megbízhatóság (R) az üzemelési idő függvényében az 1-λ értékről folyamatosan csökken, ahol a λ hibaarány az MTTF (átlagos idő a meghibásodásig) reciprok értéke. Értelemszerű, hogy a meghibásodás valószínűsége (P(t)=1-R(t)) a működési idővel arányosan, nő. Az időbeli változást vagy a 3a. ábra szerint a < 2 > kifejezéssel, vagy a 3b. ábra szerint a < 3 > kifejezéssel szokás figyelembe venni.

< 2 >

feltéve, hogy < 3 >

3a. ábra Az 1-R(t) függvény

3b. ábra Az 1-R(t) függvény

A légvédelmi rakéták ráemelési technológiája azért nem tekinthető folytonos technológia mintavételezett pontjainak, mert a hideg tesztek során, és a valódi helyzetekben az egyes állapotok értékelése eltérő. A hideg teszt alatt a 2. ábra gráfjához képest 1-es, 4-es, 5-ös állapotaiban leállás következik, majd a detektált hiba kijavítása után újra indul a teszt, és ez mindaddig folytatódik, míg a teszt hibamentesen le nem fut. Ez azt jelenti, hogy teszt üzemmódban a µ145=1, vagyis a javításnak nincs éles időkorlátja.

Gond viszont, hogy a teszt befejeződhet a gráf 2-es, illetve 3-as állapotában. Ilyenkor a rendszer hibamentesnek van nyilvánítva, pedig van rejtett, nem detektált hibája.

A szabvány [4] a folytonos technológiákra kidolgozott, de feltételezhető, hogy az üzemközben történő diagnosztizálás eljárással (ellenőrző tesztekkel) analóg módon vizsgálható az időben diszkrét működtetés. Az eltérésekre egyrészt a folytonos technológiából a tesztelés idejére kivont résztechnológia hibaarány meghatározásának analógiájára kereshető megoldás, másrészt olyan algoritmust keresésével, amely megadja, hogy a hideg teszt mennyire fedi le (működtetésben, leterhelésben) a valódi helyzetet.

Az ellenőrző teszt hatása a hibaarányra

Folytonos technológiák esetén az P(t) meghibásodási valószínűség az üzemidővel arányosan nő (3. ábra). Ez akkor is igaz, ha az eszköz nincs működtetve, csak rendelkezésre áll. Az ellenőrző tesztek célja, hogy a hibaarány növekedését korlátozza (4. ábra).


4. ábra:
A meghibásodási valószínűség változása a rendszeres ellenőrző teszt hatására

A 4. ábrán látható, hogy a reális ellenőrző teszt modellek, nem számolnak az eredeti λ hibaarány érték visszaállításával. A 4. ábrán a szaggatott vonallal megrajzolt görbe emelkedése a nem detektált hibáktól, és így végső soron a teszt összeállításától függ, bár a nulla meredekség elméletileg sem érhető el.

A légvédelmi rakéták ráemelés technológiájának ellenőrző tesztje

A jelenlegi technológia közvetlen kézi irányítású, így a teszt célja a végrehajtó eszközök, érzékelők, és a kiegészítő berendezések működőképességének ellenőrzése. A teszteket, az alábbi protokollal, előírt időszakonként, és a tervezett éles gyakorlatok előtti héten végzik el.

  • Szemrevételezés, hitelesítések ellenőrzése.
  • A hidraulikus szivattyú nyomásellenőrzése. A szivattyú által továbbított folyadék, és a gázelvezető rendszer ellenőrzése.
  • A hidraulikus munkahengerek végállásig történő mozgatása, a végálláskapcsolók ellenőrzése.
  • Próbasúly emelés, és előírt ideig tartás.
  • Működtetés utáni karbantartás.

Az automatizált rendszer rendszeres karbantartásának protokollja alapvetően nem különbözik a manuális irányításúétól. A fő különbség, hogy az irányító berendezés alkalmas az érzékelőtől érkező jelek folyamatos "online" megfigyelésére, naplózásra. Az irányító berendezés rendszeres végez öndiagnosztikát, és a tesztelési protokollba egyszerűen (a bemeneti kapcsok időleges lekötésével) megoldható a csökkentett üzemmód (kezelhető hiba), és így a diagnosztikai kártya ellenőrzése. Az ellenőrzőtesztek gyakoriságát a teljes automatizált rendszer SIL méretezése fogja megszabni.

A rendszer biztonság sérthetetlenség szintjének (SIL) megállapítása

Az <1> összefüggés megoldás menete [1] szolgáltatja a teljes rendszerre vonatkoztatott MTTF8 értékeket. Az MTTF reciprok értéke a teljes rendszerre vonatkoztatott λ hibaarány. A biztonság sérthetetlenségi szintje a teljes rendszernek ettől a λ értéktől függ (2. táblázat). 

2. táblázat A biztonság sérthetetlenségi szintekhez tartozó hibavalószínűségek

A rendszer viselkedése a kezelhető és a veszélyes hibákra függ a választott irányítási struktúrától. Az 1002D struktúra fizikai megvalósítása az 5. ábrán látható.


5. ábra:
Az 1002D struktúra

Ebben a struktúrában két processzor, saját be-, és kimeneti kártyákkal, dolgozik párhuzamosan. A két azonos funkciót megvalósító kimenet párhuzamosan van kötve. A diagnosztikai kártya sorba köt egy-egy kontaktus a két azonos funkciót megvalósító kimenettel, és veszélyes hiba detektálása esetén bontja a diagnosztikai kontaktusokat, ami 1002 struktúrának megfelelő. Hibátlan működés esetén, a diagnosztikai kontaktusok zárt állapotban vannak, és így a rendszer, mint 2002 struktúra viselkedik. Kezelhető hiba esetén a hibás ág diagnosztikai kontaktusát nyitja, a működő ág kontaktusa zárva marad, vagyis ez esetben a hibavalószínűséget a redundáns ágak párhuzamos, és a diagnosztikai kártya meghibásodásának soros eredője adja.

A 3. táblázatban a kontaktusok a redundáns ágak, illetve a diagnosztikai kártya hibavalószínűségének logikai kapcsolatát ábrázolja.

3. táblázat A redundancia hatása a hiba gyakoriságra

Mint ismert [3] a 2002 struktúra a kezelhető hibákra javítja, de a veszélyes hibákra rontja a megbízhatóságot, viszont az 1002 struktúra a kezelhető hibákra rontja, de a veszélyes hibákra javítja a megbízhatóságot. A diagnosztikai kártya önálló elektronika, melyeknek meghibásodási valószínűségét szintén figyelembe kell venni. Ez tulajdonképpen, mint minden plusz eszköz növeli λ0 értékét. Az 1002D struktúra egyesíti az 1002 és a 2002 struktúrák előnyeit, mint azt a 3. táblázat mutatja.

A 2. és a 3. táblázatot összevetve látható, hogyha a redundáns ágakra külön-külön, és a diagnosztikai kártyára biztosítható a SIL2 közeli, de még csak SIL1-es érték (pl.: λ=0,02), akkor az 1002D struktúra kezelhető és a veszélyes hibatípusra egyaránt SIL3-as minősítésű rendszert eredményez. Ez a számítás nem tartalmazza a 4. ábrán mutatott hibaarány növekményből származó plusz veszélyt.

Az <1> összefüggés megoldásához a Markov gráf állapotaihoz tartozó λi értékeinek számszerű ismeretére van szükség. A λ0, λ1, stb. értékeinek meghatározásához a teljes vezérlő berendezést, az érzékelőktől a végrehajtókig, konkrét típusra bontva ismerni kell. A sorba kötött eszközök hibavalószínűsége az eszközök hiba valószínűségének uniója, a párhuzamosan kötött eszközök hibavalószínűsége az eszközök hiba valószínűségének metszete. Ezen egyszerű szabályok alapján, a szabványban [2] definiált módon, felépíthető a megbízhatósági blokk diagram, és így λ0 meghatározható. Majd az egyes hibák kockázat elemzésével bontható a λ0 a 2. ábrán szereplő részekre, és így tovább.

 

Irodalomjegyzék

1. Goble, William M. Cheddie, Harry L. Safety Instrumented System Verification. Practical Probabilisti c Calculation, ISA, 2006

2. IEC 61508. Functional safety of Electrical/Electronic/Programmable electronic Safety-Related Systems, 1998

3. Neszveda, József. Redundáns struktúrák és a biztonság sérthetetlenség szint kapcsolata ZMNE, Hadmérnök, 2007 II. évf. 1. szám

4. IEC 61511-1, Functional safety - Safety integrated systems for the process industry sector - Part1: Framework, definitions, system, hardware and software requirements, 2002.

Vissza a szöveghez

Jegyzetek:

1mk. ezredes, ZMNE Bolyai János Katonai Műszaki Kar Katonai Elektronikai Tanszék

2 főiskolai docens, irányítástechnikai szakmérnök BMF Kandó Villamosmérnöki Kar Műszeripari és Automatizálási Intézet

3 Safety-Critical System

4 Safety Integrity Level

5 Basic Process Control System

6 Safety Instrumented System

7 Safety Lifecycle

8 Mean Time To Failure

Vissza a szöveghez

Vissza a tartalomhoz

© ZMNE BJKMK 2007.