Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY
FAKULTA STROJNÍHO INŽENÝRSTVÍ LETECKÝ ÚSTAV
FACULTY OF MECHANICAL ENGINEERING
INSTITUTE OF AEROSPACE ENGINEERING
METÓDY POSUDZOVANIA SPOĽAHLIVOSTI ZLOŽITÝCH ELEKTRONICKÝCH SYSTÉMOV PRE KOZMICKÉ APLIKÁCIE DEPENDABILITY ASSESSMENT METHODS FOR COMPLEX ELECTRONIC SYSTEMS FOR SPACE
APPLICATIONS
SKRÁTENÁ VERZIA DIZERTAČNEJ PRÁCE
SUMMARY OF DOCTORAL THESIS
AUTOR PRÁCE Ing. JOZEF ZAKUCIA
AUTHOR
ŠKOLITEĽ doc. Ing. JIŘÍ HLINKA, Ph.D.
SUPERVISOR
ŠKOLITEĽ ŠPECIALISTA pplk. doc. Ing. DAVID VALIŠ, Ph.D.
SUPERVISOR SPECIALIST
BRNO 2015
brought to you by COREView metadata, citation and similar papers at core.ac.uk
provided by Digital library of Brno University of Technology
Kľúčové slová
analýzy spoľahlivosti, analýza porúch so spoločnou príčinou, spoľahlivosť
vesmírnych zariadení
Keywords
dependability analyses, common cause failure analysis, dependability of space
devices
Rukopis dizertačnej práce je uložený v Areálové knihovně Fakulty strojního
inženýrství Vysokého učení technického v Brně.
© 2015 Jozef Zakucia
ISBN 80-214-
ISSN 1213-4198
OBSAH
Zoznam použitých skratiek ....................................................................................................... 1
1 ÚVOD .................................................................................................................. 2
2 CIELE DIZERTAČNEJ PRÁCE .......................................................................... 2
3 SÚČASNÝ STAV PROBLEMATIKY ................................................................ 3
3.1 Normy a príručky MIL .................................................................................................... 4
3.2 Normy a príručky NASA, JPL a SAE .............................................................................. 4
3.3 Normy IEC a ČSN ........................................................................................................... 4
3.4 dokumenty ECSS zaoberajúcich sa spoľahlivosťou .......................................................... 4
3.5 Dokumenty pre analýzu porúch so spoločnou príčinou .................................................... 6
4 DEFINÍCIA PORÚCH SO SPOLOČNOU PRÍČINOU ....................................... 8
5 POSTUP ANALÝZY PORÚCH SO SPOLOČNOU PRÍČINOU......................... 8
5.1 Vytvorenie modelu spoľahlivosti analyzovaného systému.............................................. 10
5.2 Kvalitatívny screening ................................................................................................... 10
5.3 Kvantitatívny screening ................................................................................................. 11
5.4 Detailná kvalitatívna analýza ......................................................................................... 12
5.4.1 Príčiny porúch ................................................................................................... 12
5.4.2 Väzbový faktor ................................................................................................... 13
5.4.3 Obranné mechanizmy ......................................................................................... 14
5.4.4 Vytvorenie matice príčin a obrán ....................................................................... 14
5.5 Detailná kvantitatívna analýza ....................................................................................... 15
5.5.1 Jednoparametrický β faktor model CCF ............................................................. 16
5.5.2 Problematika praktického používania β faktoru .................................................. 18
5.5.3 Odhad β faktoru pomocou kontrolných zoznamov............................................... 20
6 KOZMICKÝ PRÍSTROJ MIKROAKCELEROMETER .................................... 22
7 CCF ANALÝZA ZARIADENIA ACC .............................................................. 23
7.1 Kvalitatívna CCF analýza ACC ..................................................................................... 24
7.2 Kvantitatívna CCF analýza ACC ................................................................................... 24
8 ZÁVER .............................................................................................................. 27
9 LITERATÚRA ................................................................................................... 29
10 PUBLIKÁCIE ................................................................................................... 33
11 FUNKČNÉ VZORKY ....................................................................................... 33
12 VÝSKUMNÉ A TECHNICKÉ SPRÁVY ......................................................... 33
13 ŽIVOTOPIS AUTORA ..................................................................................... 35
1
ZOZNAM POUŽITÝCH SKRATIEK
V tomto dokumente sú použité skratky, ktoré vychádzajú z ich významu
v angličtine:
ACC – Kozmický prístroj mikroakcelerometer
CCBE – Common Cause Basic Event (základná udalosť so spoločnou
príčinou)
CCCG – Common Cause Component Group (skupina komponentov
s poruchou so spoločnou príčinou)
CCF – Common Cause Failures (poruchy so spoločnou príčinou)
ECSS – European Cooperation for Space Standardisation (Európsky úrad pre
štandardizáciu v kozmickom priemysle)
EEE – Electronic/Electrical/Electromechanic components (elektronické,
elektrické a elektromechanické komponenty)
ESA – European Space Agency (Európska kozmická agentúra)
ESCIES – European Space Components Information Exchange System
ESTEC – European Space Technology Centre (Európske kozmické vývojové
centrum)
FMEA – Failure Modes & Effects Analysis (analýza spôsobov a dôsledkov
porúch)
FMECA – Failure Modes Effects & Criticality Analysis (analýza spôsobov,
dôsledkov a kritickosti porúch)
FT – Fault Tree (strom poruchových stavov)
FTA – Fault Tree Analysis (analýza stromu poruchových stavov)
HSIA – Hardware/software interaction analysis (analýza interakcie HW a SW)
HW – Hardware
IEC – International Electrotechnical Commission (medzinárodná
elektrotechnická komisia)
JPL – Jet Propulsion Laboratory (laboratória prúdového pohonu NASA)
KP – Kozmický prostriedok
N/A – Not Available (nie je k dispozícií)
NASA – National Aeronautics and Space Administration (Národný úrad pre
letectvo a vesmír)
NUREG – označenie technických dokumentov vydaných U.S.NRC
PRA – Probabilistic Risk Assessment (pravdepodobnostné hodnotenie rizika)
RBD – Reliability Block Diagram (blokový diagram bezporuchovosti)
U.S.NRC– Nuclear Regulatory Commission of the United States (regulačný úrad
pre atómovú energiu v USA)
VZLU – Výzkumný a zkušební letecký ústav
WCA – Worst Case Analysis (analýza najhoršieho prípadu)
2
1 ÚVOD
Vývoj kozmických prostriedkov predstavuje veľmi nákladný súhrn aktivít, ktoré sú
nevyhnutnými pre úspešnosť konkrétnej misie. Patria medzi ne hlavne náklady na
samotný vývoj a výrobu elektronických systémov a konštrukcie, simulácie návrhov,
rôzne typy analýz a výpočtov, funkčné skúšky, kvalifikačné a akceptačné skúšky.
Vývoj v oblasti kozmického priemyslu je čiastočne podobný ako v iných
priemyselných odvetviach, avšak má svoje špecifiká. V priebehu vývoja KP musia
byť splnené vysoké nároky na spoľahlivosť a bezpečnosť jednotlivých súčastí
a nakoniec i celého systému. Tieto nároky sú dané hlavne požiadavkami zákazníka
a štandardmi pre kozmický priemysel.
V tejto práci sa budeme zameriavať hlavne na posudzovanie spoľahlivosti
kozmických zariadení. Predstavíme kozmický prístroj mikroakcelerometer
a ukážeme analýzy spoľahlivosti, ktoré na ňom boli v priebehu jeho vývoja
vykonávané. Detailne sa budeme venovať problematike spoľahlivosti systémov
s pravdepodobným výskytom porúch so spoločnou príčinou. Rozoberieme
požiadavky, ktoré sú kladené na spoľahlivosť KP (v Európe) plynúce z (európskych)
štandardov a poukážeme na ich nedostatky. Ukážeme postup ako vykonať u KP
analýzu na poruchy so spoločnou príčinou či už kvantitatívnu alebo kvalitatívnu.
Analýzy spoľahlivosti pre kozmický priemysel (v EU) musia byť vykonávané
v súlade s normami ECSS, ktoré predstavujú hlavné požiadavky (okrem
špecifických požiadaviek zákazníka) na vývoj KP. Je nutné upozorniť, že
organizáciou ECSS zatiaľ nebola vydaná žiadna norma, príručka a ani odporúčanie
na použitie iných noriem či príručiek určených pre analýzu porúch so spoločnou
príčinou. Jediným je zoznam kontrolných otázok v prílohe L dokumentu ECSS [3].
2 CIELE DIZERTAČNEJ PRÁCE
Posudzovanie systémov na náchylnosť voči poruchám so spoločnou príčinou
predstavuje proces, ktorého výsledkom môže byť zlepšenie spoľahlivosti a správne
navrhnutie záložných systémov. Opomenutie takéhoto posúdenia môže mať aj
katastrofické následky. Na základe noriem a príručiek organizácií (NASA,
SAE, NUREG, IEC a ECSS) vytvoríme postup pre vykonávanie analýz na poruchy
so spoločnou príčinou (CCF). Potreba vytvorenia takéhoto postupu pre analýzy CCF
pre aplikácie vyvíjané pod dohľadom ESA vznikla na základe nedostatočného
vypracovania tejto problematiky (a postupov pre túto analýzu) európskymi úradmi
(ESA, ECSS).
V tejto dizertačnej práci tiež zhrnieme dostupné postupy, prehľady noriem
a príručiek a požiadavky na elektronické súčiastky pre vývoj kozmických zariadení
z pohľadu spoľahlivosti využívané v Európe a USA.
Ciele tejto dizertačnej práce môžeme rozdeliť prehľadne do nasledujúcich skupín:
1. skupina cieľov:
Vytvorenie celkového prehľadu analýz spoľahlivosti používaných
v kozmickom priemysle a im odpovedajúcich noriem a príručiek
3
vydaných rôznymi organizáciami v EU a USA. V rámci takéhoto
prehľadu by mal byť braný zreteľ hlavne na postup analýz spoľahlivosti
v jednotlivých fázach vývoja KP v súlade s predpismi vyžadovanými
európskou vesmírnou agentúrou ESA.
Vytvorenie prehľadu databáz parametrov spoľahlivosti používaných
v kozmickom priemysle.
Požiadavky a spôsoby určenia niektorých parametrov elektronických
súčiastok používaných v kozmickom priemysle z pohľadu spoľahlivosti
a kvality.
2. skupina cieľov:
Vytvorenie postupu vykonávania analýzy porúch so spoločnou príčinou
pre kozmické prístroje, ktorý bude rozširovať a dopĺňať súčasné postupy
ESA (ktoré analýzu CCF neobsahujú). Postup analýzy CCF bude tiež
vychádzať z predpisov, noriem, príručiek a odporúčaní vydaných hlavne
organizáciami NASA, SAE, NUREG a ECSS. Tento postup bude teda
odvodený hlavne z postupov, ktoré sú využívané v jadrovom priemysle,
letectve a kozmonautike (v USA). Vzhľadom k tomu, že postup CCF
analýzy má byť využitý pre analyzovanie systémov vyvíjaných (v EU)
pod dohľadom ESA, musí byť zároveň v súlade s ECSS štandardmi
(ktoré sa tejto problematike venujú len okrajovo). Postup analýzy CCF
bude detailne rozpracovaný a bude obsahovať jak kvalitatívnu, tak
kvantitatívnu analýzu.
3. skupina cieľov:
Stručný popis kozmického prístroja mikroakcelerometra (ACC)
vyvíjaného vo VZLU. Uvedenie výsledkov analýz spoľahlivosti
vykonaných na ACC.
Overenie metodiky analýzy porúch so spoločnou príčinou na systéme
kozmického zariadenia mikroakcelerometra. Vyhodnotenie zlepšení,
ktorých sa podarilo dosiahnuť s použitím nového navrhnutého postupu
CCF analýzy a porovnanie s výsledkami, kedy neboli uvažované CCF.
3 SÚČASNÝ STAV PROBLEMATIKY
Aby sme získali základný prehľad o analýzach spoľahlivosti požadovaných
v priebehu vývoja KP, predstavíme stručný úvod do štandardov, príručiek
a odporúčaní pre spoľahlivosť. Na základe tohto prehľadu následne ukážeme v akom
rozsahu je v súčasnej dobe v dokumentoch pre vytypované oblasti priemyslu
rozpracovaná problematika porúch so spoločnou príčinou.
Prehľad dokumentov rôznych organizácií, podporujúcich najčastejšie používané
typy analýz spoľahlivosti pre KP, je uvedený v tabuľke 3-1.
4
3.1 NORMY A PRÍRUČKY MIL
Normy a príručky MIL ministerstva obrany USA tvoria rozsiahly súbor dokumentov
použiteľných pri vývoji KP a pre vykonávanie analýz spoľahlivosti. Na konci 20.
storočia prešiel tento systém reformou, ktorá viedla k zrušeniu množstva
dokumentov. I napriek tomu obsahuje veľa cenných informácií a špecifikácii o EEE
súčiastkach. Hlavným dokumentom MIL pre predpoveď bezporuchovosti je MIL-
HDBK-217 [30]. Je na ňom založených mnoho ďalších príručiek a noriem rôznych
organizácii (tiež ECSS-Q-HB-30-08A [51]). Modely intenzít porúch z tohto
dokumentu tiež využíva väčšina softwarových nástrojov pre spoľahlivosť
elektroniky.
3.2 NORMY A PRÍRUČKY NASA, JPL A SAE
Ďalším zdrojom štandardov a príručiek sú JPL a NASA. Dokumenty z týchto
organizácií sú priamo zamerané pre kozmický priemysel. Tieto dokumenty sa
predovšetkým využívajú v kozmickom výskume v USA.
Z dokumentov SAE je pre spoľahlivosť asi najdôležitejším SAE ARP4761 [8].
Tento dokument slúži ako príručka pre posúdenie bezpečnosti a spoľahlivosti
civilných lietadiel za účelom certifikácie. SAE ARP4761 v sebe zahŕňa postupy
analýz spoľahlivosti (viď tabuľka 3-1), medzi ktorými nechýba ani analýza porúch
so spoločnou príčinou.
3.3 NORMY IEC A ČSN
Niektoré typy analýz spoľahlivosti pre KP, ktoré sú požadované zákazníkom,
nemusia byť v dostatočnom rozsahu pokryté štandardmi a príručkami pre kozmický
výskum (ECSS, MIL, JPL, NASA, SAE). Preto je možné, s určitými obmedzeniami,
vychádzať z noriem IEC a ČSN, ktoré sú tiež uvedené v tabuľke 3-1.
3.4 DOKUMENTY ECSS ZAOBERAJÚCE SA SPOĽAHLIVOSŤOU
V roku 2008 sa stala Česká republika členom ESA. Systém ECSS sa zároveň stal
najvýznamnejším zdrojom noriem pre kozmické aktivity ČR.
ECSS systém bol vyvinutý za účelom spolupráce ESA a vesmírneho priemyslu v
Európe. Tento systém dokumentov je publikovaný špecializovaným úradom ESTEC
agentúry ESA. Posledná veľká reforma prebehla v roku 2008 a 2009 na stav
popísaný v ECSS-S-ST-00C [11].
Systém špecifikácií komponentov je voľne prístupný na stránkach ESCIES, kde je
tiež umiestnený vyhľadávač špecifikácií.
5
Tabuľka 3-1 Prehľad dokumentov podporujúcich analýzy spoľahlivosti pre KP
Analytická
metóda Norma ESA Norma MIL / NASA JPL / SAE Normy IEC / ČSN
Plán / program
spoľahlivosti
ECSS-Q-ST-30C (Dependability) [3]
MIL-STD-785 [27]
NASA-STD-8729.1
[35]
Prehľad metód ECSS-Q-ST-30C
(Dependability) [3]
MIL-STD-785B [27] MIL-HDBK-338B
[28]
JPL-D-5703 [36]
IEC 60300-3-1 [38] ČSN EN 62308
[39]
Predikcia bez-
poruchovosti
ECSS-Q-ST-30-09C
(Availability) [19]
MIL-STD-756B [29]
MIL-HDBK-217F [30] JPL-D-5703 [36]
IEC 61078
(Availability) [40]
FMEA/FMECA
(HSIA)
ECSS-Q-ST-30-02C [20]
MIL-STD-1629A [31] SAE ARP4761 [8]
IEC 60812 [41]
ČSN EN 60812
[42]
Analýza
odľahčenia
ECSS-Q-ST-30-11C (Derating) [22];
ECSS-Q-60-11A
(Derating and EOL drifts) [21]
MIL-HDBK-1547A [32]
JPL-D-8545 [37]
Analýza
najhoršieho
prípadu
ECSS-Q-30-01A
(WCCPA) [23]
ECSS-Q-HB-30-01A
[24]
MIL-STD-785B, Task
206 [27]
WCA Application
Guidelines [33]
JPL-D-5703 [36]
JPL-D-8545 [37]
Weibullova
analýza
IEC 61649 [43] ČSN EN 61649
[44]
Markovova
analýza SAE ARP4761 [8]
IEC 61165 [45]
ČSN EN 61165 [46]
RBD/Boole MIL-STD-756B [29] JPL-D-5703 [36] IEC 61078 [40]
FTA/ETA ECSS-Q-ST-40-12C
[25] NASA FTA Handbook
[34]
SAE ARP4761 [8]
JPL-D-5703 [36]
IEC 61025 [47]
IEC 62502 [48]
ČSN EN 61025 [49]
ČSN EN 62502
[50]
Radiačná analýza ECSS-E-ST-10-12C
[26]
Analýza porúch
so spoločnou
príčinou
ECSS-Q-ST-30C
[3]
NASA PRA Handbook
[17]
NASA FTA Handbook
[34]
SAE ARP4761 [8]
IEC 61508-6 [10]
IEC 61025 [47]
6
3.5 DOKUMENTY PRE ANALÝZU PORÚCH SO SPOLOČNOU
PRÍČINOU
V tejto kapitole rozoberieme úroveň rozpracovania problematiky porúch so
spoločnou príčinou jednotlivými organizáciami, ktoré vydávajú štandardy a
príručky.
Tabuľka 3-2 predstavuje stručný prehľad dokumentov (príručiek a noriem)
podporujúcich analýzu CCF. Pri každom dokumente je tiež uvedená poznámka,
ktorá popisuje ako podrobne je analýza CCF pre tú ktorú oblasť popísaná. V stĺpci
„počet strán“ je uvedený približný počet strán venovaných problematike CCF
daného dokumentu. V uvedenej tabuľke sú normy a príručky používané
v kozmickom priemysle, letectve a v jadrovom priemysle. Problematika CCF je
najdetailnejšie popísaná hlavne v dokumentoch pre jadrové elektrárne. Dokumenty
od NASA zaoberajúce sa touto problematikou (napr. [17]) vychádzajú často
z dokumentov NUREG.
V leteckom priemysle sa používajú postupy pre analýzu zo spoločných príčin
podľa SAE ARP4761 [8], ktoré sú čiastočne odlišné od prístupov uvedených
v ostatných predstavených dokumentoch. Hlavné rozdiely plynú už z odlišnej
definície niektorých pojmov v tejto problematike. Vo väčšine uvedených
dokumentoch (IEC, jadrový a vesmírny priemysel) sa riadime podľa úradu pre
atómovú energiu (tabuľka 4-1). V leteckom priemysle sa však riadime podľa SAE
ARP4761 [8], kde je uvedený pojem „analýza zo spoločných príčin“ CCA, ktorá ale
odpovedá analýze závislých porúch (podľa definície pre ostatné oblasti priemyslu).
CCA (z ARP4761) v sebe teda zahŕňa CMA, ZSA a PRA analýzy. V tomto
dokumente sa zameriavame hlavne na analýzu porúch so spoločnou príčinou, čomu
odpovedá CMA (Common Mode Analysis) v ARP4761. Analýza ZSA (Zonal
Safety Analysis) bude v tomto dokumente zahrnutá v CCF analýze. Analýza PRA
(Particular Risks Analysis) má byť súčasťou CCF analýzy (čo naznačuje tiež
checklist z normy ECSS [3], kde sú vymenované riziká, ktoré môžu pochádzať
z okolitého prostredia). Postup analýzy CCA podľa ARP4761 však v sebe
nezahrňuje kvantitatívne posúdenie CCF.
V tabuľke 3-2 si tiež môžeme všimnúť, že jediným odkazom na dokument určený
pre kozmický priemysel v EU, ktorý sa zaoberá analýzou CCF, je ECSS [3].
Vesmírne projekty, ktoré sú realizované v EU pod dohľadom ESA, väčšinou
vyžadujú používanie ECSS noriem, podľa ktorých musí byť tá ktorá analýza
vykonaná. Analýza porúch so spoločnou príčinou je však v ECSS [3] popísaná
veľmi stručne, iba ako kontrolný zoznam otázok. Úroveň posúdenia systému na
CCF preto nie je dostatočná.
7
Tabuľka 3-2 Prehľad dokumentov pre analýzu porúch so spoločnou príčinou
Dokumenty pre analýzu porúch so spoločnou príčinou
Dokument Poznámka Počet
strán
Ves
mír
ny
pri
emy
sel
ECSS-Q-ST-30C Annex I
[3] Zoznam kontrolných otázok (checklist) 3
Probabilistic Risk
Assessment Procedures
Guide for NASA Managers
and Practitioners [17]
Stručne popísaný kvalitatívny a kvantitatívny
screening
Kvantitatívna analýza pravdepodobnostného modelu
CCF so základnými parametrami a s Alfa faktormi.
20
Fault Tree Handbook with
Aerospace Applications
(NASA) [34] Modelovanie CCF v stromoch poruchových stavov 3
Let
ectv
o SAE ARP4761 Guidelines
and methods for conducting
the safety assessment
process on civil airborne
systems and equipment [8]
Kvalitatívna analýza zahrňujúca:
o Common Mode Analysis (CMA)
o Zonal Safety Analysis (ZSA)
o Particular Risks Analysis (PRA)
Ukážka na konkrétnom príklade
70
Jadro
vý p
riem
yse
l
IAEA Procedures for
conducting
common cause failure
analysis
in probabilistic safety
assessment [52]
Stručne popísaný kvalitatívny a kvantitatívny
screening
Kvantitatívna analýza pravdepodobnostného modelu
CCF so základnými parametrami a s alfa faktormi.
Ukážky na konkrétnych príkladoch
36
NUREG CR-4780 V1 a V2
– Procedures for treating
commmon cause failures in
safety and reliability studies
[53]
Detailná kvalitatívna analýza
Detailná kvantitatívna analýza
Modelovanie CCF
Ukážky na príkladoch z praxe
348
NUREG CR-5485 –
Guidelines on modeling
CCF in probabilistic risk
assessment [2]
Detailná kvalitatívna analýza
Detailná kvantitatívna analýza
Parametrické modelovanie CCF
Ukážky na príkladoch z praxe
194
NUREG CR-5497 –
Common cause failure
parameter estimation
NUREG CR-6268 –
Common-Cause Failure
Database and Analysis
System [54]
Ďalšie dokumenty NUREG podporujúce CCF 460
IEC
Norma IEC 61508-6 [10] Bodovaný zoznam desiatok kontrolných otázok
Modelovanie CCF beta faktor modelmi 25
Norma IEC 61025 [47]
Popis udalosti so spoločnou príčinou v strome
poruchových stavov
Opakované udalosti v strome porúch
4
8
4 DEFINÍCIA PORÚCH SO SPOLOČNOU PRÍČINOU
Závislé poruchy tvoria širokú skupinu porúch. Podľa [17] sú dve udalosti A a B
z javového priestoru S závislé ak
P(AB) ≠ P(A)·P(B).
Vo väčšine prípadov v oblasti posudzovania rizík pre závislé poruchy presnejšie
platí P(AB) > P(A)·P(B) – v takomto prípade hovoríme o pozitívnej závislosti.
Môžu sa však aj vyskytnúť situácie kedy P(AB) < P(A)·P(B) – v tomto prípade
hovoríme o negatívnej závislosti. Pre závislé udalosti platí P(AB) = P(A)·P(B|A) =
P(B)·P(A|B). Pre nezávisle udalosti platí P(AB) = P(A)·P(B).
Najčastejšie vyskytujúcim sa typom závislej poruchy je porucha so spoločnou
príčinou. Poruchy so spoločnou príčinou môžeme definovať napríklad takto [14]:
Poruchy rôznych objektov spôsobené jednou udalosťou, pričom tieto poruchy nie
sú následkom jedna druhej.
IEC 60050
V tabuľke 4-1 sú veľmi prehľadne vysvetlené pojmy (podľa definície úradu pre
atómovú energiu UK z roku 1987): závislé poruchy, poruchy so spoločnou príčinou,
poruchy so spoločným módom a kaskádne poruchy [9].
Tabuľka 4-1 Definícia základných pojmov
Závislé poruchy*
Pravdepodobnosť množiny udalostí,
ktorá nemôže byť vyjadrená súčinom
pravdepodobností nepodmienených
porúch jednotlivých udalostí.
Poruchy so spoločnou príčinou
Toto je špecifický typ závislej poruchy,
kde sú poruchy rôznych objektov
spôsobené jednou udalosťou, pričom
tieto poruchy nie sú následkom jedna
druhej.
Poruchy so spoločným
módom
Poruchy so spoločnou príčinou,
v dôsledku ktorej dôjde k poruche
viacerých komponentov v rovnakom
móde.
Kaskádne poruchy
Všetky tie závislé poruchy, ktoré nie sú
poruchami so spoločnou príčinou, t.j.
neovplyvňujú zálohované komponenty .
* - z tejto definície „závislej poruchy“ vyplýva, že „nezávislá porucha“ je taká,
u ktorej je možné pravdepodobnosť poruchy pozostávajúcu z množiny udalostí
vyjadriť ako jednoduchý súčin nepodmienených pravdepodobností porúch
jednotlivých udalostí.
5 POSTUP ANALÝZY PORÚCH SO SPOLOČNOU PRÍČINOU
Vzhľadom na stav rozpracovania postupu analýzy CCF organizáciou ECSS, bude
v tejto dizertačnej práci vypracovaná procedúra analýzy porúch so spoločnou
9
príčinou pre vesmírne projekty, pričom poskytne detailný postup analýzy CCF jak
kvalitatívnej tak aj kvantitatívnej. Tento postup bude rozširovať a doplňovať
postupy analýzy CCF uvedenej v európskych ECSS normách. Postup analýzy CCF
bude ale navrhnutý tak, aby bol v súlade s normami ECSS.
V obrázku 5-1 sú uvedené jednotlivé kroky analýzy a ich logická následnosť.
Analytik môže na základe takto rozčleneného postupu vykonať analýzu CCF do
takej hĺbky (detailnej úrovne), ako to bude mať pre konkrétny analyzovaný systém
stanovené v požiadavkách. To znamená, že analýza môže napríklad skončiť už po
vykonaní 2.1. kroku (predbežnej analýzy CCF), čo odpovedá vyplneniu kontrolného
zoznamu podľa [3].
Obrázok 5-1 Postup analýzy CCF krok po kroku
1. Vytvorenie modelu spoľahlivosti analyzovaného systému 1.1. Zoznámenie sa so systémom 1.2. Definícia problému 1.3. Vytvorenie FT alebo RBD
2. Predbežná analýza CCF
2.1. Kvalitatívny screening - Vyplnenie kontrolného zoznamu podľa normy ECSS [3] Annex I
2.2. Kvantitatívny screening - Použitie pevne stanovených β – faktorov
podľa príručky NASA [17] 2.3. Predbežný zoznam skupín komponentov s poruchami so spoločnou príčinou
- Skupiny komponentov, na ktoré sa ďalej zameriame v detailnej CCF analýze
3. Detailná kvalitatívna analýza 3.1. Zhodnotenie príčin porúch a väzbových faktorov
- Vytvorenie zoznamu koreňových príčin CCF - Vytvorenie zoznamu väzbových faktorov CCF
3.2. Obranné mechanizmy proti CCF - Zoznam obrán proti koreňovým príčinám CCF - Zoznam obrán proti väzbovým faktorom CCF
3.3. Vytvorenie matice príčin a obrán - Vytvorenie matice/tabuľky z vyššie uvedených zoznamov
4. Detailná kvantitatívna analýza
4.1. Identifikácia základných udalostí so spoločnou príčinou - Skupina komponentov náchylná na CCF
4.2. Pravdepodobnostné modely pre CCBE - Použitie β faktorov pre modelovanie CCF
4.3. Odhady parametrov CCBE modelu - Stanovenie β faktorov na základe odpovedí na zoznam kontrolných otázok
podľa IEC 61508 [10] - Stanovenie β faktorov s využitím vážených odpovedi - Stanovenie β faktorov s využitím fuzzy množín
10
5.1 VYTVORENIE MODELU SPOĽAHLIVOSTI ANALYZOVANÉHO
SYSTÉMU
Predpokladom pre vytvorenie modelu spoľahlivosti je dobre porozumenie funkciám
daného systému a spôsobu zapojenia komponentov, z ktorých je zložený. Pozornosť
musí byť sústredená na tie časti návrhu, funkcie, údržby a skúšky, ktoré môžu viesť
k zvýšeniu pravdepodobnosti porúch viacerých komponentov.
Ďalej musia byť stanovené fyzikálne a funkčné hranice systému, funkčné
závislosti na iných systémoch, funkčné rozhrania s inými systémami a kritéria pre
správne fungovanie systému. Tiež by mali byť stanovené možné zásahy operátora a
dopady požiadaviek testov a údržby.
Základným krokom v systémovej analýze je vytvorenie modelu spoľahlivosti,
ktorý dá do súvislosti poruchový stav systému s kombináciou poruchových stavov
komponentov. V našom prípade budeme uvažovať vytvorenie modelu spoľahlivosti
systému, ktorý je pre účely následnej analýzy porúch so spoločnou príčinou
najčastejšie reprezentovaný stromom poruchových stavov alebo blokovým
diagramom bezporuchovosti.
5.2 KVALITATÍVNY SCREENING
V tomto kroku bude vykonaný kvalitatívny screening systému, ktorý poslúži k
identifikovaniu možnej náchylnosti systému a jeho komponentov k poruchám so
spoločnou príčinou. Úlohou kvalitatívneho screeningu je teda vytvorenie zoznamu
komponentov, u ktorých je pravdepodobný výskyt porúch so spoločnou príčinou
(CCF).
Tento proces môže byť rozšírený o kontrolný zoznam (checklist), ktorý obsahuje
odporúčania a oblasti, na ktoré sa má analytik sústrediť . Takýto zoznam je pre účely
kozmického výskumu definovaný podrobnejšie v technickej norme [3]. Tu si
uvedieme iba jeho základné rozdelenie.
• Kontrolný zoznam správnosti návrhu
Patria sem otázky na spôsob návrhu systému, ktoré môžu viesť k určeniu
väzbových faktorov. (Napr. rozmiestnenie redundantných komponentov,
rovnaký výrobca redundantných komponentov, izolácia medzi redundantnými
komponentmi, atď.)
• Kontrolný zoznam vplyvu prostredia na daný systém
Patria sem vplyvy okolitého prostredia, ktoré môžu viesť ku CCF.
(Napr. úroveň celkovej dávky slnečnej radiácie, rozmiestnenie komponentov
vzhľadom na vibrácie, interakcia magnetického poľa z transformátorov a
motorov s inými komponentmi.)
• Kontrolný zoznam neočakávaných funkcií systému
Patria sem neočakávané udalosti, ktoré môžu viesť k nežiaducemu fungovaniu
systému a výskytu CCF. (Napr. zaslanie chybného telecommandu z riadiaceho
strediska, zrážky s vesmírnym odpadom alebo mikrometeoritmi, atď.)
11
Vytvorenie kontrolného zoznamu (hlavne pre oblasť leteckého výskumu) tiež
poskytuje štandard SAE-ARP 4761 [8].
Spomenuté kontrolné zoznamy slúžia ako pomocný nástroj pre odhalenie
prítomnosti podobných komponentov a ich najčastejších väzbových faktorov.
Skupinu komponentov identifikovanú kvalitatívnym screeningom nazývame
predbežná skupina komponentov s poruchami so spoločnou príčinou (preliminary
CCCG – common cause component group).
5.3 KVANTITATÍVNY SCREENING
Skupinu komponentov, citlivú na poruchy so spoločnou príčinou získanú
kvalitatívnym screeningom, môžeme ďalej zredukovať vykonaním screeningu
kvantitatívneho. Postup procedúry kvantitatívneho screeningu (s uvažovaním veľmi
jednoduchého a konzervatívneho kvantitatívneho modelu) je nasledovný [53]:
1. Strom poruchových stavov je na úrovni komponentov modifikovaný tak, aby
porucha daného komponentu z CCCG v sebe zahrňovala udalosť porúch so
spoločnou príčinou, ktorá vedie k zlyhaniu všetkých komponentov zo skupiny
CCCG.
Príklad: máme skupinu CCCG zloženú z komponentov A, B a C. Poruchy
komponentov A, B a C, ktoré tvoria základné udalosti v strome porúch, ďalej
rozšírime tak, aby obsahovali udalosť poruchy (so spoločnou príčinou - SABC)
všetkých prvkov CCCG a udalosť nezávislej poruchy toho ktorého
komponentu
Obrázok 5-2 Rozširenie stromu poruchových stavov na úrovni komponentov
2. V tomto kroku, riešením vzniknutého stromu poruchových stavov, získame
minimálnu množinu rezov. V prípade, že množina rezov zahrňuje rez AIBICI,
tak tomu tiež odpovedá udalosť SABC. Vo veľkých systémoch, ktoré vyžadujú
isté zjednodušenie/zanedbanie, môže byť udalosť porúch AIBICI zanedbaná
(veľmi nízka pravdepodobnosť výskytu) a v systéme ostane len SABC.
3. Numerické hodnoty pre CCBE môžu byť odhadnuté použitím jednoduchého
modelu s β faktorom:
P(SABC) = β·P(A),
kde P(SABC) je pravdepodobnosť výskytu udalosti, kedy nastanú poruchy so
spoločnou príčinou v identických komponentoch A, B a C. P(A) je celková
pravdepodobnosť poruchy komponentu A. β má najčastejšie hodnoty od 0,05
– 0,1. Pre odhadnutie β faktorov sa v tejto etape (kedy nemáme žiadne dáta z
porucha C porucha B porucha A
AI SABC BI SABC CI SABC
12
testovania) často používa obecný zoznam s β faktormi používaný NASA [17]
a NUREG [2].
5.4 DETAILNÁ KVALITATÍVNA ANALÝZA
Výsledkom tejto analýzy bude konečný zoznam skupín komponentov CCCG
opatrený dokumentovaným inžinierskym vyhodnotením. Toto vyhodnotenie môže
byť zhrnuté vo forme matíc (príčin - obrán / väzbových faktorov – opatrení),
vytvorených pre každú zo skupín CCCG.
5.4.1 Príčiny porúch
Príčina poruchovej udalosti je podmienkou alebo kombináciou podmienok, kvôli
ktorým dôjde ku zmene stavu komponentu. Je zjavné, že takýto popis, kde je
porucha spôsobená jedinou príčinou, je príliš zjednodušujúci. Preto pri výskyte
viacerých porúch je potrebné identifikovať príčiny a udalosti, ktoré tvoria poruchy
CCF (ktoré identifikujú koreňovú príčinu a mechanizmus poruchy) [2]:
Bezprostredné príčiny poruchy môžu byť podmienky/vplyvy, ktoré vedú
k poruche (napríklad chybná údržba, vibrácie). Bezprostredná porucha môže byť
chápaná ako príznak/symptóm koreňovej príčiny poruchy, a zároveň nemusí viesť
k príčine týchto podmienok/vplyvov. Vytváranie nápravných opatrení voči CCF
s uvažovaním a započítaním len bezprostrednej príčiny nemusí byť efektívne.
Podmienená udalosť zvyšuje citlivosť komponentu voči poruchám. Príkladom
môže byť nesprávna údržba (chyba inštalácie). Efekt podmienenej udalosti môže
byť nevýrazný, ale zato je táto udalosť dôležitou časťou mechanizmu poruchy.
Pochopenie podmienenej udalosti môže poskytnúť náhľad do mechanizmu poruchy
a možnej prípadnej obrany voči poruche.
Spúšťacia udalosť aktivuje poruchu alebo inicializuje prechod do poruchového
stavu. Spúšťacia udalosť predstavuje dynamickú vlastnosť mechanizmu poruchy.
Najčastejšie sa vyskytuje ako udalosť pôsobiaca na komponenty z okolitého
prostredia. Napríklad chybný zásah údržby alebo vystavenie komponentov
nadmerným vibráciám.
Nie vždy je potrebné a tiež možné jednoznačne definovať vyššie uvedené udalosti
a príčinu pre danú poruchu komponentu. Najdôležitejším je však identifikovanie
koreňovej príčiny, ktorá je základnou príčinou poruchy komponentu. Koreňovou
príčinou môže byť spúšťacia udalosť alebo podmienená udalosť. Bezprostredná
príčina je väčšinou len príznakom koreňovej príčiny, a preto identifikácia
bezprostrednej príčiny nevedie priamo k pochopeniu čo spôsobilo poruchu, tým
pádom ani nie je možné vytvoriť účinný obranný mechanizmus voči poruche. Pri
analýze systému sa stáva, že nie je vždy možné stanoviť koreňovú príčinu, ale iba
bezprostrednú príčinu poruchy.
V tabuľke 5-1 uvedieme skrátený zoznam najčastejšie vyskytujúcich sa
koreňových príčin CCF, ktoré vychádzajú zo skúseností v jadrovom priemysle,
v NASA a kontrolného zoznamu ECSS.
13
Tabuľka 5-1 Zoznam typických koreňových príčin CCF
Koreňové
príčiny CCF
Chybný
návrh
Chyba
inštalácie
(konštrukcie)
Nesprávna
procedúra
Nedostatočné
školenie Radiácia
Chyba
výroby
Chyby
v modifikáciá
ch návrhu
Nejednoznačná
procedúra
Neadekvátna
údržba
Vysoké/nízke
teploty /
teplotné zmeny
5.4.2 Väzbový faktor
Podmienka alebo mechanizmus, prostredníctvom ktorého sú poruchy viacerých
komponentov so spoločnou príčinou vzájomne prepojené, sa nazýva väzbový faktor.
Väzbový faktor je charakteristikou skupiny komponentov, ktoré sú citlivé na
rovnaké príčinné mechanizmy porúch. Väzbovým faktorom môže byť napr.
podobnosť v návrhu, umiestnení, okolitých podmienkach, prevádzke, údržbe
a spôsobe testovania.
Typy väzbový faktorov môžeme roztriediť do nasledujúceho zoznamu, ktorý
vychádza zo zoznamov používaných v jadrovom priemysle [54] a tiež v NASA [62]:
a) Hardwarový väzbový faktor odpovedá za šírenie porúch komponentmi
vďaka spoločným/rovnakým fyzikálnym podmienkam.
Výrobné atribúty
Konštrukčné atribúty
b) Návrhový väzbový faktor vychádza zo spoločných charakteristík
komponentov na úrovni návrhu HW:
Spôsob rozloženia/konfigurácie komponentov/systému
Väzbový faktor rovnakých súčiastok komponentu
Pripojenie redundantných systémov/komponentov k podporným systémom,
ktoré majú rovnakú konfiguráciu
Pripojenie redundantných systémov / komponentov k spoločnému
podpornému systému, ktorý môže ohroziť ich funkciu (napríklad
v dôsledku preťaženia)
c) Údržbový väzbový faktor – spôsobuje šírenie porúch v dôsledku identických
charakteristík údržby. Údržbový väzbový faktor delíme na:
Rozvrh údržby/testov
Rovnaké procedúry údržby/testovania
d) Prevádzkový väzbový faktor – zodpovedá za šírenie poruchových
mechanizmov kvôli identickým prevádzkovým charakteristikám. Tento
väzbový faktor ďalej delíme na:
Prevádzkové postupy
Obsluha prevádzky
e) Väzbový faktor prostredia – zodpovedá za šírenie porúch v dôsledku
rovnakých vplyvov prostredia.
Vonkajšie prostredie
Vnútorné prostredie
14
5.4.3 Obranné mechanizmy
Princípy obranných mechanizmov proti poruchám so spoločnou príčinou CCF sú
podobné ako proti nezávislým poruchám. Rozdiel je iba v tom, že u CCF nastane
viac ako jedna porucha a poruchy sú vzájomne previazané väzbovým faktorom.
Skrátený prehľad niektorých obranných mechanizmov je uvedený v tabuľke 5-2
[54], [62].
Tabuľka 5-2 Obranné mechanizmy proti CCF
Obranné
mechanizmy
Funkčné
bariéry
Fyzické
bariéry
Monitorovanie
/ pripravenosť Rozvrh údržby
Identifikácia
komponentov
Diverzita Podporné
systémy Montáž/údržba
Časový rozvrh
montáže Prostredie
5.4.4 Vytvorenie matice príčin a obrán
V dizertačnej práci sme navrhli spôsob ako prezentovať výsledky kvalitatívnej
analýzy vo forme tabuľky (matice) príčin – obrán / väzbových faktorov – obrán.
Takýmto spôsobom môžeme analyzovať CCF v súlade s definíciou jej jednotlivých
zložiek uvedených v tomto dokumente. Štruktúra navrhovanej tabuľky (s príkladom
zlyhania redundantných komponentov) príčin a obrán je uvedená v tabuľke 5-3.
Tabuľka 5-3 Príklad matice príčin – obrán a väzbových faktorov – obrán
Pri vytváraní tejto tabuľky sa snažíme analyzovať tie skupiny komponentov,
u ktorých máme podozrenie na prítomnosť CCF, a ktoré sme odhalili pri
kvalitatívnom screeningu (napr. vyplnením checklistu podľa normy ECSS [3]).
Zostavovanie tabuľky príčin a obrán bude jednoduchšie, keď použijeme zoznamy
typických koreňových príčin, väzbových faktorov a obrán proti CCF. Tieto zoznamy
sú uvedené v tabuľkách 5-1, 5-2 a kapitole 5.4.2 a vychádzajú zo zoznamov a
checklistov používaných v jadrovom priemysle [54], v NASA [62] a ESA [3].
Zlyhanie systému alebo subsystému
Poruchov
é udalosti
Príčiny poruchy
CCF
Väzbový
faktor
poruchy CCF
Obrana proti:
koreňovej príčine väzbovému faktoru
Súčasné
zlyhanie
redundant
ných
kompone
ntov
Zlyhanie
komponentov
v dôsledku
environmentálnych
podmienok (napr.
príliš vysoká
teplota)
Zálohované
komponenty
sú v tesnej
blízko vedľa
seba.
Použité
identické
komponenty
Odpovedajúce
kvalifikačné
environmentálne
testovanie zariadenia.
Použitie
kvalifikovaných a
teplotne odolných
súčiastok
Umiestnenie
redundantných
komponentov na
samostatných doskách.
Použitie zálohovaných
komponentov od
odlišných výrobcov
15
5.5 DETAILNÁ KVANTITATÍVNA ANALÝZA
V tomto kroku predstavíme spôsob začlenenia CCF (porúch so spoločnou príčinou)
do modelu spoľahlivosti systému. Pre tento účel opäť použijeme strom poruchových
stavov.
Základná udalosť so spoločnou príčinou (CCBE – common cause basic event)
je udalosť zahrňujúca poruchy niekoľkých komponentov spôsobených spoločnou
príčinou.
Vezmime príklad, kedy máme systém zložený z 3. komponentov A, B a C.
Základnými udalosťami so spoločnou príčinou sú SAB, SAC, SBC a SABC. Prvá udalosť
vyjadruje poruchy komponentov A a B so spoločnou príčinou, a posledná udalosť
vyjadruje poruchu všetkých troch komponentov kvôli spoločnej príčine. Takýmto
spôsobom však nie sú špecifikované príčiny porúch, ale iba ich dôsledky na
jednotlivé komponenty (poruchový stav / bezporuchový stav komponentov) [17].
Základné udalosti vrátane CCBE, obsahujúce poruchu komponentu A, sú
AI – nezávislá porucha komponentu A.
AAB – porucha komponentov A a B zo spoločnej príčiny.
AAC – porucha komponentov A a C zo spoločnej príčiny.
AABC – porucha komponentov A, B a C zo spoločnej príčiny.
Booleovské vyjadrenie, že nastane porucha komponentu A je
AT = AI + AAB + AAC + AABC (5-1)
Minimálne kritické rezy pre systém s logikou 2oo3 bez CCF sú: {A, B}; {A, C};
{B, C}. V obrázku 5-3 môžeme vidieť rozšírený strom poruchových stavov systému
2oo3 na úrovni komponentov o získané CCBEs.
Obrázok 5-3 Strom poruchových stavov rozšírený na úrovni komponentov
Minimálne kritické rezy s uvažovaním CCF budú:
{AI, BI}; {AI, CI}; {BI, CI}; {SAB}; {SAC}; {SBC}; {SABC}.
Redukovaná Booleovská reprezentácia poruchy systému z hľadiska týchto rezov je
S = AI · BI + AI · CI + BI · CI + SAB + SAC + SBC + SABC.
2/3
Zlyhanie
systému
porucha komponentu A
A
porucha komponentu B
A
porucha komponentu C
A
BI
SAB
SBC
SABC
AI SAB
SAC
SABC SABC
SAC
SBC
CI
16
5.5.1 Jednoparametrický β faktor model CCF
Najstaršou a najrozšírenejšou metódou pre modelovanie CCF je β faktor model.
Táto metóda predpokladá, že jednotlivé základné udalosti sú nezávislými javmi a že
všetky redundantné komponenty zlyhajú súčasne kvôli spoločnej príčine.
Kedykoľvek nastane udalosť, ktorá by viedla k poruchám viacerých komponentov,
tak musia všetky komponenty z CCCG zlyhať. To znamená, že pravdepodobnosť
základných udalostí, ktoré nezahrňujú všetky redundantné komponenty bude nulová
[9]. Takže všetky základné udalosti Qk budú nulové okrem Q1 (samostatná nezávislá
porucha jedného komponentu) a Qm (pravdepodobnosť poruchy komponentu
v dôsledku CCF):
mkQ
mk20
1kQ)1(
Q
t
t
)m(
k.
Exponent (m) vyjadruje celkový počet komponentov v CCCG. Obecne pre m
redundantných komponentov [53] je pravdepodobnosť poruchy CCF jedného
komponentu daná:
Qm = β · Qt,
kde celkovú pravdepodobnosť poruchy jedného komponentu tvorí
Qt = Q1 + Qm.
Z toho vyplýva
m1
m
Q
, (5-2)
Pre náš príklad z obrázku 5-3 platí )3(
1Q = (1 - β) · Qt )3(
2Q = 0; P(SAB) = P(SAC) = P(SBC) = Q2 )3(
3Q = β · Qt ; P(SABC) = Q3
Pravdepodobnosť poruchy daného systému (z obr. 5-3) vyjadríme ako
QS = 3 · (1 - β)2 · (Qt)
2 + β · Qt (5-3)
Vo väčšine literatúry sa stretávame s približným vyjadrením β faktoru
prostredníctvom intenzít porúch (pri uvažovaní exponenciálneho rozdelenia porúch).
Tento vzťah tiež vychádza z (5-2) jeho zjednodušením. Tento vzťah využíva
nasledujúce priblíženie pre pravdepodobnosť poruchy, za predpokladu, že 1t :
te1Q t (5-4)
Po dosadení (5-4) do (5-2) vypočítame β faktor ako
m1
m
m1
m
Q
, (5-5)
17
kde λm – predstavuje intenzitu porúch komponentu so spoločnou príčinou a
λ1 – samostatná nezávislá intenzita porúch komponentu.
Tento vzťah je v literatúre veľmi rozšírený a využíva ho tiež rada softwarov pre
výpočet parametrov spoľahlivosti systému s CCF.
β – faktor model sa používa len pri menších počtoch redundantných komponentov
(ideálne dvoch), pretože pri vyššom počte sa stáva veľmi konzervatívnou metódou.
Ukážme si túto nevýhodu na príklade 3 komponentov s CCF podľa nasledujúceho
obrázka (kde vidíme, že pravdepodobnosť poruchy 2 komponentov súčasne
v dôsledku CCF je nulová vid obrázok 5-4):
tQ1 tQ1
tQ1
tQ
Obrázok 5-4 Vennov diagram pre β faktor model pre 3 redundantné komponenty
V prípadoch, kedy máme viac ako 2 redundantné komponenty a nastane udalosť
vedúca k poruchám viacerých (ale nie všetkých) komponentov, je vhodné použiť
viacparametrické modelovanie CCF (sú uvedené v dizertačnej práci).
Ďalšie spôsoby modelovania CCF, rozdelené podľa počtu parametrov, väzbových
faktorov a dopadov CCFs, sú uvedené prehľadne v tabuľke 5-4 [53].
18
Tabuľka 5-4 Prehľad parametrických modelov CCF spôsob
odhadu model
parametre
modelu
výpočet pravdepodobnosti základnej
udalosti
priamy so základnými
parametrami Q1, Q2, ...Qm Qk, 1 ≤ k ≤ m
nep
riam
y
jed
no
par
a
met
rick
ý
beta faktor model Qt, β
mkQ
mk20
1kQ)1(
Q
t
t
)m(
k
via
cpar
amet
rick
ý viacparametrický MGL
model Qt, β, γ, δ, ...
t1k
k
1i
ik Q1
1k
1m
1Q
;
k = 1, …, m ;
ρ1 = 1, ρ2 = β, ρ3 = γ, ..., ρm+1 = 0
alfa faktor model Qt, α1, α1, ...αm t
t
)m(
k)m(
k
k
m
QmQ
,
m
1k
)m(
kt k
Qt je celková pravdepodobnosť poruchy daného komponentu A, vrátane všetkých
nezávislých udalostí poruchy komponentu A a udalostí so spoločnou príčinou.
5.5.2 Problematika praktického používania β faktoru
Aby sme pochopili význam β faktoru, naznačíme odvodenie vzťahov pre jeho
výpočet a ukážeme si tiež jeho vlastnosti. Ak budeme uvažovať udalosť poruchy
komponentu A, tak β – faktor tiež môžeme vyjadriť ako podmienenú
pravdepodobnosť CCF za podmienky, že nastane udalosť A, teda ako
AP
ACCFPACCFP A
A
(5-6)
Vzhľadom k tomu, že jav CCFA je časťou javu A (jav CCFA je podjavom javu A),
tak môžeme zapísať
AA CCFPACCFP (5-7)
Celkovú poruchu komponentu A teda môžeme modelovať ako jav, ktorý je:
A. (situácia A.) zložený z dvoch vzájomne disjunktných javov CCFA (udalosť
poruchy komponentu A v dôsledku spoločnej príčiny) a AI (udalosť samostatnej
nezávislej poruchy komponentu A). Pre pravdepodobnosť poruchy komponentu
A teda platí
P(A) = IA ACCFP = P(CCFA) + P(AI), (5-8)
keďže AI a CCFA sú v rámci spoločného javového poľa vzájomne disjunktné, tak
platí: P(AI ∩ CCFA) = 0.
Disjunktné javy sú podmnožinou rovnakej množiny javov S.
Pravdepodobnosť zjednotenia disjunktných javov AI a CCFA je teda
definovaná v rámci jedného javového poľa S.
19
Po dosadení (5-8) a (5-7) do (5-6) dostávame vzťah pre β faktor, zhodný so
vzťahom (5-2), pôvodne navrhnutým K. N. Flemingom v roku 1975, pre
oblasť jadrového priemyslu:
1m
m
IA
AA
Q
APCCFP
CCFPACCFP
(5-9)
Tento vzťah však predpokladá, že pravdepodobnosť samostatnej nezávislej
poruchy jedného komponentu Q1 a pravdepodobnosť poruchy CCF Qm boli
získané testovaním skúmaného systému s uvažovaním porúch CCF (tj. javy AI
a CCFA sú definované v rámci spoločného javového poľa). V praxi sa však
väčšinou stretávame so situáciou, kedy máme danú pravdepodobnosť javu Q1 (z
dostupných dát), ktorá nebola získaná v rámci testovania s uvažovaním CCF (t.j.
Q1 bola získaná testovaním samostatného komponentu A – túto situáciu rieši
nasledujúci bod B.).
B. (situácia B.) zložený z dvoch nezávislých javov CCFA (udalosť poruchy
komponentu A v dôsledku spoločnej príčiny) a AI (udalosť samostatnej
nezávislej poruchy komponentu A). Navyše javy AI a CCFA sú definované
v rámci vlastných javových polí. Pravdepodobnosť poruchy samotného
komponentu AI je určená (napr. s využitím metód part count alebo part stress
podľa MIL-HDBK-217 [30]) bez uvažovania CCF. Pre pravdepodobnosť
poruchy komponentu A teda platí
P(A) = IA ACCFP = P(CCFA) + P(AI) – P(AI ∩ CCFA), (5-10)
keďže AI a CCFA sú nezávislé javy tak platí: P(AI ∩ CCFA) = P(AI)∙P(CCFA).
V tomto prípade sú nezávislé javy AI a CCFA z dvoch odlišných javových polí,
čo vylučuje aby boli tieto javy disjunktné. Po dosadení (5-10) a (5-7) do (5-6)
dostávame vzťah pre β faktor
IAIA
A
AAPCCFPAPCCFP
CCFPACCFP
(5-11)
Môžeme si všimnúť, že tento vzťah je odlišný od vzťahu (5-9).
V praxi sa často stretávame so situáciou (situácia B. predchádzajúceho odstavca),
kedy máme k dispozícií pravdepodobnosť samostatnej poruchy komponentu P(AI)
(určenej bez uvažovania CCF, napr. podľa [30]) a hodnotu β faktoru (určeného napr.
kontrolným zoznamom). Vzhľadom k tomu, že AI a CCFA predstavujú dva javy
z odlišných javových polí, tak v tomto prípade by sme mali použiť náš vzťah (5-11).
Pokiaľ by sme použili v tejto situácií vzťah (5-9), tak budú existovať P(CCFA) a
P(AI) také, že IA ACCFP = P(CCFA) + P(AI) > 1, čo samozrejme v teórii
pravdepodobnosti nemôže nastať. Vzťah (5-9) môžeme používať iba vtedy, keď
pravdepodobnosti P(CCFA) a P(AI) boli získané pri testovaní s uvažovaním CCF.
Ako sme uviedli, tak v praxi sa najčastejšie stretávame so situáciou (B.), kedy
máme k dispozícií pravdepodobnosť samostatnej poruchy komponentu P(AI)
a hodnotu β faktoru. Vo väčšine literatúry sa však výpočet β faktoru, pre túto
situáciu, riadi vzťahom (5-5), ktorý využíva intenzity porúch (a ktorý vychádza zo
vzťahu (5-9) – za predpokladu te1Q t , pre 1t ), a nie nami
20
odvodeným vzťahom (5-11). Ako bolo spomenuté, tak pre túto situáciu (B.) by sme
mali správne použiť vzťah (5-11) a nie vzťah (5-9) alebo (5-5). Vzťahy (5-9) alebo
(5-5) by mali byť používané iba pre situáciu (A.).
Napriek tomu sa pre situáciu (B.) používa vzťah (5-5) (tak ako je to uvedené vo
väčšine literatúry, softwaroch pre spoľahlivosť a dokonca i v normách, napr. IEC
61508 [10]). Je prekvapujúce, že použitie vzťahu (5-5) pre situáciu (B.) nie je
nesprávne, i keď vzťah (5-9) je pre túto situáciu nepoužiteľný.
m1
m
m1
m
Q
Rozdiel spočíva len v tom:
že menovateľ ľavej časti vyššie uvedeného vzťahu popisuje
pravdepodobnosť poruchy zjednotenia dvoch disjunktných javov AI a CCFA
a menovateľ pravého výrazu popisuje intenzitu poruchy zloženej z intenzít
porúch dvoch nezávislých javov AI a CCFA.
Preto je v situácií (B.), kedy sú javy AI a CCFA nezávislé (s čím sa v praxi
stretávame najčastejšie), použiteľný vzťah (5-5), ktorý využíva intenzity porúch
a taktiež nami odvodený vzťah (5-11), ktorý využíva pravdepodobnosti porúch.
5.5.3 Odhad β faktoru pomocou kontrolných zoznamov
V tejto kapitole budeme venovať pozornosť určovaniu β faktorov v prípadoch, kedy
nemáme k dispozícií údaje o testovaní analyzovaných systémov na prítomnosť CCF
a nemôžeme použiť estimátory (uvedené v dizertačnej práci). Tieto zoznamy otázok
budú vychádzať z dostupných informácií o danom systéme a o jeho dizajne.
Zoznamy otázok sú smerované na opatrenia, ktoré vedú k zníženiu počtu CCFs.
Odpovede na otázky sú bodované. Odpovedajúcemu počtu bodov sú následne
priradené hodnoty β faktoru.
V kozmickom priemysle sa často vyvíjajú nové experimentálne zariadenia
a prístroje, u ktorých nemáme k dispozícií takmer žiadne historické dáta o CCF,
žiadne databázy s CCF a ani dáta z testov na CCF. V tomto prípadne je teda vhodné
odhadnúť β faktor s pomocou zoznamu kontrolných otázok.
Odhad β faktoru podľa IEC 61508
Norma IEC 61508 obsahuje postupy ako určiť β faktor v systémoch náchylných na
CCF. Jedná sa o zoznam 37. otázok, rozdelených do 8. typov opatrení, ktoré vedú
k zníženiu počtu CCFs. Kladným odpovediam sú priradené body. Body získané pre
kladné odpovede sú nakoniec sčítané a danému súčtu je následne priradená hodnota
β faktoru.
Celkovú intenzitu porúch vypočítame ako súčet intenzít porúch s vplyvom a bez
vplyvu diagnostických testov na CCF:
DDDDUD , (5-12)
kde
D – je intenzita nebezpečných porúch jedného komponentu,
21
– je β faktor bez uvažovania diagnostických testov (nedetekovateľných
nebezpečných porúch),
DU – je intenzita nebezpečných porúch nedetekovateľných diagnostickými
testami,
DD – je intenzita nebezpečných porúch detekovateľných diagnostickými testami,
D – je β faktor pri uvažovaní nebezpečných porúch detekovateľných
diagnostickými testami.
Ukážme ďalej stručne výhody a nevýhody kontrolného zoznamu z IEC 61508.
Výhody:
Určenie β faktoru bez nutnej znalosti historických dát systému
Určenie β faktoru bez nutnosti testovania systému na CCF
Určenie β faktoru iba zo znalosti návrhu systému
Široká škála opatrení proti CCF, plynúca z kontrolných otázok
Nevýhody:
Nutná detailná znalosť návrhu a technických riešení analyzovaného systému
Odpovede na otázky vo forme áno/nie
Odhad β faktoru podľa IEC 61508 s váženými odpoveďami
Vyššie uvedenú nevýhodu s nepresnými odpoveďami (vo forme áno/nie) na
kontrolné otázky je možné vyriešiť zavedením váh (alebo miery splnenia daného
opatrenia) u každej z odpovedí. Navrhujeme preto nasledujúci postup stanovenia
odpovede na kontrolnú otázku. Zavedieme váhy iw , iu , i – tej otázky, ktoré
predstavujú mieru splnenia (kontrolnej otázky) opatrenia proti CCF v škálach
1w0 i a 1u0 i v odpovediach bez uvažovania ( iw ) a s uvažovaním ( iu )
vplyvov diagnostického testovania.
Odhad β faktoru podľa IEC 61508 s využitím FUZZY množín
V predchádzajúcej podkapitole sme uviedli možnosť využitia váh pri odpovediach
na kontrolné otázky zoznamu z IEC 61508. Použitie váh nám umožnilo presne
odpovedať na jednotlivé otázky a zároveň určiť presne mieru splnenia opatrenia
proti CCF. Nevýhodou takéhoto postupu odhadu β faktoru je nutná detailná znalosť
analyzovaného systému (čo môže viesť k vyšším časovým nárokom na analýzu
CCF). Preto v tejto kapitole navrhujeme využiť fuzzy množiny, ako vhodný nástroj
pri odpovediach na kontrolné otázky zoznamu z IEC 61508. Fuzzy množiny sa dajú
tiež dobre využiť v prípade, kedy nemáme úplne podrobnú znalosť o analyzovanom
systéme (t.j. nemáme jednoznačné odpovede na kontrolné otázky).
Ako sme už spomenuli, tak kontrolný zoznam pozostáva z 37. otázok (opatrení)
rozdelených do 8. typov opatrení. Pre vyhodnotenie bodového zisku pre jednotlivé
typy opatrení navrhujeme využitie fuzzy množín nasledujúcim spôsobom (obr. 5-5).
22
Vstupné funkcie
príslušnosti
Pravidla
Výstupné funkcie
príslušnosti
Fuzzifikácia
Inferencia
Defuzzifikácia
Fuzzy inferenčný systém
1. opatrenie
2. opatrenie
3. opatrenie
Fuzzy opatrenie 1
Fuzzy opatrenie 2
Fuzzy opatrenie 3
Fuzzy vyhodnotenie
Odhad špecialistu
Ostrá hodnota typu opatrenia
Obrázok 5-5 Proces využitia Fuzzy množín pri stanovení bodového zisku pre
daný typ opatrenia
Ako vstupy sú použité jazykové premenné (v našom prípade možné odpovede na
otázky) popisujúce mieru jednotlivých opatrení daného typu. Fuzzifikáciou sa
vstupom priradia jednotlivé funkcie príslušnosti pre jednotlivé jazykové hodnoty.
Výsledné fuzzy vstupy sú následne spracované inferenciou s jazykovými pravidlami
a fuzzy logickými operáciami. Výstupom tohto procesu je fuzzy typ opatrenia a jeho
odpovedajúca funkcia príslušnosti. Tento fuzzy výstup je ďalej defuzzifikovaný za
účelom získania ostrej hodnoty bodového zisku typu opatrenia.
6 KOZMICKÝ PRÍSTROJ MIKROAKCELEROMETER
Kozmický prístroj mikroakcelerometer ACC (s označením MAC04) predstavuje
zariadenie, ktorého primárnou úlohou je meranie negravitačných zrýchlení družice
na obežnej dráhe (spôsobené napr. vrchnými vrstvami atmosféry, albedom Zeme
alebo tlakom slnečného žiarenia na družicu). Toto zariadenie umožňuje merať
zrýchlenia pre posuv v rozsahu 410 ms
-2 a s rozlíšením až 1,4 1110
ms
-2 [57]. ACC
je elektrostatický typ mikroakcelerometru so senzorom v tvare kocky (s rozmermi
29,6x29,6x29,6mm). Táto kocka sa nachádza v dutine (s rozmermi 30x30x30mm).
Pohyb senzorickej kocky v dutine je vymedzený dorazmi, ktoré obmedzujú vôľu
kocky v dutine na ± 20 µm. V priebehu štartu rakety a vynesenia družice na obežnú
dráhu je kocka fixovaná aretačným mechanizmom. Po dosiahnutí obežnej dráhy
a ustabilizovaní družice dôjde k odaretovaniu senzorickej kocky.
Vývoj prístroja ACC prebiehal vo VZLU (v rokoch 2008 - 2012) v rámci
medzinárodného európskeho projektu SWARM pod dohľadom ESA. V rámci tohto
projektu mali byť dodané 3 letové prístroje ACC. Jednalo sa o prvý veľký kontrakt
českej firmy na dodávku prístrojov pre družice ESA. Okrem VZLU sa na tomto
projekte podieľalo ďalších 14 organizácií.
SWARM predstavuje konšteláciu 3 identických družíc, pričom 2 družice budú
umiestnené vedľa seba na orbitách vo výške 460 km a tretia družica bude vynesená
na orbitu do výšky 530 km. Jedna družica má hmotnosť 468 kg, je dlhá 9,1m
(vrátane 4 m výklopného ramena), široká 1,5 m a vysoká 0,85 m.
23
Obrázok 6-1 Principiálna schéma ACC pre jednu osu
22.11.2013 boli družice SWARM vynesené na obežnú dráhu nosnou raketou
Rokot, ktorá odštartovala z ruského kozmodrómu Pleseck. V súčasnej dobe
(6.5.2015) fungujú všetky 3 mikroakcelerometre na 3. družiciach a úspešne
plnia svoju misiu.
Obrázok 6-2 Pohľad do vnútra ACC – z ľavej strany dosky elektroniky; vpravo je
senzorická kocka s dutinou obklopená doskami elektroniky polohovej detekcie.
Prístroj ACC má približne hmotnosť 6 kg a rozmery 177 x 204 x 360 mm.
7 CCF ANALÝZA ZARIADENIA ACC
V tejto kapitole vykonáme analýzu CCF na redundantných subsystémoch ACC
podľa nami navrhnutého postupu (obr. 5-1). Konkrétne sa zameriame na zálohovaný
systém prepaľovacích odporov so spínacími obvodmi a taktiež na zálohované
vstupné spínacie obvody napájania pristroja. Výsledky detailnej kvantitatívnej
24
analýzy CCF zahrnieme do celkového odhadu bezporuchovosti ACC a porovnáme
ich s výsledkami bez uvažovania CCF.
7.1 KVALITATÍVNA CCF ANALÝZA ACC
Pre skúmané zálohované subsystémy ACC sme vytvorili stromy poruchových
stavov (FT). Tieto stromy porúch sme na úrovni zálohovaných komponentov
rozšírili o poruchy so spoločnou príčinou.
Podľa postupu (obr. 5-1) sme vykonali kvalitatívny screening vyplnením
zoznamu kontrolných otázok podľa ECSS [3]. Z vyplnených kontrolných otázok
vyplýva, že počas návrhu systému neboli zohľadnené niektoré dôležité opatrenia
vedúce k obrane voči väzbovým faktorom CCF a to hlavne u všetkých
redundantných komponentov/subsystémov zariadenia.
Detailná kvalitatívna analýza obvodov odaretovania ACC je vo forme
matice/tabuľky príčin a obrán. Vo vytvorených tabuľkách príčin a obrán (viď
prílohy dizertačnej práce) môžeme okamžite vidieť akým spôsobom sú v dizajne
systému riešené obranné mechanizmy voči príčinám CCF.
Vymenujme len najdôležitejšie obranné mechanizmy, ktoré neboli do systému
zahrnuté a patria medzi dôležité obranné mechanizmy proti CCF:
zálohované komponenty od rôznych výrobcov,
redundantné subsystémy s odlišnými princípmi funkcie
bariéry/izolácie medzi zálohami,
samostatné napájanie zálohovaných komponentov,
redundantné komponenty nie sú v tesnej blízkosti
teplotne odizolované zálohy,
minimum spoločných integrovaných obvodov,
rôzne konektory pre hlavnú a zálohovanú vetvu (prípadne voľný pin medzi
primárnou a redundantnou vetvou v rámci jedného konektoru).
7.2 KVANTITATÍVNA CCF ANALÝZA ACC
Ako už bolo spomenuté, tak parametrické modelovanie CCF vyžaduje znalosť
historických dát a pravdepodobnosti výskytu jak nezávislých porúch tak aj porúch
so spoločnou príčinou. Uviedli sme tiež, že pri nedostatku takýchto dát (čo je náš
prípad), je možné použiť odhady parametrov CCF.
V našom prípade pri posudzovaní subsystémov ACC stanovíme parametre β –
faktor modelu odhadom:
a) Na základe zoznamu s konzervatívnymi všeobecnými hodnotami β – faktorov
podľa NUREG [2] a NASA [17].
b) Na základe vyplnenia bodovaného kontrolného zoznamu podľa IEC 61508[10],
kde použijeme bodovanie podľa IEC 61508.
c) Použijeme novo navrhnuté bodovanie váženými odpoveďami (pre zoznam z IEC
61508).
25
d) Použijeme novo navrhnuté stanovenie bodového zisku s použitím fuzzy množín
a interpolovanej závislosti bodového zisku a β faktoru.
Vzhľadom k tomu, že v analyzovaných subsystémoch ACC sú vždy maximálne 2
redundantné komponenty, vystačíme si pri našich výpočtoch s β – faktor modelmi
(kde je u malého množstva redundantných komponentov rovnaký výsledok aj pre
MGL a α – faktor modely).
V obrázku 7-1 môžeme vidieť celkový priebeh bezporuchovosti všetkých
zálohovaných systémov ACC s uvažovaním a bez uvažovania CCF v priebehu misie
daného systému. Všimnime si, že so stúpajúcou hodnotou β (t.j. stúpajúcou mierou
zastúpenia CCF v systéme), pravdepodobnosť bezporuchovej prevádzky klesá.
0 0.5 1 1.5 2 2.5 3 3.5 40.96
0.965
0.97
0.975
0.98
0.985
0.99
0.995
1
1.005
X: 4.25Y: 0.9873
t [years]
Relia
bili
ty o
f A
CC
redundant
com
ponents
X: 4.25Y: 0.9765
X: 4.25Y: 0.972
X: 4.25Y: 0.9647
R(IECv
=0.05)
R(IECf
=0.07)
R(NASA
=0.1)
R(ideal redundant model)
Obrázok 7-1 Priebeh bezporuchovosti redundantných obvodov ACC s rôznymi β
faktormi a bez uváženia CCF (ideálny redundantný model).
Po tom čo sme vypočítali intenzity porúch pre oba redundantné subsystémy (pre
všetky typy β faktorov), vypočítame celkové výsledné hodnoty parametrov
spoľahlivosti celého systému ACC s uvažovaním a bez uvažovania redundantných
komponentov a CCF (viď tabuľka 7-1). V tabuľke je tiež uvedená minimálna
bezporuchovosť ACC požadovaná zákazníkom pre danú misiu.
V tabuľke 7-1 si môžeme všimnúť, že hodnoty zvýraznené tučným písmom,
nespĺňajú požiadavku minimálnej hodnoty bezporuchovosti, ktorú má mať ACC pre
danú dĺžku misie. V poslednom riadku je uvedená bezporuchovosť ACC bez
použitia akýchkoľvek záložných komponentov. Na tomto príklade vidíme, že pri
uvažovaní systému ACC s ideálnymi redundantnými modelmi (kedy vôbec
neuvažujeme CCF), bude daný systém tesne spĺňať požiadavky na bezporuchovosť.
26
Tabuľka 7-1 Spoľahlivosť systému ACC s uvažovaním a bez uvažovania CCF
u redundantných systémov
Minimálna bezporuchovosť ACC požadovaná zákazníkom 0,8
Bezporuchovosť ACC bez komponentov ktoré majú byť
zálohované 0,8580
Bezporuchovosť ACC bez CCF (s ideálnymi redundantnými
modelmi) 0.8097
Bezporuchovosť ACC s CCF (βIECv = 0,05) 0.7907
Bezporuchovosť ACC s CCF (βIECf = 0,07) 0,7826
Bezporuchovosť ACC s CCF (βNASA = 0,1) 0.7715
Bezporuchovosť ACC bez záložných komponentov 0.5469
V priebehu vývoja zariadenia ACC, sme pri analýzach bezporuchovosti počítali
s ideálnymi redundantnými modelmi, čo bolo v súlade s požiadavkami kozmických
noriem ECSS a požiadavkami zákazníka. Preto sme požiadavku na minimálnu
bezporuchovosť splnili. Avšak v prípade kedy uvažujeme CCF, tak takýto systém
bude mať výslednú hodnotu bezporuchovosti nižšiu ako je požadovaná zákazníkom
(a tým pádom nesplňujeme požiadavku na spoľahlivosť).
Na príklade ACC sme teda chceli upozorniť a ukázať aké je dôležité zahrnutie
analýzy CCF medzi analýzy spoľahlivosti kozmických prostriedkov. V obrázku 7-2
sú zobrazené priebehy bezporuchovosti ACC odpovedajúce tabuľke 7-1 pre celú
dĺžku misie.
0 0.5 1 1.5 2 2.5 3 3.5 4 4.50.5
0.55
0.6
0.65
0.7
0.75
0.8
0.85
0.9
0.95
1
t [years]
Relia
bili
ty o
f A
CC
R(IECv
=0.05)
R(IECf
=0.07)
R(NASA
=0.1)
R(ideal redundant model)
R(ACC without redundancy)
R(ACC without primary and redundant components)
Obrázok 7-2 Priebeh bezporuchovosti ACC v rôznych konfiguráciách podľa
tabuľky 7-1 (tenkou červenou čiarou je znázornená minimálna požadovaná
bezporuchovosť ACC a dĺžka misie)
27
8 ZÁVER
K súčasnému stavu problematiky posudzovania spoľahlivosti kozmických zariadení
nás priviedli hlavne skúsenosti získané v priebehu vývoja kozmického prístroja
mikroakcelerometra (analýzy spoľahlivosti a funkčné testy a skúšky ACC). V úvode
tejto práce preto zhrňujeme analýzy spoľahlivosti a im odpovedajúce normatívne
a technické dokumenty, aby sme získali dostatočný prehľad o požiadavkách
a možnostiach, ktoré máme k dispozícií pre vybranú analýzu. V rámci tohto
prehľadu sa ďalej zameriavame na vybranú oblasť porúch so spoločnou príčinou,
ktorej sa v tejto práci venujeme. Toto naše zameranie na CCF vychádza hlavne
z nedostatočného spracovania tejto problematiky v oblasti kozmického priemyslu,
čo je tiež ukázané v rešerši v úvodných kapitolách. Požiadavky pre oblasť
kozmického priemyslu v Európe (ECCS dokumenty od ESA) nepožadujú a ani
neposkytujú metodiku pre analýzu porúch so spoločnou príčinou v dostatočnom
rozsahu (iba krátky kontrolný zoznam vhodný len pre kvalitatívny screening)
v porovnaní s inými priemyselnými odvetviami. Európska kozmická norma ECSS-
Q-ST-30C [3] ďalej iba uvádza, že analýza CCF môže byť vykonaná v rámci
analýzy FMECA.
V tejto dizertačnej práci sme preto predstavili riešenie tohto problému v podobe
návrhu detailného postupu analýzy CCF (jak kvalitatívnej, tak kvantitatívnej), kde
sme sa tiež zoznámili s popisom, charakteristikou a mechanizmami porúch CCF. Pri
zostavovaní jednotlivých krokov tohto nami navrhnutého postupu sme získavali
inšpiráciu z postupov analýzy CCF pre iné priemyselné odvetvia (letectvo, jadrový
priemysel, priemyselná výroba). V navrhnutom postupe kvalitatívnej
a kvantitatívnej analýzy CCF sme však reflektovali špecifiká a obmedzenia, ktoré sú
pre oblasť kozmického priemyslu význačné. V rámci tejto práce sme navrhli
nasledujúce úplne nové postupy:
Detailný postup procedúry vykonávania kvalitatívnej a kvantitatívnej analýzy
CCF
Nový spôsob vytvárania matice príčin a obrán určený pre oblasť kozmického
priemyslu (čo predstavuje hlavný výstup kvalitatívnej analýzy CCF).
Nový postup hodnotenia odpovedí kontrolného zoznamu IEC61508 (s využitím
vážených odpovedí a fuzzy množín) pre stanovenie β faktoru (používaného
v kvantitatívnej analýze pri výpočte bezporuchovosti redundantných systémov).
Odvodenie presného vzťahu pre výpočet β faktoru a správna interpretácia
výsledkov pri jeho použití.
Uvedený postup analýzy CCF sme aplikovali na kozmický prístroj
mikroakcelerometer. Na tomto príklade sme tiež ukázali prínosy novo navrhovaného
postupu CCF analýzy a tiež sme uviedli porovnanie výsledkov výpočtu
bezporuchovosti celého systému ACC s použitím rôznych redundantných modelov.
Z uvedených výsledkov môžeme usúdiť, že pri zahrnutí CCF analýzy do celkového
výpočtu bezporuchovosti došlo k spresneniu jej odhadu. Zahrnutie CCF analýzy
môže spôsobiť zníženie celkovej hodnoty bezporuchovosti, čo môže viesť až
28
k nesplneniu požiadavky na jej minimálnu požadovanú hodnotu. Táto situácia
nastala konkrétne na našom príklade mikroakcelerometra, kedy celkový odhad jeho
bezporuchovosti tesne spĺňal požiadavky. Avšak po zahrnutí CCF do výpočtu
bezporuchovosti, sme sa dostali pod jej požadovanú hodnotu a tým pádom sme
nesplnili požiadavku na bezporuchovosť tohto systému.
Zo získaných výsledkov ďalej vyplynulo, že neposúdenie systému na možnú
prítomnosť CCF, môže viesť nielen k nesprávnemu odhadu bezporuchovosti, ale aj
k neodhaleniu chybného dizajnu. Preto by mal inžinier spoľahlivosti vykonávať
aspoň kvalitatívnu analýzu CCF, i keď nemá na túto analýzu explicitne stanovenú
požiadavku.
29
9 LITERATÚRA
[1] Stott, James E., et al.: Common Cause Failure Modeling: Aerospace Versus
Nuclear. 2010.
[2] A. Mosleh, et al.: Procedures Guidelines in Modeling Common Cause Failures
in Probabilistic Risk Assessment, NUREG/CR-5485, 1998.
[3] ECSS-Q-ST-30C Space product assurance – Dependability; 6 March 2009,
54pp.
[4] Dhillon, B S. Maintainability, Maintenance, and Reliability for Engineers.
Boca Raton: CRC/Taylor & Francis, 2006. Print.
[5] Dhillon, B S. Design Reliability: Fundamentals and Applications. Boca Raton,
FL: CRC Press, 1999. Print.
[6] Kececioglu, D, and Tian D. Xijin. "Reliability Education: a Historical
Perspective." Ieee Transactions on Reliability. 47.3 (1998). Print.
[7] Denson, W. “The History Of Reliability Prediction Ieee Transactions on
Reliability.“ 47.3 (1998). Print.
[8] SAE ARP 4761: Guidelines and Methods for Constructing the Safety
Assessment Process on Civil Airborne Systems and Equipment, 1996.
[9] Guiseppe Mauri: Integrating Safety Analysis Techniques, Supporting
Identification of Common Cause Failures, PhD thesis, 2000.
[10] IEC 61508-6: Functional safety of electrical / electronic / programmable
electronic safety-related systems – Part 6: Guidelines on the application of IEC
61508-2 and IEC 61508-3.
[11] ECSS-S-ST-00C, ECSS System – Description, implementation and general
requirements; 31 July 2008, 34pp.
[12] ECSS-M-ST-10C Space project management – Project planning and
implementation; ESA-ESTEC, 6 March 2009, 50 pp.
[13] ECSS P-001 ECSS – Glossary of terms; 2004, 62 pp.; dokument dostupný tiež
ako hypertext z adresy www.ecss.nl.
[14] IEC 60050-191 :1990, International Electrotechnical Vocabulary – Chapter
191: Dependability and quality of service; 149 pp.
[15] ČSN IEC 60050-191, Medzinárodný elektrotechnický slovník – Kapitola 191:
Spoľahlivosť a akosť služieb.
[16] MIL-STD-721C Definitions of term for reliability and maintainability; DoD
U.S.A., 1981, 18 pp., Cancelled 1995.
[17] M. Stamatelatos, et. al.: Probabilistic Risk Assessment Procedures Guide for
NASA Managers and Practitioners, NASA, Aug. 2002.
[18] A. Mosleh: Interaction between Model and Data in Common Cause Failure
Analysis, University of Maryland, MD, USA.
30
[19] ECSS-Q-ST-30-09C, Space product assurance – Availability analysis, 31 July
2008, 31 pp.
[20] ECSS-Q-ST-30-02C, Space product assurance – Failure modes, effects (and
criticality) analysis (FMEA/FMECA). 6 March 2009, 74 pp.
[21] ECSS-Q-60-11A, Space product assurance – Derating and end-of-life
parameter drifts — EEE components. 7 September 2004, 76 pp., Superseded
standard.
[22] ECSS-Q-ST-30-11C, Space product assurance – Derating – EEE Components.
31 July 2008, 59 pp.
[23] ECSS-Q-30-01A, Space product assurance – Worst case circuit performance
analysis. 31 March 2005, 36 pp., superseded standard.
[24] ECSS-Q-HB-30-01A, Space product assurance – Worst case analysis. 14
January 2011, 23 pp.
[25] ECSS-Q-ST-40-12C, Space product assurance – Fault tree analysis – Adoption
notice ECSS/IEC 61025. 31 July 2008, 11 pp.
[26] ECSS-E-ST-10-12C, Space engineering – Methods for the calculation of
radiation received and its effects and a policy for design margins. 15 November
2008, 105 pp.
[27] MIL-STD-785B, Reliability Program for Systems and Equipment Development
and Production; DoD U.S.A., 1980, 88 pp., Cancelled 1998.
[28] MIL-HDBK-338B, Electronic Reliability Design Handbook; DoD U.S.A.,
1998, 1046 pp., Validated 2007.
[29] MIL-STD-756B, Military Standard: Reliability modeling and prediction; DoD
U.S.A., 1981, 85 pp, Cancelled 1998.
[30] MIL-HDBK-217F, Notice 2 Reliability Prediction of Electronic Components,
DoD U.S.A., 28 Feb 1995.
[31] MIL-STD-1629A Procedures for Performing a Failure Mode, Effects and
Criticality Analysis; DoD U.S.A., 1980, 54 pp., Cancelled 1998.
[32] MIL-HDBK-1547A Electronic Parts, Materials, and Processes for Space and
Launch Vehicles; DoD U.S.A., 1998, 253 pp.
[33] Johanson, B., Russell, D., Swavely,W.: Worst case circuit analysis application
guidelines. CRTA-WCCA, Reliability Analysis Center,1993. 88 pp.
[34] M. Stamatelatos, et. al.: Fault Tree Handbook with Aerospace Applications,
NASA, Aug. 2002.
[35] NASA-STD 8729.1 Planning, Developing and Managing an Effective
Reliability and Maintainability (R&M) Program, NASA, 1998, 77 pp.
[36] JPL-D-5703 Reliability Analyses for Flight Hardware in Design, Jet Propulsion
Laboratory, 1990, 169 pp.
31
[37] NASA Jet Propulsion Laboratory Derating Guidelines JPL-D-8545 Revision D,
2003.
[38] IEC 60300-3-1: 2003 Dependability management-Part 3-1: Application guide -
Analysis techniques for dependability - Guide on methodology; 17 pp.
[39] ČSN EN 62308: 2007 Bezporuchovost zařízení – Metody posuzování
bezporuchovosti.
[40] IEC 61078: 2006 Analysis techniques for dependability -- Reliability block
diagram method.
[41] IEC 60812: 2006 Analysis techniques for system reliability - Procedure for
failure mode and effects analysis (FMEA).
[42] ČSN EN 60812: 2007 Techniky analýzy bezporuchovosti systémů – Postup
analýzy způsobů a důsledků poruch (FMEA).
[43] IEC 61649: 2008 Goodness-of-fit tests, confidence intervals and lower
confidence limits for Weibull distributed data. 31 pp.
[44] ČSN EN 61649: 2009 Weibullova analýza.
[45] IEC 61165: 2006 Application of Markov techniques.
[46] ČSN EN 61165: 2007 Použití Markovových technik.
[47] IEC 61025: 2006 Fault tree analysis (FTA).
[48] IEC 62502: 2010 Analysis techniques for dependability - Event tree analysis
(ETA).
[49] ČSN EN 61025: 2007 Analýza stromu poruchových stavů (FTA).
[50] ČSN EN 62502: 2011 Techniky analýzy spolehlivosti – Analýza stromu
událostí.
[51] ECSS-Q-HB-30-08A Space product assurance – Components reliability data
sources and their use. 14 January 2011, 31 pp.
[52] IAEA-TECDOC-648 Procedures for conducting common cause failure analysis
in probabilistic safety assessment, IAEA, May 1992, 36 pp.
[53] A. Mosleh, et al: Procedures for Treating Common Cause Failures in Safety
and Reliability Studies, U.S. Nuclear Regulatory Commission and Electric
Power Research Institute, NUREG/CR-4780, and EPRI NP-5613. Volumes 1
and 2, 1988.
[54] T.E. Wierman, et al.: Common-Cause Failure Database and Analysis System:
Event Data Collection, Classification, and Coding NUREG/CR-6268, 2007.
[55] Zakucia, J., Merkl, M.: Aplikace softwarových nástrojů a metod při provádění
spolehlivostních analýz kosmických přístrojů. Zpráva VZLÚ R-4930/10,
Praha-Letňany 2010, 22 str.
[56] Zakucia, J., Merkl, M.: ACC Reliability Analysis, Issue 1.0, VZLU, Prague,
November 30, 2009, 52 pp.
32
[57] Zakucia, J., Merkl, M.: ACC Failure Modes and Effects Analysis, Issue 1.0,
VZLU, Prague, November 30, 2009, 300 pp.
[58] NASA NHB 7120.5A: Management of Major Systems and Programs, 1998.
[59] N. Romanova, N. Crosby, and V. Pilipenko, “Relationship of Worldwide
Rocket Launch Crashes with Geophysical Parameters,” International Journal of
Geophysics, vol. 2013, Article ID 297310, 15 pages, 2013.
doi:10.1155/2013/297310.
[60] ECSS-Q-30-02A Space Product Assurance – Failure modes, effects and
criticality analysis (FMECA). ESA-ESTEC, Noordwijk, 7 September 2001.
[61] ECSS-Q-ST-10-04C, Space product assurance – Critical-item control, 31 July
2008, 29 pp.
[62] Rutledge, P.J. and Mosleh, A., Dependent-Failures in Spacecraft: Root Causes,
Coupling Factors, Defenses, and Design Implications, 1995 Proceedings of the
Annual Reliability and Maintainability Symposium, IEEE, 1995.
[63] www.assistdocs.com/search/search_basic.cfm
[64] https://escies.org/eppl/
[65] Specification Browser ESCC https://escies.org/escc/
[66] ESCC REP001 List of Published ESCC Documents and Specifications,
ISSUE 8, November 2010
[67] ESCC 22900 Total Dose Steady-State Irradiation Test Method, ISSUE 4,
October 2010
[68] MIL-STD-883J DoD Test Method Standard; Microcircuits. 14 March 2014,
759 pp.
[69] Modrlák O., Skriptum - Fuzzy řízení a regulace, TUL, 2004
[70] Fuzzy Logic Toolbox - User’s Guide for MATLAB, 2008
[71] Hoepfer, V.m., J.h. Saleh, and K.b. Marais. "On the Value of Redundancy
Subject to Common-cause Failures: Toward the Resolution of an On-going
Debate." Reliability Engineering & System Safety 94.12 (2009): 1904-916.
Web.
33
10 PUBLIKÁCIE
[P1] ZAKUCIA, J.; MERKL, M.: Worst Case Analysis Methods Implementation in
an Accelerometer Measuring Loop Analysis. Czech Aerospace Proceedings,
2011, roč. 2011, č. 1, s. 47-53. ISSN: 1211- 877X.
[P2] ZAKUCIA, J.: Risk assessment using Fuzzy FMECA. Czech Aerospace
Proceedings, 2013, roč. 2013, č. 3, ISSN: 1211- 877X.
[P3] ZAKUCIA, J. Linear dynamical system parameters estimation by
autoregressive modeling. Czech Aerospace Proceedings, 2013, roč. 2013, č. 1,
s. 27-30. ISSN: 1211- 877X.
[P4] ZAKUCIA, J.; BRAŤKA, J.; ONDRÁČEK, V.: Hydro-mechanical control
system design for turboshaft engine. Czech Aerospace Proceedings, 2014, roč.
2014, č. 1, s. 8-10. ISSN: 1211- 877X.
[P5] ZAKUCIA, J. Gas Generator Identification and Hydro-Mechanical Control
Design for Turboshaft Engine. In New Trends in Aviation Development 2014:
sborník příspěvků mezinárodní konference, Faculty of Aeronautics, Technical
University of Košice, Slovensko. ISBN: 978-80-553-1650-5.
11 FUNKČNÉ VZORKY
[F1] ZAKUCIA, J.; HORÁČEK T.,: Návrh konstrukce optického přístroje pro
zobrazení vlastních tvarů kmitání, 2013. Projekt: 7E12035 - Efektivní systémy a
pohony pro malá letadla (ESPOSA)
12 VÝSKUMNÉ A TECHNICKÉ SPRÁVY
[T1] ZAKUCIA, J.; MERKL, M.: ACC Reliability Analysis, Issue 1.0, VZLU,
Prague, November 30, 2009, 52 pp.
[T2] ZAKUCIA, J.; MERKL, M.: ACC Failure Modes and Effects Analysis, Issue
1.2, VZLU, Prague, December 17, 2009, 300 pp.
[T3] ZAKUCIA, J.; MERKL, M.: ACC Derating Analysis, Issue 1.0, VZLU,
Prague, December 7, 2009, 214 pp.
[T4] ZAKUCIA, J.; MERKL, M.: ACC Worst Case Analysis, Issue 1.1, VZLU,
Prague, March 19, 2010, 39 pp.
[T5] ZAKUCIA, J.; MERKL, M.: Aplikace softwarových nástrojů a metod při
provádění spolehlivostních analýz kosmických přístrojů. Zpráva VZLÚ R-
4930/10, Praha-Letňany 2010, 22 str.
[T6] ZAKUCIA, J.; MERKL, M.: Analýza spolehlivosti elektrické pohonné
jednotky pro malý letoun. Zpráva VZLÚ R-5087, Praha-Letňany 2011, 39 str.
34
[T7] ZAKUCIA, J.: Softwaru – AFanalyzer (Automatické určovanie rezonančných
frekvencií a útlmov z nameraných dát), Praha-Letňany 2012, 7 str.
[T8] ZAKUCIA, J.: Front Door Assembly FMEA (ASPIICS coronagraph), Issue
1.1, VZLU, Prague, February 2, 2013, 20 pp.
[T9] ZAKUCIA, J.: Identifikácia dynamického modelu generátoru plynov
turbínového motora. Zpráva VZLÚ R-5689, Praha-Letňany 2013, 11 str.
[T10] BRAŤKA, J.; ZAKUCIA, J.: Ověření dynamických vlastností záložního
palivového systému pro motor TS100 na číslicovém modelu. Zpráva VZLÚ
R-5690, Praha-Letňany 2013, 18 str.
[T11] ZAKUCIA, J.; BRAŤKA, J.: Matematický model regulátoru otáček EA 7810
pro vrtuli AV725. Zpráva VZLÚ R-6259, Praha-Letňany 2015, 15 str.
[T12] ZAKUCIA, J.: Matematický model regulátoru paliva HXX. Zpráva VZLÚ R-
6235, Praha-Letňany 2015, 11 str.
[T13] ZAKUCIA, J.; BRAŤKA, J.: Analýza spolehlivosti regulátoru paliva HXX.
Zpráva VZLÚ, Praha-Letňany 2015, 36 str.
35
13 ŽIVOTOPIS JOZEF ZAKUCIA
VZDELANIE
Bc., Kybernetika a měření 10/2003 – 9/2006
Fakulta elektrotechnická
České vysoké učení technické v Praze
Systémová analýza a riadiace systémy 2/2007 – 7/2007
Fakulta technickej kybernetiky
Saint-Petersburg State Polytechnical University, Rusko
Ing., Kybernetika a měření – řídicí technika 10/2006 – 2/2009
Fakulta elektrotechnická
České vysoké učení technické v Praze
PRACOVNÉ SKÚSENOSTI
Výzkumný a zkušební letecký ústav, a.s.
Inžinier výskumu a vývoja
Útvar CLKV (Centrum leteckého a kosmického výzkumu) 8/2008 – 12/2012
Projekt MŠMT: CLKV – Centrum leteckého a kosmického výzkumu
- Výskumné aktivity zamerané na spoľahlivosť kozmických zariadení
Projekt Európskej kozmickej agentúry SWARM
- Analýzy spoľahlivosti mikroakcelerometra (ACC) v priebehu vývoja
- Príprava funkčných skúšok ACC v priebehu vývoja a kvalifikačných testov
Útvar Motory od 1/2013
Projekt Európskej kozmickej agentúry PROBA-3
- Analýzy spoľahlivosti FDA (Front Door Assembly) koronagrafu ASPIICS
Projekt TAČR: Komplexní cenově dostupný řídicí systém leteckých motorů
- Matematické modelovanie záložného systému riadenia turbínového motora
Európsky projekt ESPOSA (Efficient Systems and Propulsion for Small Aircraft)
- Modelovanie a identifikácia generátora plynov turbínového motora
- Príprava automatického merania prevádzkových dát
Projekt TAČR: Experimentální ověření kosmických výrobků a technologií na
nanosatelitu VZLUSAT-1
- Príprava a testovanie letovej elektroniky a HW pre nanosatelit VZLUSAT-1
- Integrácia a environmentálne testovanie nanosatelitu VZLUSAT-1
Komerčné projekty
- Matematické modelovanie hydromechanických systémov riadenia
turbínových motorov (palivový regulátor, regulátor vrtule)
- Analýzy spoľahlivosti regulátoru paliva pre turbovrtuľový motor