Koncepcja utrzymania i eksploatacji zintegrowanych systemów sterowania o podwyższonym poziomie niezawodności Concept of Maintenance and Operation of High Level Reliability Integrated Control Systems

Szymon Surma, Jerzy Mikulski

Politechnika lska, Wydzia Transportu

KONCEPCJA UTRZYMANIA I EKSPLOATACJI

ZINTEGROWANYCH SYSTEMÓW STEROWANIA

O PODWY SZONYM POZIOMIE

NIEZAWODNOCI

Rkopis dostarczono, kwiecie 2013

Streszczenie: Artyku przedstawia zagadnienia zwizane z problematyk eksploatacji i utrzymania

zintegrowanych systemów sterowania opartych na sterownikach PLC. Rozwaane systemy sterowania dedykowane s zastosowaniom kolejowym, przez co wymagany poziom bezpieczestwa powinien zosta okrelony na poziomie SIL4. Omówiona problematyka odnosi kwestie diagnostyki systemów sterowania do sposobów okrelania poziomów niezawodnoci systemów.

Sowa kluczowe: sterowniki, PLC, bezpieczestwo

1. WSTP

Utrzymanie i eksploatacja nowoczesnych elektronicznych systemów sterowania ruchem kolejowym jest nowym zagadnieniem, pomimo kilkunastoletniego okresu uytkowania tych systemów. Jest to powodowane charakterystyk starzenia si sprztu elektronicznego oraz jego funkcj niezawodnoci, która od momentu uruchomienia zaczyna spada .

Zgodnie z zaoeniami teorii bezpieczestwa systemów komputerowych i elektronicznych, funkcja niezawodnoci powinna by staa dla caego okresu ycia systemu. Takie zaoenie pozwala jednoczenie na przyrównanie wartoci wspóczynnika MTBF (redni czas pomidzy uszkodzeniami), a w zasadzie MTTF (redni czas do wystpienia uszkodzenia), do intensywnoci uszkodze ›.

Parametry usterkowoci (czy MTBF) pozwalaj oszacowa liczb elementów, które ulegn uszkodzeniu w danym czasie. Daje to moliwo okrelenia kosztów obsugi systemu oraz roboczogodzin niezbdnych do utrzymania sprawnoci systemu sterowania z zachowaniem rednich czasów przywrócenia systemu do dziaania (MTTR), które w zastosowaniach kolejowych okrela si mianem maksymalnych.

Utrzymanie i eksploatacja systemów sterowania, moe zosta podzielona na dwa okresy czasu. Pierwszy, w trakcie którego, za wszelkie czynnoci zwizane z obsug odpowiedzialny jest personel producenta. Drugi, gdy wszystkie obowizki ceduje si na personel waciciela sprztu. Pierwszy okres eksploatacji koczy si najczciej, gdy koczy si okres gwarancji. Natomiast w trakcie drugiego okresu waciciel infrastruktury moe zdecydowa si na powierzenie obsugi producentowi lub firmie, która na zlecenie producenta przejmuje obsug gwarancyjn i pogwarancyjn.

Wspomniane powyej kwestie zwizane z zakresem obsugi systemu sterowania, dotyczce jego parametrów niezawodnociowych, skadajcych si na bezpieczestwo systemu, jak równie odpowiedzialnoci personelu prowadzcego czynnoci biecej eksploatacji i utrzymania bd tematem niniejszego artykuu.

2. WYBÓR SPOSOBU OBSUGI EKSPLOATACYJNEJ

SYSTEMU STEROWANIA

Eksploatacja systemu sterowania ruchem kolejowym zaczyna si jeszcze przed instalacj w miejscu docelowym. System jest najpierw testowany u producenta, gdzie prowadzone s testy funkcjonalne, potwierdzajce poprawno realizacji funkcji sterowania oraz funkcji bezpiecznociowych. Funkcje sterowania, czyli np. przestawianie zwrotnicy, nastawianie drogi przebiegu, kontrola zalenoci, realizowane s w ramach normalnego dziaania i wymagaj poziomu integralnoci SIL2. Funkcje bezpiecznociowe, takie jak wystawienie wiata zabraniajcego w przypadku wykrycia usterki, wydawanie polece z pominiciem zalenoci, itp. wymagaj poziomu integralnoci SIL4. Do testowania funkcji systemu, na tym etapie, wykorzystuje si emulatory rzeczywistych urzdze.

Nastpnym etapem ycia systemu sterowania ruchem kolejowym, jest instalacja równolegle do istniejcych urzdze. Realizuje si tu dwa cele: zaznajomienie obsugi z urzdzeniami komputerowymi oraz sprawdzenie poprawnoci dziaania nastawnicy z rzeczywistymi urzdzeniami wykonawczymi. Jak wskazuje praktyka, niejednokrotnie personel, który bdzie obsugiwa urzdzenia komputerowe, ma problemy z ich obsug. Zdarzaj si równie przypadki „strachu przed komputerem” tumaczone odpowiedzialnoci za uszkodzenie, ewentualnie brakiem wiedzy z zakresu komputerów. Wskazuje to na niski stopie obycia ze sprztem elektronicznym i ogólnej znajomoci komputerów wród dyurnych ruchu, co mona tumaczy redni wieku pracowników. Testy przeprowadzone po przyczeniu urzdze wykonawczych, pozwalaj na weryfikacj parametrów teoretycznych, na których zostay oparte zakresy dopuszczalnych prdów i napi sterujcych.

Jako przykad mona tu przytoczy kalibracj ukadów detekcji uszkodzenia arówek wiata zabraniajcego. Ukad detekcji moe wykrywa przepalenie si jednej (podstawowej lub pomocniczej) arówki lub obu arówek. Naley tu wspomnie , e ukad zasilania skada si najczciej z przekanika zaczajcego, dwóch transformatorów 230V/115V i 115V/12V oraz zespou arówek z przyczonym rezystorem. Elementy te s

podzielone na dwie grupy, tj. arówki, rezystor i transformator 115V/12V, s umieszczone w terenie (do 1500m), natomiast przekanik z transformatorem 230V/115V umieszczony jest w nastawni. Taka konstrukcja oraz impedancja kabli powoduje, e wykrycie zmian prdu na poziomie odpowiadajcym uszkodzeniu arówki 12V/12W, moe by utrudnione, szczególnie w przypadku modernizacji systemu sterowania, przy wykorzystaniu kilkunastoletnich kabli.

Przedostatnim etapem ycia systemu sterowania jest jego waciwa eksploatacja. W trakcie jej, realizowane s funkcje stawiane systemowi. Podlega on take utrzymaniu przez personel upowaniony, czyli zakada si, e osoby niepowoane nie maj dostpu do urzdze sterowania ruchem. Personel utrzymania powinien posiada wiedz z zakresu SRK, elektrotechniki, bezpieczestwa systemów sterowania oraz, co najmniej, przej przeszkolenie z zakresu obsugi systemu. Osoby zatrudniane przez waciciela infrastruktury, prowadzcy biece utrzymanie i naprawy, najczciej posiadaj, kompetencje wycznie w zakresie drobnych napraw sprowadzajcych si do wymiany arówek, przepicia klawiatur, myszek, monitorów lub komputerów na stanowisku zobrazowania, w przypadku ich usterki. Pozostae czynnoci obsugi w przypadku awarii, zlecane s dostawcy systemu. Naley tutaj jednak zwróci uwag, jak zasygnalizowano we wstpie, e po zakoczeniu okresu gwarancyjnego, biece utrzymanie najczciej nadal pozostaje w gestii serwisu producenta. Taka polityka moe prowadzi do wyduenia okresów wyczenia systemu sterowania z eksploatacji, w przypadku gdy producent nie bdzie posiada wolnych zasobów serwisu. Wie si to oczywicie z ponoszeniem strat zarówno czasu jak i materialnych, poprzez ograniczenie moliwych do przeprowadzenia czynnoci ruchowych w ramach posterunku ruchu.

Jednym z rozwiza takiej sytuacji mogoby by zaproponowanie innej opcji wacicielskiej. A mianowicie, gdy sprzt jest leasingowany od producenta i jednoczenie doywotnio objty jest jego obsug podczas eksploatacji. Tej opcji nie stosuje si jednak przez wymogi prawne i formalne zwizane z odpowiedzialnoci waciciela infrastruktury w przypadku wystpienia zdarzenia zwizanego z bdem sprztu lub oprogramowania.

Innym rozwaanym rozwizaniem jest przekazywanie penej dokumentacji systemu sterowania przyszemu wacicielowi. Producenci nie s jednak tym zainteresowani, poniewa wizaoby si to z udostepnieniem tajemnic firmy. Przy tym rozwizaniu pojawia si jednak jedna z kwestii zwizanych z czasem ycia systemu, czyli dostpno czci zamiennych. W przypadku zakoczenia dziaalnoci firmy produkujcej sprzt, na którym oparto system sterowania, nie bdzie moliwoci uzyskania do tego systemu czci zamiennych. Czas ycia systemu sterowania ruchem kolejowym, opartym na rozwizaniach komputerowych, okrelany w przepisach (np. CNTK, aktualnie Instytut Kolejnictwa) na 25 lat moe by tu istotnym problemem.

Z tak dugim czasem ycia systemów komputerowych, powizane s równie kwestie dostpnoci elementów komputerowych. Jak mona zauway , aktualny rozwój technologii powoduje, e dostpno urzdze elektronicznych waha si w okolicy 24 – 48 miesicy. Po tym czasie rozwój technologiczny wypiera dotychczasowe rozwizania przez wprowadzanie nowych, bardziej wydajnych, lecz nie zawsze kompatybilnych.

Jako przykad moe tutaj posuy aktualnie postpujce wypieranie komputerów 32 bitowych na rzecz rozwiza 64 bitowych, zarówno w zakresie sprztu jak i oprogramowania. Innym, take aktualnym problemem jest modernizacja standardów komunikacyjnych – zczy szeregowych (RS232 dostpne s jedynie wewntrznie

w nowych komputerach), czy noników pamici (dyski twarde magnetyczne s wypierane przez dyski w technologii Flash).

3. ZAGADNIENIA BEZPIECZESTWA SYSTEMU

STEROWANIA

Obsuga, a wic utrzymanie i eksploatacja systemów sterowania o podwyszonym poziomie niezawodnoci, wymaga od personelu dodatkowych kwalifikacji zwizanych z gwarancj utrzymania poziomu integralnoci bezpieczestwa. Dostp do urzdze systemu sterowania powinien by dokadnie okrelony w dokumentacji systemu, gdzie powinny znale si zapisy odnonie zarówno uprawnie jak i odpowiedzialnoci kadej z grup personelu. Podzia na grupy mona, w bardzo ogólny sposób, przeprowadzi w oparciu o zakres czynnoci, jakie poszczególne osoby bd wykonyway w trakcie pracy z systemem sterowania, na:

- operatorów, - personel obsugi, - personel dewelopera.

Operatorzy, s grup pracujc najduej z systemem sterowania, ale jednoczenie posiadaj bardzo ograniczone uprawnienia. Ich rola sprowadza si do wydawania polece i monitorowania stanu systemu.

Personel obsugi, ma rzadszy kontakt z systemem, a jego rola sprowadza si do okresowego kontrolowania poprawnoci pracy urzdze (przegldów) oraz dokonywania biecych napraw. Osoby zaliczajce si do tej grupy posiadaj wiksze uprawnienia, np. potrafi kasowa bdy, s uprawnieni do uruchamiania funkcji autotestu systemu. Mog te zmienia konfiguracj systemu, przy czym procedura rekonfiguracji powinna by zgodna z zapisami dokumentacji systemu sterowania.

Personel dewelopera posiada najwiksze uprawnienia, najczciej nieograniczone, przy czym ich dostp do systemu jest najbardziej ograniczony i sprowadza si do uruchomienia systemu sterowania i przekazania do eksploatacji. W trakcie eksploatacji, osoby z tej grupy uytkowników, mog uzyska dostp, do elementów systemu sterowania wycznie za wiedz i zgod osób z pozostaych grup oraz zgod waciciela infrastruktury. Jest to podyktowane moliwociami wpywu na przebieg sterowanego procesu przez osoby, które nie posiadaj wystarczajcej wiedzy z zakresu realizacji procesu sterowania i/lub nie ponosz bezporedniej odpowiedzialnoci w przypadku doprowadzenia do zdarzenia niebezpiecznego.

Opisane bezpieczestwo gwarantowane poprzez rozgraniczenie uprawnie i odpowiedzialnoci poszczególnych osób pracujcych z systemem sterowania jest jedynie jednym z elementów polityki bezpieczestwa, jak waciciel systemu sterowania powinien posiada . Równie istotnym czynnikiem wpywajcym na bezpieczestwo systemu sterowania i odgrywajcym kluczow rol w procesie okrelania poziomu bezpieczestwa (integralnoci bezpieczestwa) systemu sterowania jest parametr

niezawodnoci sprztu uytego w systemie sterowania oraz organizacja procedur bezpiecznociowych w oprogramowaniu.

Warto usterkowoci sprztu, okrelana z wykorzystaniem wskanika MTBF lub MTTF, wraz z procedurami bezpiecznociowymi oprogramowania skada si na bezpieczestwo funkcjonalne systemu. Bezpieczestwo funkcjonalne jest okrelane, jako cz bezpieczestwa cakowitego odnoszca si do sterowanego urzdzenia i systemu sterowania, która zaley od prawidowego dziaania systemów sterowania zwizanych z bezpieczestwem.

Dla systemów sterowania ruchem kolejowym, które s systemami sterowania o podwyszonym poziomie niezawodnoci, poziom nienaruszalnoci bezpieczestwa szacuje si w oparciu o wzór (1). ܶܪܴ ൎ ୊ୖఽ ୗୈୖఽȉ ୊ୖా ୗୈୖాȉ ሺ୅൅ ୆ሻ (1) gdzie:

FR - wskanik uszkadzalnoci, odpowiednio dla kanau A i B, dla systemów komputerowych przyjmuje si warto intensywnoci uszkodze ›,

SDR - wspóczynnik bezpiecznego wyczenia, odpowiednio dla kanau A i B.

Wspóczynnik bezpiecznego wyczenia, SDR definiowany jest zgodnie z wzorem (2), przy czym przyjmuje si, e rednie czasy okresowego testowania, s równe czasom wykrycia usterki. ் ଶ൅ ܰܶ ൌ ܵܦܶ ൌ ଵ ௌ஽ோ (2) gdzie: T – czas testowania, NT – czas blokowania

SDT – redni czas reakcji systemu (od wykrycia do zablokowania)

Zgodnie z [1] warto MTBF systemu dziaajcego w trybie 2oo2, przy zaoeniu, e oba kanay posiadaj tak sam intensywno uszkodze, wynosi 3/2›. Przy rónej intensywno uszkodze w poszczególnych kanaach warto MTBF caego systemu wynosi (3).

 ൌ ׬ ሺ–ሻ†–_଴ஶ ൌ_஛ଵ_౗൅_஛ଵ ౘെ

ଵ

ሺ஛౗ା஛ౘሻ (3)

gdzie: R(t) – rozkad prawdopodobiestwa uszkodze, ›a – intensywno uszkodze elementu (systemu) a,

›b – intensywno uszkodze elementu (systemu) b.

Jednoczenie naley zauway , e przy dokonaniu przyrównania MTBF=1/› poczyniono pewne zaoenia, poniewa wartoci tych nie da si przyrówna bezporednio. Warto intensywno uszkodze › nie jest staa w czasie i nie uwzgldnia czasu obsugi lub przywrócenia do sprawnoci, w przeciwiestwie do wartoci MTBF. Zaoenie

przyrównujce obie wartoci mona poczyni , m.in. zakadajc bezobsugowo urzdze do pierwszej usterki, czyli po wystpieniu pierwszej usterki wymienia si element systemu oraz zakadajc, e usterkowo w czasie funkcjonowania systemu jest staa. Ponadto, przy przyjciu wartoci MTBF, nie uwzgldnia si czasu obsugi, czyli przywrócenia sprawnoci systemu, który wchodzi do czasu podawanego jako MTBF. Mona zatem powiedzie , e warto wskanika MTBF jest równa wskanikowi MTTF, dla danego elementu systemu.

3. WNIOSKI

Zintegrowane systemy sterowania o podwyszonym poziomie niezawodnoci, wymagaj bardziej restrykcyjnego podejcia do kwestii utrzymania i eksploatacji. Jednym ze sposobów gwarancji bezpieczestwa takich systemów jest podzia uprawnie personelu odpowiedzialnego za eksploatacj i utrzymanie. Podzia obowizków oraz uprawnie powinien by dokonany ju na etapie projektowania systemu i utrzymany do koca ycia systemu sterowania. Zarzucenie polityki bezpieczestwa lub jej nieprzestrzeganie moe doprowadzi do pogorszenia stanu bezpieczestwa cakowitego i doprowadzi do zdarze o powanych konsekwencjach.

Bibliografia

1. Mil-HDBK-338b Military Handbook - Electronic Reliability Design Handbook, U.S. Department of Defense, 1998, pp. 7-97.

2. Myczak J.: Analysis of Intelligent Transport Systems (ITS) in Public Transport of Upper Silesia. Modern Transport Telematics, Springer Berlin Heidelberg, Berlin 2011.

3. Myczak J.: Using Databases in Switch Point Mechanism Diagnostics. Modern Transport Telematics, Springer Berlin Heidelberg, Berlin 2010.

4. Lewiski, A., Perzyski, T.: The reliability and safety of railway control systems based on new information technologies. Transport Systems Telematics (s. 427-433). Springer Berlin Heidelberg.. 5. PN-EN 50128:2011: Zastosowania kolejowe -- Systemy cznoci, przetwarzania danych i sterowania

ruchem -- Oprogramowanie kolejowych systemów sterowania i zabezpieczenia.

6. Wymagania bezpieczestwa dla urzdze sterowania ruchem kolejowym, Warszawa: Zakad sterownia ruchem kolejowym, CNTK, 1998.

CONCEPT OF MAINTENANCE AND OPERATION OF HIGH LEVEL RELIABILITY INTEGRATED CONTROL SYSTEMS

Summary: Article describes the issues of maintenance and operation high level reliability integrated control

systems, based on PLC controllers. Described control systems are dedicated to railway applications, where required is security level SIL 4. Discussed questions, applied diagnostics methods of the control system to determining the levels of system reliability.