česky english Vítejte, dnes je čtvrtek 28. březen 2024

FTA analýzy − více redundantních systémů není vždy bezpečnější

DPS 5/2021 | Články
Autor: Ing. Milan Klauz
01.jpg

Na webových stránkách izraelské firmy BQR [1], výrobce softwaru pro předpověď spolehlivosti elektronických obvodů a analýzy spolehlivosti obecně, jsou zajímavé informace o analýze redundantních čili záložních systémů, které mají v případě poruchy zabránit selhání daného zařízení [2]. I když hlavní příklad analýzy pochází z oblasti mechanických konstrukcí, jistě má obecnou platnost, se kterou by měli být vývojáři elektronických a elektrických systémů seznámeni.

Analýzy spolehlivosti jsou kritické pro návrh a implementaci zařízení, která mají sloužit jako bezpečnostní systémy, zejména v těch oblastech, kde může mít jejich selhání tragické důsledky (letectví, zdravotnictví, dopravní prostředky atd.). Ve většině případů je zvýšená bezpečnost zajištěna redundancí čili zdvojením či dokonce ztrojením kritických částí klad:

  • záložní napájecí zdroje (UPS, generátory atd.),
  • zdvojené komunikační sítě,
  • duplikování svazků vodičů,
  • znásobení počtu pohonných jednotek, atd.

Znásobení kritických částí systému (redundance) mívá ovšem některé negativní aspekty. Nejsou to jen zvýšené výdaje za tyto komponenty, ale i vyšší náklady na jejich údržbu. Nelze ani přehlédnout fakt, že redundantní systémy zabírají více prostoru a zvyšují hmotnost.

Co je ovšem potřeba vzít v úvahu při bezpečnostní (spolehlivostní) analýze, je selhání (závady, poruchy) typu Common Cause Failures. Poruchy tohoto typu jsou závady, které navazují na jiné poruchy, takže se nejedná o samostatné případy selhání. Jedná se například o situace:

  • Zkrat v napájecím obvodu může způsobit poruchu v dalších částech obvodů, pokud není ošetřen pojistkou.
     
  • Úlomky poškozeného motoru se mohou dostat ven a poškodit jiné části, pokud motor není jako celek vybaven ochranným pláštěm.

Jednou z možností, jak omezit tento typ poruchy, je použití různých typů redundantních jednotek tak, jak je popsáno například v příručce „Fault Tree Handbook with Aerospace Applications“ od NASA. Zde jsou dva zajímavé příklady z oboru letectví:

Boeing KC-46 Pegasus

V roce 2014 musela firma Boeing s velkými náklady předělat konstrukci vedení svazků vodičů svého tankovací letounu KC-46 Pegasus, protože 5−10 % svazků vodičů nemělo dostatečnou vzdálenost od jiných nebo nebyly dostatečně chráněny podle požadavků armádního letectva na zdvojené či trojnásobné redundantní vodiče. Mezera mezi svazky vodičů či jejich ochrana je vyžadována právě kvůli poruchám typu Common Cause Failure, kdy uvolněný objekt může poškodit nejen určitý vodič, ale při nedostatečném oddělení i ten záložní.

ETOPS (Extended Operations)

Dříve musela mít dopravní letadla pro transkontinentální lety čtyři motory, zatímco dnes mohou stejné lety provozovat jen se dvěma. Jedním z důvodů této změny je důvěra ve vysokou spolehlivost moderních proudových motorů.

Co na to říká výsledek analýzy spolehlivosti provedené s použitím softwaru pro Fault Tree Analysis (FTA) firmy BQR?

Pravděpodobnost výpadku motoru za letu (IFSD) je přibližně 2 · 10-6 na hodinu letu u moderního proudového motoru PW4000. Pro srovnání − v roce 1952 byla hodnota IFSD pro pístové motory 2,5 · 10-4. Úřad FAA požadoval pro dopravní letadlo pravděpodobnost katastrofického selhání motoru menší než 10-9 na hodinu letu. Jednoduchá FTA analýza dokazuje, že více motorů zvýší bezpečnost letu, pokud se předpokládá, že i jediný motor bude pro let stačit – výsledky jsou uvedeny v tabulce 1.

cad-tabulka-1 (png)

Situace je ale zcela jiná, pokud se vezme v úvahu Common Cause Failure. Zatímco byly provedeny testy s cílem prokázat, že úlomky poškozeného motoru neohrozí další motory, analýza může vzít v úvahu smyšlenou pravděpodobnost, např. 0,015 %, že selhání jednoho motoru způsobí poruchu dalšího motoru s katastrofálními důsledky. Na obr. 1 je ukázka diagramu FTA (Fault Tree Analysis) pro letadlo se dvěma motory (zbývající diagramy pro tři a čtyři motory jsou uvedeny v originálu článku [2]).

cad-1 (jpg)
Obr. 1 Diagram analýzy Fault Tree pro letadlo se dvěma motory, které bere v úvahu i Common Cause Failure

Z porovnání tří FTA diagramů vyplývá, že letoun se dvěma motory je bezpečnější než letoun se třemi či dokonce čtyřmi motory. A co víc, podle této analýzy nevyhovuje čtyřmotorový letoun ani požadavkům FAA! Tyto výsledky jasně ukazují důležitost zahrnutí možnosti selhání typu Common Cause Failures při analýzách typu Fault Tree. Nezáleží na tom, jestli se jedná o mechanické či elektrické konstrukce, protože prognózy spolehlivosti se řídí stejnými principy.

Společnost BQR dodává software a poskytuje odborné konzultace v oblasti spolehlivostních analýz FMEA/FMECA a komplexní FTA s Common Causes Failures včetně složených (nested) Common Causes.

www.cadware.cz/elektronika/fixtress