doc. Ing. Antonín Mykiska, CSc., Ústav přístrojové a řídicí techniky,
Fakulta strojní Českého vysokého učení technického v Praze (mykiska@fsid.cvut.cz)
Zabezpečování spolehlivosti technických systémů v období návrhu
(dokončení z minulého čísla)
Obsah prvního dílu: Současné chápání pojmů spolehlivost, bezpečnost, životnost a bezporuchovost. Soudobé přístupy k zajišťování bezpečnosti, pohotovosti, bezporuchovosti, udržovatelnosti a zajištění údržby objektů a systémů jako náplň managementu spolehlivosti, programů a plánů spolehlivosti. Specifikace požadavků na bezpečnost a bezporuchovost, metody inženýrství spolehlivosti. Obecný postup analýzy spolehlivosti, úloha a obsah analýz bezporuchovosti a bezpečnosti systémů.
Druhá část článku se týká prostředků zvyšování bezporuchovosti a bezpečnosti systémů – pasivní a aktivní postupy (využívání různých podob a rozsahu nadbytečnosti).
5. Prostředky zvyšování bezpečnosti a bezporuchovosti
Postupy a prostředky zvyšování spolehlivosti systémů lze rámcově rozčlenit do dvou skupin:
- propracování jejich koncepce, architektury a struktury z hlediska spolehlivosti při návrhu (tj. mimo jiné systematickým a opakovaným uplatňováním obecného postupu analýz spolehlivosti) s návaznými opatřeními pro ostatní období životního cyklu,
- volba a využití různých způsobů, forem, rozsahu a stupně nadbytečnosti.
Výběr a hodnocení různých možností a prostředků zvyšování bezporuchovosti a bezpečnosti je značně složité zejména u systémů s počítačovou inteligencí (tj. systémů, jejichž součástí jsou prostředky výpočetní techniky), což se týká právě většiny automatických a automatizovaných řídicích systémů. Jejich výsledná spolehlivost je určována současně:
- hardwarovou spolehlivostí, tj. spolehlivostí technické struktury,
- softwarovou spolehlivostí, tj. spolehlivostí algoritmické struktury a programové realizace,
- informační spolehlivostí, tj. spolehlivostí přenosu, zpracování a uchovávání informací,
- spolehlivostí lidského činitele, je-li jejich součástí lidská obsluha (automatizované řídicí systémy).
Obtížnost nebo nemožnost jejich matematické formalizace a následné kvantifikace má za následek neexistenci obecné a jednotné metodiky, která by napomáhala kvantitativně hodnotit všechny uvedené složky v jejich souhrnu a vzájemných vazbách a tím vybrat optimální variantu řešení.
U těchto systémů se obvykle realizuje konkoncepce odolnosti vůči poruchovým stavům, která umožňuje plnit požadovanou funkci (řídicí, bezpečnostní, ochrannou) i při výskytu určitých daných poruchových stavů částí systému. Vychází se z realistického předpokladu, že poruchy prvků technické struktury a chyby programové realizace vznikají i u těch „nejkvalitnějších“ systémů, a proto poruchám nestačí jen předcházet, ale je nutné vyloučit následky poruch.
Odolnost systému nelze zajistit pro libovolný počet poruchových stavů, je nutné vždy specifikovat, vůči jakým poruchám a v jaké míře má být systém odolný. Cílem je zabezpečit odolnost proti vytipovaným poruchám s nejkritičtějšími následky, což se označuje jako koncepce bezpečnosti při poruše (návrhová vlastnost systému, která zabraňuje, aby jeho poruchy vedly ke kritickým poruchovým stavům).
Uskutečnění obou koncepcí lze většinou dosáhnout jen kombinovaným využíváním nadbytečnosti:
použitím nadbytečného technického vybavení, tzv. hardwarového zálohování, tj. využíváním technických prostředků, které nejsou nutné pro realizaci požadovaných funkcí systému, nýbrž jsou použity pouze ke zvýšení bezporuchovosti (či bezpečnosti) systému,
použitím softwarové nadbytečnosti s využíváním návrhu algoritmů s ohledem na spolehlivost, tj. se začleněním kontrolních algoritmů, resp. algoritmů diagnostiky, opakování algoritmů atd. (při respektování časových, ekonomických a dalších omezení), a při jejich programové realizaci využíváním jednak syntetických metod při vytváření programů (strukturální programování) s využíváním jednoduchých programových struktur s vhodnou volbou tzv. kontrolních a návratových bodů, jednak analytických metod testování a ověřování správnosti navržených programů s cílem opravovat zjištěné chyby; to zpravidla vyžaduje použít časovou nadbytečnost ve smyslu přidělení doby delší, než je nezbytně nutná na vypočítání zadané úlohy, aby bylo umožněno např. opakování téhož výpočtu podle stejného algoritmu.
Obě uvedené základní podoby nadbytečnosti v sobě zahrnují, resp. využívají nadbytečnost informační (použití např. bezpečnostního kódování, paralelního přenosu informací apod.).
Dále stručně k základním možnostem a prostředkům zvyšování strukturální bezporuchovosti systémů především pro etapy návrhu a vývoje, a to s využitím aparátu metody blokového diagramu bezporuchovosti (RBD, Reliability Block Diagram). RBD byl jako příklad zvolen pro jeho názornost. Uváděné postupy pro bezporuchovost platí i pro bezpečnost, vztáhnou-li se úvahy a ukazatele na kritické poruchy.
5.1 Zvyšování strukturální (hardwarové) bezporuchovosti bez využití nadbytečnosti (zálohování)
V první etapě návrhu systémů se při rutinním přístupu většinou volí minimálně nutný soubor technických prostředků, které právě umožňují realizovat požadované funkce. Pro výpočet ukazatelů bezporuchovosti pak platí tzv. sériový poruchový model (reprezentovaný sériovým zapojením bloků diagramu bezporuchovosti – obr. 5). Pravděpodobnost bezporuchového provozu R(t) systému o n prvcích s ukazateli Ri(t), i = 1 až n, resp. při platnosti exponenciálního zákona pro všechny prvky s intenzitami poruchl li, i = 1 až n je dána vztahem
Z něho lze formulovat obecná hlediska dosahování vyšší bezporuchovosti systému:
Volbou co nejnižšího počtu prvků při zvolené úrovni rozkladu technické a algoritmické struktury systému na prvky (tj. bloky RBD). Většinou obecně platí, že čím má systém bohatší funkční možnosti, tj. čím je univerzálnější, přesnější, výkonnější, citlivější atd., tím je zpravidla i složitější a vyžaduje větší počet technických prostředků, tedy prvků. Proto volba rozsahu a kvality funkčních a dalších užitných vlastností systému, které právě splňují požadavky zákazníků, vede k jeho nejprostší přípustné základní struktuře, a tedy i k minimálnímu počtu jeho prvků, což je vhodné si uvědomovat a uplatňovat v období specifikace požadavků a volby koncepce systému.
Zvyšováním bezporuchovosti prvků systému, tj. zvýšením hodnot Ri(t), resp. snížením hodnot li. Bezporuchovost použitých technických prostředků je dána nejen jejich inherentní bezporuchovostí, odrážející použité výrobní a montážní technologie, ale rovněž způsobem jejich aplikace v systémech (zejména volbou pracovních režimů, zatížení a jejich dodržováním od skladování, přepravy až po prostředí, v němž budou prvky provozovány). Volbu vhodné součástkové základny s vyšší bezporuchovostí a jejich vhodných provozních podmínek a režimů mohou projektanti využívat v období propracování koncepce, návrhu a vývoje systému z hlediska spolehlivosti. Zvyšování bezporuchovosti systému zvyšováním bezporuchovosti jeho prvků se označuje jako zvyšování pasivní bezporuchovosti. Dostupné výrobní a montážní technologie jsou jedním z jejich omezení.
5.2 Zvyšování bezporuchovosti hardwarovým zálohováním
Zvyšování bezporuchovosti (a obzvláště bezpečnosti) složitějších a rozsáhlejších technických systémů většinou vyžaduje spolu s aplikací postupů zvyšování pasivní bezporuchovosti využívat i různé formy a rozsah nadbytečnosti. Jednou ze základních možností je tzv. strukturální hardwarové zálohování, tj. využívání technických prostředků pouze pro zvýšení bezporuchovosti (či bezpečnosti) systému. Jeho technická realizace se však většinou neobejde bez použití dalších prostředků a postupů, často včetně využití obsluhy.
Uplatnění strukturálního zálohování lze obecně charakterizovat jeho různým způsobem (konfigurační, funkční), rozsahem (zálohování „po prvcích“, „po systémech“) a stupněm (počtem záložních jednotek). Výchozím modelem je tzv. paralelní poruchový model, reprezentovaný paralelním zapojením bloků RBD (obr. 6), který vyjadřuje, že porucha systému nastane, dojde-li k poruše právě všech k prvků s ukazateli Rj(t), j = 1 až k. Ukazatel bezporuchovosti systému R(t) je dán vztahem:
Tento model, označovaný též jako „1 z k“, má však omezenou technickou realizovatelnost v podobě tzv. stálého neboli statického zálohování na úrovni prvků nižší úrovně funkční složitosti (např. elektronické součástky, integrované obvody apod.). Záložní prvek či prvky jsou pevnými součástmi systému, plní stejné funkce jako základní prvek. Je nutné pamatovat na to, že porouchaný prvek zůstává v systému.
Složitějším případem stálého zálohování je můstkové zapojení bloků, které je typické např. pro hardwarovou realizaci složitějších informačních sítí, počítačových systémů apod.
Technická realizovatelnost principů hardwarového zálohování většinou vede k nutnosti použít tzv. substituční neboli dynamické zálohování (nazývané též zálohování s přepínáním), kdy záložní prvek přebírá funkci zálohovaného prvku teprve po detekci a lokalizaci poruchy a odpojení porouchaného prvku. Substituční zálohování lze podle pracovního režimu záložních prvků realizovat jako:
zatížené, kdy základní i záložní prvek (nebo prvky) začnou pracovat současně po uvedení systému do provozu, na všechny prvky působí stejná provozní zatížení, popř. uměle vyvozené zatížení o velikosti provozního,
odlehčené, kdy v plném pracovním režimu je pouze základní prvek systému a záložní prvek (nebo prvky) je v odlehčeném pracovním režimu, tj. např. je k němu přivedena napájecí energie, ale prvek není vystaven plnému pracovnímu zatížení,
nezatížené, kdy je základní prvek v plném pracovním režimu, prvky nezatížené zálohy jsou v klidu a nejsou vystaveny žádným zatížením či namáháním; po poruše základního prvku je prvek z nezatížené zálohy převáděn do plného pracovního režimu, tj. musí být zabezpečeno např. přivedení napájecí energie, nastavení pracovních hodnot atd.
Při hodnocení bezporuchovosti substitučního zálohování je nutné uvážit konečnou bezporuchovost kontrolně-přepínacího prvku, čímž se výsledný efekt tohoto způsobu zálohování může zmenšit. Z principu substitučního zálohování vyplývá, že přepnutí na záložní prvek je doprovázeno krátkodobým narušením provozuschopnosti systému, které buď z hlediska provozu systému nemá význam a nehodnotí se jako jeho porucha, nebo musí být ošetřeno, např. odpovídajícím programovým opatřením.
Mnohdy právě možnosti technické realizace vedou k nutnosti použít tzv. majoritní zálohování (nazývané též majoritní model m z k nebo model výběru m z k), tj. poruchový model, kdy bezporuchový stav systému nastane, je-li v bezporuchovém stavu alespoň m libovolných prvků z celkového počtu k prvků. Majoritní zálohování se používá, jestliže nelze použít zálohování, jehož modelem je paralelní systém. Využití nadbytečných prvků ke zvýšení bezporuchovosti je obecně vždy méně efektivní než u paralelního systému. Tuto okolnost je třeba mít vždy na zřeteli.
Kromě uvedených základních modelů zálohování se v praxi využívá mnoho dalších, složitějších, např.:
Substituční zálohování s pohyblivou zálohou – skupina stejných prvků má jeden nebo několik záložních prvků a v případě poruchy kteréhokoliv z prvků základní skupiny je na jeho místo připojen záložní prvek (resp. jeden ze skupiny záložních prvků).
Zálohování se sdílením zátěže – při normálním pracovním režimu jsou realizované funkce, resp. zatížení rozloženy např. na dva prvky, které pracují v částečně odlehčeném režimu a jsou dimenzovány tak, že v případě poruchy jednoho z nich přebírá druhý prvek všechny funkce, resp. celé zatížení, a pracuje pak s nominálním, resp. maximálním zatížením, zpravidla navíc při určitém (nevýznamném) omezení rozsahu funkcí systému.
Zálohování s obecnější rekonfigurací struktury – nejčastěji se využívá v systémech na vyšší úrovni rozkladu jako dynamické zálohování s obnovou prvků po poruše a s rekonfigurací poruchových modelů. Například z výchozího majoritního zálohování dva ze tří se po poruše libovolného prvku přechází na paralelní systém se dvěma prvky a po eventuální další poruše zbývá neporouchaný pouze základní prvek. Struktura se obnoví většinou během provozu systému, po ukončení obnovy se přechází zpět na předchozí zálohovanou strukturu. Tyto systémy dosahují neuvěřitelně vysokých výpočtových hodnot ukazatelů bezporuchovosti (např. střední doba bezporuchového provozu několik roků), které se však vztahují pouze na trvalé poruchy, nikoliv na krátkodobá narušení provozuschopnosti, vznikající např. v důsledku uskutečňované rekonfigurace struktury systému při vzniku poruchy. Struktura bývá rekonfigurována automaticky s využitím speciální diagnostické jednotky (tzv. diagnostického procesoru), na niž navazuje činnost přepínací jednotky.
6. Závěr
Zabezpečování spolehlivosti technických systémů systematickým používáním vhodných postupů analýz bezporuchovosti (a rovněž udržovatelnosti) a analýz rizik (analýz bezpečnosti) již v předvýrobních etapách jejich životního cyklu a na ně navazující technické, organizační a manažerské zajištění jsou nezbytným a stále více zdůrazňovaným aspektem péče o jakost. Výsledky analýz dovolují prokázat, že konstrukčním či projektovým řešením jsou vytvořeny předpoklady ke splnění specifikovaných požadavků na spolehlivost (bezporuchovost, a udržovatelnost) a bezpečnost, a tím vytvářet předpoklady ke spokojenosti zákazníků a zvyšovat důvěryhodnost výrobců a dodavatelů výrobků a systémů v dlouhodobějším časovém horizontu. Samozřejmě se tento postup neobejde bez zpětné vazby po instalaci a zahájení provozu u uživatelů s případnými dodatečně provedenými nápravnými opatřeními, která však v těchto případech už nebývají tolik náročná (finančně ani technicky).
|