Università degli studi di Firenze
Gruppo: 6
Analisi di sicurezza di un sistema di controllo di
pressurizzazione e sgancio delle mascherine con
ossigeno
Firenze 21/10/2011
Studenti:
Marco Montagni
Alessio Farina
Lorenzo Giuseppi
Jacopo Casini
Alessandro Ussi
Dati di partenza
Le prestazioni richieste dal committente prevedono:
• SIL3
• Tasso di guasto precalcolato di ogni sottosistema λ=8*10^(-3)
• Richiesta almeno una configurazione 1oo2D nel sistema
2
La sicurezza per la respirazione
La respirazione degli esseri viventi
Con pressione atmosferica
standard e percentuale di
ossigeno standard
Con pressione atmosferica
ridotta e percentuale di
ossigeno maggiore
Sistema di
pressurizzazione
funzionante
Sistema di
pressurizzazione
guasto
3
Descrizione del sistema
Composizione:
• N°2 sensori all’interno della fusoliera: uno a poppa e uno a prua
• N°2 microprocessori per il logic solver
• N°2 attuatori per il rilascio della mascherina per ossigeno
Funzionamento:
Regolare
I due sensori misurano la pressione
all’interno della fusoliera,
monitorandolo continuamente, e
rientra nei margini di sicurezza
Guasto: falla o
pressurizzazione
I sensori misurano la pressione all’interno
della fusoliera e non rientra nei margini di
sicurezza
Il sistema risponde in un tempo ragionevole
ed espelle le mascherine per
approvvigionamento di ossigeno 4
Architettura utilizzata
Implementazione dell’architettura utilizzata all’interno del
sistema di diagnostica e sicurezza
5
Ipotesi di lavoro
Il sistema di sicurezza progettato presenta i seguenti caratteristiche:
• Come suggerito dalla norma CEI 61508-6 2011-02 si considera il sistema suddiviso nei tre
sottosistemi: Sensoristica, Logica controllo, Attuatori
• Si considera che la pressione sia uniforme all’interno della carlinga
• Si ipotizza che sia stata fatta un’analisi FMECA/FMEA
• La parte di logica di controllo costituita da 2 microcontrollori posti in luoghi diversi
• Cavi divisi in canaline diverse
• Due attuatori in parallelo.
• Il vano che contiene il sistema logica è accessibile solo da personale qualificato
• Il sistema di sicurezza lavora con un’alta frequenza dei test di diagnostica
6
Valori del PFHSYS
Valori di PFH Forniti dal committente
• SIL3  1*10^(-8) < PFH < 1*10^(-7)
• Si considera caso proof test interval 25 ore (caso migliore)
PFHSYS
Λ= 8 exp(-3) h-1
βS/FE=2%
DC
βLS =1%
T1= 25 ore
MRT=MTTR [h]
\
0,5
1
2
4
6
8
16
0,4
7,720E-04
8,113E-04
8,898E-04
1,047E-03
1,204E-03
1,361E-03
1,989E-03
0,5
6,677E-04
7,028E-04
7,730E-04
9,134E-04
1,054E-03
1,194E-03
1,756E-03
0,6
5,854E-04
6,154E-04
6,754E-04
7,953E-04
9,153E-04
1,035E-03
1,515E-03
0,65
5,526E-04
5,797E-04
6,339E-04
7,421E-04
8,504E-04
9,587E-04
1,392E-03
0,75
5,038E-04
5,244E-04
5,654E-04
6,475E-04
7,296E-04
8,117E-04
1,140E-03
0,85
4,774E-04
4,905E-04
5,165E-04
5,687E-04
6,208E-04
6,729E-04
8,814E-04
0,9
4,727E-04
4,816E-04
4,994E-04
5,351E-04
5,708E-04
6,065E-04
7,493E-04
0,95
4,735E-04
4,781E-04
4,873E-04
5,056E-04
5,239E-04
5,422E-04
6,155E-04
0,99
4,783E-04
4,792E-04
4,811E-04
4,848E-04
4,885E-04
4,923E-04
5,072E-04
7
Analisi dei valori di PFH e SIL
Le richieste del committente non sono state soddisfatte in termini di sicurezza.
Il tasso di guasto dei sottosistemi, non permettono di ottenere il SIL3.
Possibile soluzione
Identificazione delle parti deboli del sistema
Valutazione dei parametri che influenzano in modo significativo l’analisi
8
Soluzioni
PER
OTTENERE
UN SIL3
Variare K
Variare
l’architettura
Variare e
diminuire il
tasso di guasto
9
La variazione di K: il decisore
Il parametro K identifica la possibilità di sbaglio del decisore
Con K= 0,999 non sono adeguati alle richieste
PFHSYS
Λ= 8 exp(-3) h-1
βS/FE=2%
DC
βLS =1%
T1= 25 ore
MRT=MTTR [h]
\
0,5
1
2
4
6
8
16
0,4
5,896E-04
6,289E-04
7,074E-04
8,645E-04
1,022E-03
1,179E-03
1,807E-03
0,5
4,397E-04
4,748E-04
5,450E-04
6,854E-04
8,258E-04
9,662E-04
1,528E-03
0,6
3,118E-04
3,418E-04
4,018E-04
5,217E-04
6,417E-04
7,616E-04
1,241E-03
0,65
2,562E-04
2,833E-04
3,375E-04
4,457E-04
5,540E-04
6,623E-04
1,095E-03
0,75
1,618E-04
1,824E-04
2,234E-04
3,055E-04
3,876E-04
4,697E-04
7,982E-04
0,85
8,984E-05
1,029E-04
1,289E-04
1,811E-04
2,332E-04
2,853E-04
4,938E-04
0,9
6,227E-05
7,119E-05
8,904E-05
1,247E-04
1,604E-04
1,961E-04
3,389E-04
0,95
4,032E-05
4,490E-05
5,406E-05
7,239E-05
9,071E-05
1,090E-04
1,823E-04
0,99
2,681E-05
2,775E-05
2,962E-05
3,336E-05
3,710E-05
4,084E-05
5,581E-05
10
Cambio di configurazione
Calcolo del PFH con configurazione 1oo3
PFHSYS 1oo3
βS/FE=2%
DC
SIL-1
βLS =1%
T1= 25 ore
MRT=MTTR [h]
\
0,5
0,4
1,491E-04
0,5
1,174E-04
0,6
8,933E-05
0,65
7,646E-05
0,75
5,260E-05
0,85
3,069E-05
0,9
2,026E-05
0,95
1,006E-05
0,99
2,004E-06
11
Tasso di migliore
Trovando componenti con tasso di guasto che ci garantiscono un MTBF nell’ordine
di 10^5 ore e con un decisore di bassa qualità (K=0,98)
PFHSYS
Λ= 1 10^(-5) h-1
βS/FE=2%
DC
βLS =1%
T1= 25 ore
MRT=MTTR [h]
\
0,5
1
2
4
6
8
16
0,4
3,907E-07
3,908E-07
3,909E-07
3,911E-07
3,914E-07
3,916E-07
3,926E-07
0,5
4,255E-07
4,256E-07
4,257E-07
4,259E-07
4,261E-07
4,263E-07
4,272E-07
0,6
4,603E-07
4,604E-07
4,605E-07
4,607E-07
4,609E-07
4,610E-07
4,618E-07
0,65
4,778E-07
4,778E-07
4,779E-07
4,781E-07
4,782E-07
4,784E-07
4,791E-07
0,75
5,126E-07
5,127E-07
5,127E-07
5,129E-07
5,130E-07
5,131E-07
5,136E-07
0,85
5,476E-07
5,476E-07
5,476E-07
5,477E-07
5,478E-07
5,479E-07
5,482E-07
0,9
5,650E-07
5,650E-07
5,651E-07
5,651E-07
5,652E-07
5,652E-07
5,655E-07
0,95
5,825E-07
5,825E-07
5,825E-07
5,826E-07
5,826E-07
5,826E-07
5,827E-07
0,99
5,965E-07
5,965E-07
5,965E-07
5,965E-07
5,965E-07
5,965E-07
5,965E-07
12
Ottenere un SIL 4
DC
\
0,4
0,5
0,6
0,65
0,75
0,85
0,9
0,95
0,99
DC
\
0,4
0,5
0,6
0,65
0,75
0,85
0,9
0,95
0,99
PFHSYS 1oo3
βS/FE=2% βLS =1% λ=10^-5 T1= 25 ore
MRT=MTTR [h]
0,5
1,500E-07
1,250E-07
1,000E-07
8,750E-08
6,250E-08
3,750E-08
2,500E-08
1,250E-08
2,500E-09
βS/FE=5% βLS =2% λ=1o^-5 T1= 25 ore
MRT=MTTR [h]
0,5
3,600E-07
3,000E-07
2,400E-07
2,100E-07
1,500E-07
9,000E-08
6,000E-08
3,000E-08
6,000E-09
13
Valori PFH con K=0,999
DC
1.000E-02
0.35
0.45
0.55
0.65
0.75
0.85
0.95
1.05
1oo2D:8e-3
1.000E-03
1oo2D:8e-4
1oo2D:8e-5
1.000E-04
1oo2D:1e-5
1.000E-05
SIL1
1.000E-06
SIL2
1.000E-07
1.000E-08
SIL3
SIL4
1.000E-09
PFH
14
Conclusioni
In base ai risultati ottenuti la richiesta del
committente può essere soddisfatta
incorporando i suggerimenti ottenuti con
l’analisi migliorando quindi i vari
sottosistemi.
15