Közlekedési automatika

2022
 VÉDELEM
A VÉLETLENSZERŰ EGYEDI HIBÁK
VESZÉLYEZTETŐ HATÁSA ELLEN
Biztonsági stratégiák

2
Biztonsági stratégiák

KÖZLEKEDÉSI AUTOMATIKA
FOLYAMATIRÁNYÍTÓ RENDSZEREK KIALAKÍTÁSA
BIZTONSÁGI VONATKOZÁSOK

BIZTONSÁG ↔ VESZÉLYEZTETÉS

A BIZTONSÁG MÉRTÉKE

A BIZTONSÁG KÍVÁNT FOKA

3
Biztonsági stratégiák

VESZÉLYFORRÁSOK
• KIKÜSZÖBÖLÉSE
• HATÁS KIKÜSZÖBÖLÉSE
• HATÁS MÉRSÉKLÉSE

AZ IRÁNYÍTÓ RENDSZER VÉLETLENSZERŰ MEGHIBÁSODÁSA

4
Biztonsági stratégiák

AZ IRÁNYÍTÓ RENDSZER VÉLETLENSZERŰ MEGHIBÁSODÁSAI

ELLENI VÉDELEM ESZKÖZEI

BIZTONSÁGI STRATÉGIÁK VESZÉLYFORRÁSOK

• MÓDSZEREK • KIKÜSZÖBÖLÉSE
• ELJÁRÁSOK • HATÁS KIKÜSZÖBÖLÉSE
• HATÁS MÉRSÉKLÉSE
PB(t) PBmin  PV(t) PVmax

IRÁNYÍTÓ RENDSZER
IRÁNYELVEK, INTÉZKEDÉSEK • KIALAKÍTÁSA
• MŰSZAKI • ÜZEMELTETÉSE
• SZERVEZÉSI (Karbantartás, javítás) 5
Biztonsági stratégiák

SAFE-LIFE
MŰKÖDŐKÉPESSÉG
Tökéletesség, hibakizárás
FENNTARTÁSA
Megbízhatóságnövelő módszerek FAULT-TOLERANT
Hibatűrés, hibahatás maszkolása
FAIL-SAFE
BIZTONSÁGI ÁLLAPOT
ELÉRÉSE Hibabiztos, akadályozó állapot
Azonnali vagy szabályozott leállás

AZ IRÁNYÍTOTT FOLYAMAT JELLEGÉTŐL FÜGGŐ VÁLASZTÁS

• BIZTONSÁG = MŰKÖDŐKÉPESSÉG SAFE-LIFE

Pl. repülés FAULT-TOLERANT

• BIZTONSÁGOS HIBAÁLLAPOT FAIL-SAFE

Pl. energiaminimum (szárazföldi)
6
Fail-safe stratégia

Hibabiztos:
• hiba esetén biztonságos (akadályozó) állapotba jut, és a javításig
ott is marad

7
Fail-safe stratégia

AKADÁLYOZÓ ÁLLAPOT
• hibafelismerés, lekapcsolás
• hibakatalógus  hibaszituációk
0 A hibafelismerő mechanizmus hibája is
akadályozó állapotot kell, hogy kiváltson!

VESZÉLYEZTETŐ ÁLLAPOT
1 2 • tudatos kockázatvállalás - hibakizárás
kockázat-tűrés!!!
• nem tudatos kockázatvállalás
ismeretlen alkatrészek,
szoftverek
Intézkedések
a nem tudatos kockázatvállalás mérséklésére
A rendszer az egyszer már elért akadályozó állapotot
csak emberi beavatkozásra (javítás) hagyhatja el. 8
Fail-safe stratégia

AKADÁLYOZÓ ÁLLAPOT
0 • hibafelismerés, lekapcsolás
• hibakatalógus  hibaszituációk
A hibafelismerő mechanizmus hibája is
akadályozó állapotot kell, hogy kiváltson!
1
VESZÉLYEZTETŐ ÁLLAPOT
• tudatos kockázatvállalás - hibakizárás
kockázat-tűrés!!!
• nem tudatos kockázatvállalás
ismeretlen alkatrészek,
szoftverek
Intézkedések
a nem tudatos kockázatvállalás mérséklésére
A rendszer az egyszer már elért akadályozó állapotot
csak emberi beavatkozásra (javítás) hagyhatja el. 9
Fail-safe stratégia
Valódi fail-safe rendszerek
Alapfeltétel:
• aszimmetrikus meghibásodási tulajdonság

Megvalósítás:
• egycsatornás kivitel

Kvázi fail-safe rendszerek

Alkalmazás:
• szimmetrikus meghibásodási tulajdonság esetén

Megvalósítás:
• többcsatornás kivitel fail-safe összehasonlítóval
10
Fail-safe stratégia

VALÓDI FAIL-SAFE RENDSZEREK

Önellenőrző tulajdonság: ASZIMMETRIKUS

kapcsolóelemek + MEGHIBÁSODÁSI
kapcsolástechnika TULAJDONSÁG
Egycsatornás kialakítás
különböző parciális meghibásodási ráták
0
le lh
Valódi FS X
1 2

Kapcsolóelemek
l = le + lh
• biztonsági jelfogók lv << la
• speciális elektronika lh << le 11
Fail-safe stratégia

ÖNELLENŐRZÉS

• A hibafelismerő mechanizmus saját hibáját is ismerje fel, és

• ez a felismert hiba is
akadályozó állapotot kell, hogy kiváltson!

12
Fail-safe stratégia

EGY HIBA ELV

• a kapcsolásokat úgy kell kialakítani, egy hiba önmagában ne okozhasson veszélyeztető
állapotot;
• a hibafelismerő mechanizmus kialakításánál elegendő egyidejűleg egy hibát feltételezni
ha,
• ez a hiba felismerhető, és
• a hibafelismerő mechanizmusnak nem kell túl sok elemet ellenőriznie;
• a fellépő hibát még egy újabb hiba fellépése előtt, időn belül fel kell ismerni, és a
rendszert akadályozó állapotba kell vezérelni, hogy az esetleges további hibák
hatástalanok legyenek:
, ahol
• amennyiben az első hiba nem ismerhető fel, úgy további egyidejű hibákat kell
feltételezni mindaddig, amíg a hibakombináció felismerhetővé nem válik.
13
Fail-safe stratégia

0 0

1 2 1 2

14
Fail-safe stratégia

15
Fail-safe stratégia

VALÓDI FAIL-SAFE RENDSZEREK

Ennél a technikánál megengedjük, hogy egy biztonságreleváns funkciót

egyetlen egység lásson el, feltéve, hogy annak biztonságos működése
bármely veszélyes hiba behatárolásával és hatálytalanításával biztosítható.

Bár a tényleges biztonságreleváns funkciót csak egyetlen egység látja el,

az ellenőrző/tesztelő/hibadetektáló funkciót másik egységként kell
tekinteni, amely független a közös eredetű hibák elkerülése végett.
17
Fail-safe stratégia

Reaktív hibabiztosság
VALÓDI FAIL-SAFE RENDSZEREK

18
Fail-safe stratégia
Valódi fail-safe rendszerek
Alapfeltétel:
• aszimmetrikus meghibásodási tulajdonság

Megvalósítás:
• egycsatornás kivitel

Kvázi fail-safe rendszerek

Alkalmazás:
• szimmetrikus meghibásodási tulajdonság esetén

Megvalósítás:
• többcsatornás kivitel fail-safe összehasonlítóval
19
Fail-safe stratégia

FÉLVEZETŐ ELEMEK PROBLÉMÁJA

+UT 0
lsa0 lsa1

1 2
UBe UKi
lsa0  lsa1

Szimmetrikus meghibásodási
Stuck at 1 – sa1 tulajdonság
Nincs veszélytelen hibaállapot
Stuck at 0 – sa0 Megoldás:
• speciális, valódi FS elektronika
• többcsatornás kialakítás
20
Fail-safe stratégia

Duál elektronikai felépítés

KVÁZI FAIL-SAFE RENDSZEREK

21
Fail-safe stratégia

KVÁZI FAIL-SAFE RENDSZEREK

Információfeldolgozás:
nem fail-safe
Többcsatornás kialakítás
Valódi FS összehasonlító

la = 2l+lÖH l l Számítógépek

lÖH<<l ÖH+K Valódi FS

Közös modusú hibák ellen nem véd

22
Fail-safe stratégia

KVÁZI FAIL-SAFE RENDSZEREK

Információfeldolgozás:
nem fail-safe
Többcsatornás kialakítás
Valódi FS összehasonlító

la = 2l+lÖH l l Számítógépek

lÖH<<l ÖH+K Valódi FS

Közös modusú hibák ellen nem véd

23
Fail-safe stratégia

Összetett (kompozit) hibabiztosság

KVÁZI FAIL-SAFE RENDSZEREK

Minden egyes biztonságreleváns funkciót legalább két egység lát el.

Ezeknek az egységeknek függetlenek kell lenniük minden más egységtől
a közös eredetű hibák elkerülése végett.
A nem akadályozó (restrictive) jellegű működések csak akkor
hajtódhatnak végre, ha a szükséges számú egység “egyetért”.
Egy egység veszélyes hibájának felismerése és hatástalanítása adott időn
belül meg kell, hogy történjen annak érdekében, hogy a második egység
azonos jellegű hibája elkerülhető legyen.
24
Fail-safe stratégia

Összetett (kompozit) hibabiztosság

KVÁZI FAIL-SAFE RENDSZEREK

25
Fail-safe stratégia

TÖBBSZINTŰ ÖSSZEHASONLÍTÁS

A beolvasott adatok cseréje és

összehasonlítása

1 2
A feldolgozott adatok cseréje és
összehasonlítása

FS összehasonlító és
ÖH+K kapcsoló

26
Fail-safe stratégia

ÖSSZEHASONLÍTÁS KÖZVETLEN VEZÉRLÉSSEL ÉS VISSZAOLVASÁSSAL

Totem-pole kapcsolás
+UT BE1 BE2

3 állapotú kimenetek
Tristate KI1 V1 V2 KI2
+ --
UKi

27
Fail-safe stratégia

Ember-gép rendszer P0(t)

Az irányító rendszer akadályozó állapota esetén 0
a forgalom fenntartása érdekében ma mv
la la lv
az ember beavatkozik.
Ezzel részben vagy egészben átveszi P1(t) 1 2 P2(t)
a meghibásodott műszaki rendszertől
a biztonsági felelősséget is. le

Hibás emberi tevékenység következtében 3

az ember-gép rendszer veszélyeztető le>> la
állapotba kerülhet („3”).
A szükséges emberi beavatkozások száma függ attól is,
hogy az akadályozó állapot milyen hosszú ideig áll fenn ma
28
Fail-safe stratégia
A humán hibagyakoriság mérséklése

A hibás emberi cselekvés gyakorisága cselekvés.

Mérséklési lehetőségek (forgalomirányító személyzet, járművezetők, javító személyzet):

• a biztonsági feladatot ellátó irányító rendszer minél ritkábban kerüljön akadályozó
állapotba, és minél rövidebb ideig tartózkodjon ebben az állapotban;
• a rutinműveletektől való mentesítés (kevesebb cselekvés),
• vezetett cselekvéssor (check-listák, gépi támogató eszközök),
• hibajelzések, javítási eljárások a javító személyzet számára;
• megfelelő kiképzés, szinten tartás.

29