Pénz beszél...

A megbízhatóságelemzés mint alkalmazott tudomány az USA-ból ered, ahol először az űrkutatásban vált fontossá a megbízhatóság mérése. Gondoljunk bele: Iszonyúan drága berendezéseket küldünk az űrbe, amelyek néha egy apró elem hibája miatt még feladatuk végrehajtása előtt felmondják a szolgálatot - mint ahogy ez napjainkban is néha megtörténik. A pénz könnyen érthető nyelv, különösen a vállalatvezetés számára, így a konverzió a megbízhatóságelemzés és a pénz között egy jól használható kommunikációs eszköz.

Élettartam költégek

Egy rendszer megbízhatóságának lényeges hatása van az üzemeltetési költségekre (akinek volt már autója, annak ezt nem kell bizonygatni). A megbízhatóság és üzemeltetési költségek közötti összefüggés kimutatására szolgál az un. "life-cycle cost" (LCC) analízis. Az LCC analízis arra ösztönöz, hogy egy rendszer specifikálása, kiválasztása és tervezése során ne csak a beszerzési, hanem a rendszer életciklusa során fölmerülő összes költséget vegyük figyelembe. Ez a megközelítés különösen érvényes az ipari rendszerekre, ahol a rendszer meghibásodásából eredő költség sokszorosa lehet a beszerzési költségnek. Ezért fontos, hogy ipari rendszereink felépítését tudatosan az LCC analízis alapján végezzük.

Megbízhatóság és baleset

Az 1. ábrán láthatjuk az irányítástechnikai berendezésekre visszavezethető ipari balesetek okainak eloszlását: Látható, hogy a legtöbb baleset a rendszer specifikálásából, struktúrájának kiválasztásából ered ! Ugyanakkor a Shell egyik üzemében elvégezte a biztonság- és megbízhatóságelemzést, melynek meglepő eredményét láthatjuk a 2. ábrán: Az elemzés szerint a biztonsági műszerkörök 67%-ban túlbiztosítottak voltak, így a felülvizsgálat megtakarítást eredményezett. A Shell azóta folyamatosan vezeti be gyáraiban és üzemeiben a biztonsági irányítási rendszert. Összességében megállapítható, hogy a balesetek, üzemzavarok túlnyomórészt az alapspecifikációk hibájából erednek, miközben az irányítástechnikai rendszerünk sokszor túlbiztosított megfelelő tervezési filozófia hiányában. Az IEC 61508 szabvány segítséget nyújt optimális rendszerek kialakításához mind műszaki, mind gazdasági téren.

elso

masodik

Rendszerstruktúrák

Számos lehetőség van rendszerépítésre attól függően, hogy mi a célunk a rendszer tervezésekor. A megfelelő rendszerstruktúra megválasztása az alapja a rendszer későbbi helyes működésének, valamint az építési és üzemeltetési költségek minimalizálásának. Vannak rendszerek, amelyeket maximális hibamentes működésre terveztek, vannak, amelyeket a maximális biztonságra terveztek. Ennek kapcsán különböző fogalmak forognak közszájon:

  • redundancia,
  • szavazó rendszerek,
  • fail-safe,
  • fault tolerant,
  • diagnosztika.

Ezen elnevezéseket és gyakorlati alkalmazásukat elemezzük a továbbiakban.

Redundánsnak olyan rendszert nevezünk, amelyben az elemek száma több a minimálisan szükségesnél (pl. két manométer ugyanarra a feladatra). Nyilván ennek valamilyen oka van (pl. ha az egyik rossz, a másik még működik). Persze ha az egyik csak kicsit rossz (nem mutat helyesen), akkor nem tudjuk eldönteni, melyik manométer által mutatott érték a helyes, szükségünk van egy harmadik mérésre is a döntéshez. Ez már egy un. szavazó rendszer. A fail-safe kifejezés arra használatos, amikor a reteszelő rendszer saját meghibásodása esetén a biztonság irányába mutató működést hajt végre, egyszerűbben fogalmazva: meghibásodás esetén reteszel. Pl. a reteszelő rendszerekben a végrehajtó mágnesszelepek normál üzemben általában feszültség alatt vannak, és reteszeléskor bontjuk az áramkört. Ez egy fail-safe megoldás, mert bármely más okból (meghibásodásból) eredő áramkörszakadás vagy feszültségkimaradás esetén a reteszelő rendszer beavatkozik: Leállítja, illetve biztonságos állapotba (safe) viszi az ellenőrzött technológiai szakaszt. Ez nem egy kötelező megoldás, de a gyakorlatban jól bevált, mert számos meghibásodási lehetőséget kiszűrünk. Ellenkező esetben (beavatkozáskor zárjuk az áramkört) normál üzem alatt valamilyen módon vizsgálni kellene, hogy szükség esetén majd be tudunk-e avatkozni:pl. tápfeszültség van-e, az áramkör zárt-e, stb.

  • Az előbbi gondolatmenetből látható, hogy a fail-safe megoldások túlzott alkalmazása bizonytalan rendszert eredményezhet (reteszel minden apróság miatt). A szabványok és mérnöki ajánlások egyértelműen leszögezik, hogy a folyamatos technológiák legbiztonságosabb állapota a normál üzemmenet (a leállított állapottól eltekintve), amikor az egyes paraméterek a tervezett érték közelében vannak. Ezzel szemben az üzemindítások és leállítások számát minimalizálni kell a következő okokból:
  • Nagy a termeléskiesésből eredő kár.
  • Fokozott igénybevételnek teszik ki a készülékeket, így azok élettartamát csökkentik.
  • Ilyenkor magasabb a baleset bekövetkezésének valószínűsége.

Ezért a szükségtelen reteszelések feltétlen kerülendők!

Megállapíthatjuk tehát, hogy egy reteszelőrendszer esetében nem elegendő követelmény a biztonságos működés, hanem a megbízhatóság is fontos szempont. A nem kívánt leállítások elkerülése céljából, a megbízhatóság fokozása érdekében alkalmazzuk a hibatűrő, vagy fault tolerant megoldásokat, amikor a rendszer még hiba jelenléte esetén is képes végrehajtani feladatát. Általában a redundancia alkalmazása segít ebben: Az egyik eszköz meghibásodik, de a másik még jó. A redundancia foka A különböző redundáns konfigurációkat az alábbi módon jelöljük: MooN = M out of N ahol M -1= a toleranciafok, és N -1= a redundanciafok. A leggyakoribb érzékelőkonfigurációkat az alábbiak szerint foglalhatjuk össze: - 1oo1: Egy db érzékelő van (0 fault tolerancia;0 redundancia) - 1oo2: Két érzékelő van, amelyek közül az egyik már elegendő a beavatkozáshoz (fokozottan fail-safe; 0 fault tolerancia; 1 redundancia) - 2oo2: Két érzékelő van, mindkettő együttes jelzése szükséges a beavatkozáshoz (1 fault tolerancia;1 redundancia) - 2oo3: Három érzékelő van, melyek közül legalább kettő együttes jelzése szukséges a beavatkozáshoz (1 fault tolerancia;2 redundancia) - 2oo4: Négy érzékelő van, melyek közül legalább kettő együttes jelzése szukséges a beavatkozáshoz (1 fault tolerancia;3 redundancia)

Gondolkodjunk rendszerben!

Egy rendszer tervezésekor nem csak a példaként bemutatott érzékelőstruktúrát, hanem a logikai végrehajtó (PLC, relé) és a beavatkozóeszközök struktúráját is meg kell határozni, hiszen egy biztonsági funkció SIL értékelésénél ezek együttesen jutnak szerephez! A megfelelő struktúra megválasztásához megbízhatósági számításokat kell végezni, amelyek kiértékelésében az IEC61508 szabvány nyújt segítséget. Diagnosztika Korunkban a számítástechnika és a kommunikáció fejlődésével egyre terjednek az intelligens mérőeszközök, amelyek a beépített diagnosztikai lehetőségek kihasználása révén fokozott előnyöket nyújtanak az üzemeltetés és biztonság terén. Általuk lehetséges megállapítani pl. ha egy szelep szorul, vagy a távadó primer csöve eldugult. Habár ezen eszközök valamivel drágábbak, alkalmazásuk rendszertechnikai szinten mégis költségcsökkentést eredményez a fokozott megbízhatóság révén (pl. alacsonyabb redundancia kell). (Megjegyezzük, hogy ez nem új dolog, hiszen az iparban évek óta szinte kizárólag öndiagnosztikával rendelkező lángőröket használunk, csak azokat önellenőrzőnek hívjuk.) Az önellenőrzésnél a korszerű diagnosztika annyival nyújt többet, hogy nem csak a hiba bekövetkeztét jelzi, hanem figyelmeztet egy várható meghibásodásra, vagy az ellenőrzés szükségességére is. Az öndiagnosztikát a konfiguráció jelölésben egy D betű hozzáadásával szokták jelölni: pl. 1oo2D

Meghibásodások osztályozása

Egy eszköz két meghibásodása közt eltelt hibamentes üzemidőt jelöljük TTF-fel az angol "Time To Failure" kifejezés nyomán. A javításra fordított időt jelöljük TTR-rel (Time To Repair). A kettő együtt a TTF (Time Between Failure): TBF = TTF + TTR
A fenti paraméterek egy eszközre vonatkoztatott átlagos értékei:

MTBF = MTTF + MTTRahol
MTBF - a két meghibádodás közti átlagos idő (Mean Time Between Failure)
MTTF - két meghibásodás közti átlagos hibamentes üzemidő (Mean Time To Failure)
MTTR - a hibajavításra fordítandó átlagos idő (Mean Time To Repair)

A hibaarány

A megbízhatóságelemzés terén egyik legfontosabb fogalom a hibaarány, avagy lambda. (Szerk: Elnézést kell kérnem, de a magyarországon használatos web-es karakterkódban nincs lambda. Helyette nagy L - betűt fogunk használni.) Matematikai levezetés eredményeképp kapunk egy jól használható képletet: L = 1 / MTTF
Esetünkben L tulajdonképpen frekvencia jellegű. Vegyünk egy egyszerű példát: A gyártó megadja, hogy a távadó MTTF értéke 40 év (35.400 óra). Akkor: L = 1 /35400 = 2.8510-6 [1/óra]
A L hibaarányt két csoportra oszthatjuk: Biztonságos: LS (safe), és Veszélyes hibaarány: LD(dangerous).

Példa:
Egy ellenálláshőmérő a mérőhuzal szakadása esetén végtelen nagy ellenállást, tehát végtelen magas hőmérsékletet mérünk. Ez biztonságos meghibásodásnak minősíthető, amennyiben magas hőmérséklet esetén kell beavatkozni.

Amennyiben a vizsgált eszköz öndiagnosztikával rendelkezik, a meghibásodásodási lehetőségeket tovább bonthatjuk:

Felderített meghibásodás: LXD (detected),
* Nem felderített meghibásodás: LXU (undetected).

Mivel mind a veszélyes-, mind a biztonságos hibák lehetnek felderítettek is és nem felderítettek is, az alábbi hibaarányok léteznek:

elso
* LSD (safe detected)
LSU (safe undetected)
LDD (dangerous detected)
* LDU (dangerous undetected).

Az így kapott hibaarány-tényezőket most már könnyen csoportosíthatjuk két frakcióra.

Az egyik a nem veszélyes meghibásodások frakciója: SFF = (LSD+LSU+LDD) / (LSD+LSU+LDD+LDU)

A képletet megvizsgálva láthatjuk, hogy a LDD - veszélyes, de diagnosztizált hiba - is bekerült a számlálóba, tehát biztonságos minősítést kapott, mivel feltételezzük, hogy a diagnosztizált meghibásodást megfelelő intézkedés követi. Pl. ha a már említett önellenőrző lángőr azt tapasztalja, hogy akkor is lángot érzékel az elektronika, ha a nézőüveg el van takarva, akkor lekapcsolja a tápfeszültséget, kiváltva ezzel a reteszelést.

A veszélyes meghibásodási frakciót most már könnyen kapjuk: DFF = 1 - SFF

A meghibásodás valószínűségének kiszámítása

A L hibaarány ismeretében ki tudjuk számolni a meghibásodás valószínűségét egy adott időtartam alatt. A 2. ábrán egy eszköz vagy berendezés működési állapotait egy körrel ábrázoltuk. A bal oldali zöld terület a hibamentes üzemelés valószínűsége. A jobb oldali piros terület a hibás működés területe, amelyet két részre osztottunk:

  • Biztonságos meghibásodás valószínűsége (PFS= Probability of Failing Safely)
  • Veszélyes meghibásodás valószínűsége (PFD= Probability of Failure on Demand)

masodik

PFD már ismert előző cikkünkből, ennek átlagából kapjuk meg a SIL osztályt. Míg a PFD köznapi nyelven szólva annak a valószínűsége, hogy az eszköz nem fog működni amikor kellene, a PFS a nem kívánt reteszelések valószínűségét adja meg, tehát akkor is leállít, mikor nem kellene.

Természetesen a meghibásodás valószínűsége időben változó tényező (az új kevésbé romlik el, mint a régi), ennek számítása elég bonyolult eljárás. A mérnöki gyakorlat nem szereti a bonyolult matemetikai utakat, ezért kidolgoztak egy jól használható közelítő képletet a meghibásodási valószínűség (PF) számítására: PF(t) = 1 - e-Lt

ahol L a hibaarány, t az üzembehelyezéstől (felújítástól) eltelt idő.

Az 5.ábra alapján: PF(t) = PFS(t) + PFD(t)
Vegyük a már említett távadó példáját, ahol L = 2.835 * 10-6 volt !

Tegyük fel hogy az üzem, ahol a távadót alkalmazni akarjuk három évenként (26 280 óra) áll le nagyjavításra, amikor a reteszelő rendszert is átvizsgálják. Ez esetben a meghibásodási valószínűség: PF = 1 - e-Lt = 0.072

Tegyük fel, ez a távadó egy öndiagnosztikával rendelkező gyártmány, melyhez kiszámítottuk a nem veszélyes meghibásodási frakciót: SFF = 95%

Akkor: PFS = SFF * PF = 0,95 * 0,072 = 0,0684 PFD = (1 - SFF) * PF = 0,05 * 0,072 = 0,0036.
Az átlagos PFD-t egyszerű 2-vel osztással közelíthetjük: PFDAVG = PFD/2 = 0,0018

Ez a távadó önmagában megfelel SIL3 osztálynak, mivel azonban a SIL besorolás az egész rendszerre vonatkozik, így arra nyilván egy alacsonyabb PFDAVG-t fogunk kapni, amit a rendszerstruktúra alkalmas megválasztásával tudunk befolyásolni.

Szabvány által ajánlott struktúra

A nem veszélyes meghibásodási frakció (SFF= 95%) ismeretében a szabvány a nem kívánt reteszelések minimalizálása érdekében a következő táblázat szerinti hibatűréshez (1,2,3) a feltüntetett SIL-t ajánlja:

SFF123
... 60%SIL1SIL2SIL3
60% ... 90%SIL2SIL3SIL4
90% ... 99%SIL3SIL4SIL4
99% ...SIL4SIL4SIL4

Megj.: A táblázat csak bizonyos megszorításokkal együtt érvényes, lásd IEC61511.
Visszatekintve az előzőekben leírtakra, látható, hogy nem is olyan egyszerű olyan rendszerstruktúra kialakítása, amely egyidejűleg megfelel a biztonsági és a megbízhatósági követelményeknek, jól "szolgálja és védi" a felügyelt technológiát, valamint építési,és üzemeltetési költségei is optimálisak.

MOS/POS kapcsolók

Gyakori vita tárgya a reteszbénító vagy -feloldó kapcsolók alkalmazása. A szabvány a technológiai tiltó kapcsolók POS (Process Override Switch) alkalmazását nem tiltja, hiszen ezek nélkülözhetetlenek az indítás/leállítás során a normál üzemállapot eléréséhez. A reteszelőrendszerek a technológiát és minket, embereket védenek. Ha szükséges azok egyes funkcóinak tiltása, azok indokolt esetben megtehetők. Itt arra kell vigyázni, hogy ez tudatos, megfontolt döntés eredménye legyen, és ne felejtsük el a feloldást visszakapcsolni. Ezért az ilyen eseteket feltétlenül szükséges megfelelően dokumentálni.

A legújabb biztonsági PLC-k megjelenítői, sőt újabban a DCS operátorállomások is rendelkeznek külön erre a célra kialakított adatkezelő felülettel, amelyek elvégzik az IEC61508-nak megfelelő regisztrációt, és szükség esetén figyelmeztetnek is. A karbantartás ill. ellenőrzés céljára beépített (Maintenance Override Switch, MOS) kapcsolókkal más a helyzet. Ezek alkalmazása nem, vagy csak korlátozott mértékben megengedett, amit az IEC61508 szabvány részletesen szabályoz.