Dependability in Mobile Ground Electronics
Salojärvi, Antero (2010)
Salojärvi, Antero
2010
Tieto- ja sähkötekniikan tiedekunta - Faculty of Computing and Electrical Engineering
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2010-06-02
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201104081174
https://urn.fi/URN:NBN:fi:tty-201104081174
Tiivistelmä
Requirement for highly dependable machinery control system is growing from increased complexity of control systems and their ability to control critical machinery functions. This has been noticed by legal authorities and governing legislation is becoming effective. Legal requirements can be met by using methodology based on adequate functional safety standards. Standards require certain tools and methods for product life cycle planning and implementation. Development and operational work flow shall be adapted to fulfill those requirements. Main focus in the study is to interpret standard requirements to process changes and to understand basic philosophy for reliable programmable system hardware. Standards IEC 61508 and ISO 25119 are referenced as main source for requirements.
Dependability is based on failure avoidance and control. Study introduces several failure avoidance tools and methods. V-model based work flow is adapted to industry specific requirements. Model includes life cycle approach, deliverable list and assessment checklist for safety related project flow. Documentation structure for good traceability is introduced for unit specification. System level analysis is based on failure mode and effect studies and usage of fault tree modeling helps to understand links between events. Safety level targeting model based on risk graph is introduced for usage in machinery-control-systems. Usage of tools and methods was tested in machinerycontrol-system concept development. Developed concept is intended for operator interface and control tasks. Tools proved to be usable for engineering project and fully implemented documentation model shall fulfill basic assessment requirements. Developed concept itself is usable in critical control systems, but some fine tuning is needed. /Kir11 Vaatimukset elektroniikan käyttövarmuudelle ovat kasvaneet viimeksi kuluneiden kymmenen vuoden aikana voimakkaasti, koska ohjausjärjestelmistä on tullut monimutkaisia ja ne ovat korvanneet mekaanisia turvalaitteita. Erityisesti turvallisuuskriittisten toimintojen ohjaaminen on yleistynyt. Muutos on huomattu myös tuoteturvallisuutta valvovien viranomaisten toimesta ja ohjausjärjestelmien toimintaa ja suunnittelua koskevia vaatimuksia on kehitetty. Lainsäädännölliset vaatimukset ovat tulossa voimaan lähiaikoina eri laiteympäristöille ja ne perustuvat olemassa oleviin
toiminnallista turvallisuutta koskeviin standardeihin. Standardien mukaisuus savutetaan käyttämällä niissä kuvattuja toimintatapoja ja työkaluja koko tuotteen elinkaaren aikana aina esisuunnittelusta käytöstäpoistoon asti. Suunnittelu, kokoonpano ja asennustyön kulku tulee sovittaa täyttämään nuo vaatimukset. Työn tarkoituksena on selvittää keskeiset toimintatavat ja työkalut liittyen standardeihin ja käyttövarman elektroniikan toimintoihin. Toimintatapoja, työkaluja ja teknisiäratkaisuja arvioidaan myös työn aikana suunnitellun koneenohjauskonseptin kautta.
Käyttövarma koneenohajausjärjestelmä mahdollistaa laitteen luotettavan käytön vaarantamatta ihmisiä tai ympäristöä. Tärkeä osa käyttövarmuutta on myös käytön jatkuvuus ja huollettavuus suunnitellusti. Käyttövarmuus tuleekin nähdä tuotteeseen sisäänrakennettuna ominaisuutena suunnittelun, valmistuksen ja käytön aikana. Käyttövarmuus perustuu virhetilanteiden välttämiseen ja niiden vaikutusten kontrollointiin. Virheet voidaan jakaa kahteen päälohkoon. Satunnaisia virheitä esiintyy laitteen eliniän aikana, mutta niiden aiheuttamia vaikutuksia tulee kontrolloida ja pienentää suunnitellusti. Systemaattisia virheitä esiintyy järjestelmässä moninaisista syistä johtuen. Vaarallista vikaantumista voidaan välttää neljällä perustavalla. Laitteiston tulee vikaantua ennustettavalla tavalla. Laitteisto arkkitehtuurin valinnalla voidaan välttää turvallisuuden kannalta kriittisten pullonkaulojen muodostumista. Oikeita toimintapoja nuodattamalla voidaan vähentää systemaattisia virheitä laitteiston toteutuksessa. Standardit edellyttävät V-mallin mukaista toimintamallia tuotteen vaatimustenmukaisuuden varmistamiseksi. V-mallin rakenteen mukainen dokumentaatio tarjoaa jäljitettävyyden vaatimusten ja testauksen varmentamiseen.
Koneenohjauksessa tyypillinen konsepti on hajautettu järjestelmä, jossa usein käyttöliittymä ja varsinainen ohjaus on jaettu eri yksiköihin. Käyttöliittymäyksikkö on sijoitettu lähelle käyttäjää ja varsinainen ohjausyksikkö on kytketty käyttöliittymälaitteeseen sarjaliikenneliitynnällä. Turvallisuuden varmistamiseksi kommunikaatio on kahdennettu ja käytetty sarjaliikenneprotokolla noudattaa CAN standardia. CAN standardi tarjoaa itsessään hyvin virheensietokykyisen kommunikaation ja kahdennus varmistaa toiminnan fyysisten virheiden varalle. Käyttöliittymän tehtävänä on varmistaa oikeiden käskyjen välittäminen oikea-aikaisesti muulle ohjausjärjestelmälle käyttäjän niin halutessa. Ohjausyksiköt valvovat järjestelmän tilaa ja toimintaympäristöä ja tekevät päätöksen komennon toteuttamisesta turvallisuuden sallimissa rajoissa.
Järjestelmää analysoitiin ja määriteltiin turvallisuuden vaatimat eheystasot laitteiston toteutukselle. Tyypillisessä koneenohjausjärjestelmässä riskit liittyvät usein käyttäjän vaarantumiseen. Käyttäjää ja yksittäisiä sivullisia vaarantavan vikaantumiset vaativat jonkin verran keskimääräistä tasoa korkeampia turvallisuus eheystasoja. Tyypillisesti vaatimus on eheystaso kaksi. Konseptin vaatimustenmukaisuuden suunnitteluun ja varmistamiseen käytettiin lohkokaaviotasolla vikapuu-, vikamuoto- ja vaikutusanalyysejä. Komponenttitason vikamuoto-, vaikutus- ja kriittisyysanalyysillä (FMEDA) varmistettiin suunnitellun toteutuksen vaatimusten täyttymistä. Konseptin sinänsä havaittiin täyttävän perusvaatimukset hyvin, mutta tiettyjä yksityiskohtia erityisesti yksiköiden yhteisissä osissa tulee parantaa.
Järjestelmäsuunnitteluvaiheessa tulee käyttövarmuus asioita miettiä kokonaisuutena. Eri käyttövarmuus näkökohtien välillä syntyy ristiriitaisuuksia ja sovelluksen kannalta oikea katsantokanta kannattaa valita. Usein lainmukaisuus tulee varmistaa ja sen jälkeen kohdistaa suuntaus asiakasvaatimusten mukaan. Siirtyminen hallittuun turvakriittiseen järjestelmäsuunnitteluun on usein asennekysymys organisaatiotasolla ja teknisesti ottaen ratkaisut kannattaa pitää mahdollisimman yksinkertaisina!
Dependability is based on failure avoidance and control. Study introduces several failure avoidance tools and methods. V-model based work flow is adapted to industry specific requirements. Model includes life cycle approach, deliverable list and assessment checklist for safety related project flow. Documentation structure for good traceability is introduced for unit specification. System level analysis is based on failure mode and effect studies and usage of fault tree modeling helps to understand links between events. Safety level targeting model based on risk graph is introduced for usage in machinery-control-systems. Usage of tools and methods was tested in machinerycontrol-system concept development. Developed concept is intended for operator interface and control tasks. Tools proved to be usable for engineering project and fully implemented documentation model shall fulfill basic assessment requirements. Developed concept itself is usable in critical control systems, but some fine tuning is needed. /Kir11
toiminnallista turvallisuutta koskeviin standardeihin. Standardien mukaisuus savutetaan käyttämällä niissä kuvattuja toimintatapoja ja työkaluja koko tuotteen elinkaaren aikana aina esisuunnittelusta käytöstäpoistoon asti. Suunnittelu, kokoonpano ja asennustyön kulku tulee sovittaa täyttämään nuo vaatimukset. Työn tarkoituksena on selvittää keskeiset toimintatavat ja työkalut liittyen standardeihin ja käyttövarman elektroniikan toimintoihin. Toimintatapoja, työkaluja ja teknisiäratkaisuja arvioidaan myös työn aikana suunnitellun koneenohjauskonseptin kautta.
Käyttövarma koneenohajausjärjestelmä mahdollistaa laitteen luotettavan käytön vaarantamatta ihmisiä tai ympäristöä. Tärkeä osa käyttövarmuutta on myös käytön jatkuvuus ja huollettavuus suunnitellusti. Käyttövarmuus tuleekin nähdä tuotteeseen sisäänrakennettuna ominaisuutena suunnittelun, valmistuksen ja käytön aikana. Käyttövarmuus perustuu virhetilanteiden välttämiseen ja niiden vaikutusten kontrollointiin. Virheet voidaan jakaa kahteen päälohkoon. Satunnaisia virheitä esiintyy laitteen eliniän aikana, mutta niiden aiheuttamia vaikutuksia tulee kontrolloida ja pienentää suunnitellusti. Systemaattisia virheitä esiintyy järjestelmässä moninaisista syistä johtuen. Vaarallista vikaantumista voidaan välttää neljällä perustavalla. Laitteiston tulee vikaantua ennustettavalla tavalla. Laitteisto arkkitehtuurin valinnalla voidaan välttää turvallisuuden kannalta kriittisten pullonkaulojen muodostumista. Oikeita toimintapoja nuodattamalla voidaan vähentää systemaattisia virheitä laitteiston toteutuksessa. Standardit edellyttävät V-mallin mukaista toimintamallia tuotteen vaatimustenmukaisuuden varmistamiseksi. V-mallin rakenteen mukainen dokumentaatio tarjoaa jäljitettävyyden vaatimusten ja testauksen varmentamiseen.
Koneenohjauksessa tyypillinen konsepti on hajautettu järjestelmä, jossa usein käyttöliittymä ja varsinainen ohjaus on jaettu eri yksiköihin. Käyttöliittymäyksikkö on sijoitettu lähelle käyttäjää ja varsinainen ohjausyksikkö on kytketty käyttöliittymälaitteeseen sarjaliikenneliitynnällä. Turvallisuuden varmistamiseksi kommunikaatio on kahdennettu ja käytetty sarjaliikenneprotokolla noudattaa CAN standardia. CAN standardi tarjoaa itsessään hyvin virheensietokykyisen kommunikaation ja kahdennus varmistaa toiminnan fyysisten virheiden varalle. Käyttöliittymän tehtävänä on varmistaa oikeiden käskyjen välittäminen oikea-aikaisesti muulle ohjausjärjestelmälle käyttäjän niin halutessa. Ohjausyksiköt valvovat järjestelmän tilaa ja toimintaympäristöä ja tekevät päätöksen komennon toteuttamisesta turvallisuuden sallimissa rajoissa.
Järjestelmää analysoitiin ja määriteltiin turvallisuuden vaatimat eheystasot laitteiston toteutukselle. Tyypillisessä koneenohjausjärjestelmässä riskit liittyvät usein käyttäjän vaarantumiseen. Käyttäjää ja yksittäisiä sivullisia vaarantavan vikaantumiset vaativat jonkin verran keskimääräistä tasoa korkeampia turvallisuus eheystasoja. Tyypillisesti vaatimus on eheystaso kaksi. Konseptin vaatimustenmukaisuuden suunnitteluun ja varmistamiseen käytettiin lohkokaaviotasolla vikapuu-, vikamuoto- ja vaikutusanalyysejä. Komponenttitason vikamuoto-, vaikutus- ja kriittisyysanalyysillä (FMEDA) varmistettiin suunnitellun toteutuksen vaatimusten täyttymistä. Konseptin sinänsä havaittiin täyttävän perusvaatimukset hyvin, mutta tiettyjä yksityiskohtia erityisesti yksiköiden yhteisissä osissa tulee parantaa.
Järjestelmäsuunnitteluvaiheessa tulee käyttövarmuus asioita miettiä kokonaisuutena. Eri käyttövarmuus näkökohtien välillä syntyy ristiriitaisuuksia ja sovelluksen kannalta oikea katsantokanta kannattaa valita. Usein lainmukaisuus tulee varmistaa ja sen jälkeen kohdistaa suuntaus asiakasvaatimusten mukaan. Siirtyminen hallittuun turvakriittiseen järjestelmäsuunnitteluun on usein asennekysymys organisaatiotasolla ja teknisesti ottaen ratkaisut kannattaa pitää mahdollisimman yksinkertaisina!