Affidabilità, fidatezza e sicurezza dei sistemi
In questo corso studieremo i dati di affidabilità di un sistema e la fidatezza (dependability) con
cui possono essere presi.
Ci concentreremo sui parametri RAMS (= Reliability, Availability, Mantainability, Safety): questi
sono tutti legati fra di loro e sono importanti da studiare perché descrivono qualsiasi sistema
esistente (sia hardware che software) e perché servono per garantire al cliente la vita utile del
prodotto attraverso l’analisi dei parametri di guasto (es: MTTF, MTBF, MTBR..). Vedremo anche
l’affidabilità di sistema, cioè di un sistema complesso (= un qualunque sistema che ha più
componenti al suo interno, anche di diversa natura). Si studieranno anche le banche dati che ci
permetteranno di andare a calcolare i parametri di guasto. Approfondiremo il concetto di
rischio per vedere come funziona il processo di gestione del rischio e quali sono le analisi.
Faremo infine le analisi di sicurezza ovvero delle tecniche che servono per garantire la
sicurezza di un impianto quando un componente fallisce e come queste vengono progettate
(alto livello).
Per parlare di tutti questi argomenti si farà spesso riferimento alle norme (IEC) che sono
importanti perché sono un riferimento fondamentale per le metodologie da usare quando si va
risolvere problemi.
Concetti di Affidabilità, Disponibilità e Guasto
Lo studio dei parametri RAMS è importante perché serve a garantire un DESIGN FOR
RELIABILITY (DFR) che si concretizza quindi in:
• Riduzione dei tempi di miglioramento del prodotto, perché permette di agire sul
problema in fase di ricerca e sviluppo/prototipazione; l’importante è che non venga fuori
un difetto quando il prodotto è già sulla linea di produzione
• Comparazione di più soluzioni possibili, eseguendo analisi costi/benefici
• Validazione delle scelte di progetto
• Raggiungimento dei target di affidabilità, cioè rispettare la vita utile del prodotto
dichiarata
• Garanzia di disponibilità e sicurezza
Il DFR è applicabile per qualsiasi tipologia di sistema e il processo si suddivide in vari step:
STEP 1: conoscere i parametri di affidabilità
STEP 2: si selezionano le parti del sistema in base alla funziona che devo realizzare e individuare
i componenti che possono fare derating, cioè l’eventuale sottoutilizzo rispetto alle condizioni di
funzionamento nominale di un componente per aumentarne la vita utile.
STEP 3: uso di tecniche di progettazione appropriate. Quindi semplificare il più possibile,
evidenziare le ridondanze (che aumentano l’affidabilità, ma aumentano i costi) ed implementare
eventuali tecniche di protezione dai rischi. STEP 4: Design per minimizzare gli effetti
dell’ambiente esterno (! quando si pensa
un prodotto è importantissimo pensare
anche alla sua interazione con l’ambiente
e con chi lo usa). Quindi si dovrà
calcolare l’affidabilità dell’essere umano
(non banale) e dei fattori di software
(sempre presenti in un sistema
complesso) spesso provenienti dal
campo (ad esempio i bug delle
applicazioni quando vanno ad
interfacciarsi con i sistemi operativi dei
dispositivi in cui sono installate).
STEP 5 : Manutenzione predittiva per
evitare guasti .
STEP 6: ognuno di questi step si
conclude con una revisione di ciò che è
stato prodotto.
Alla fine di tutto ci chiediamo se gli obiettivi di affidabilità sono stati raggiunti e se la risposta è
positiva si procede alla fase di prototipazione e poi produzione, se è negativa si ripetono
ciclicamente gli step finché non si raggiunge il prodotto ideale.
Prodotto ideale= non esiste, si tende a quello ma non è raggiungibile.
Gli obiettivi di affidabilità si stabiliscono a partire dalla MISSION PROFILE, ovvero prima è
necessario comprendere quale sarà la funzione che il mio sistema andrà a compiere. In base a
questo, si definisce il ciclo di vita del sistema e quindi si capisce quale sarà la durata dei
componenti a cui devo puntare. Ad esempio, la garanzia: l’azienda mi garantisce che il
dispositivo deve funzionare bene 2 anni; in più si ha la garanzia aggiuntiva che per l’azienda è
un guadagno e basta perché è convinta che il proprio prodotto non si romperà nemmeno
nell’ulteriore periodo.
Lo scopo del DFR è quello di ridurre i costi migliorando la qualità del prodotto.
➢
NB: l’affidabilità varia col tempo: è importante specificare il tempo perché lo stesso valore a due
diversi istanti temporali ha due significati diversi.
L’affidabilità è anche legata alla qualità ed implicitamente alla soddisfazione del cliente.
Termini e Definizioni
Sono numerosi perché derivano direttamente dalle norme che sono estremamente precise e
dettagliate.
Affidabilità e disponibilità sono prestazioni della qualità; definiamo allora la qualità:
DEF. Qualità (ISO 9000) = grado in cui un insieme di caratteristiche intrinseche soddisfa i
requisiti.
In queste caratteristiche intrinseche ci cono anche i parametri RAMS, oltre a quelle fisiche,
funzionali e temporali (RAMS).
Nel suo ciclo di vita ogni prodotto (inteso come servizio, sistema, impianto cioè non solo quello
che si produce in una fabbrica) deve avere le seguenti caratteristiche:
• Possedere la capacità tecnica per fare ciò che è richiesto l’entità è caratterizzata da
→
certe prestazioni. Queste prestazioni impongono anche dei limiti all’uso dell’entità, per
cui bisogna stabilire chiaramente quale è il suo ambito di impiego.
• Mantenere nel tempo la propria capacità tecnica una serie di parametri RAMS sono
→
in funzione del tempo e ciò ci porta al concetto di affidabilità. Deve essere mantenuta
buona almeno per il periodo di durata della garanzia (e anche oltre, se l’applicazione è
critica)
• Poter essere utilizzata nel momento in cui è richiesta la sua funzione Si introduce il
→
concetto di ripristino e, quindi, di manutenibilità e di disponibilità.
Le caratteristiche sono poi tradotte in PRESTAZIONI MISURABILI [ IEC 50 (191) ]:
• Conformità = rispondenza dei parametri funzionali (prestazioni) ai valori prestabiliti
(specifiche)
• Affidabilità = attitudine di un’entità a svolgere la funzione richiesta in condizioni date
(l’ambiente per cui è stata definita, si tratta di un range) per un dato intervallo di tempo.
Ovviamente non è possibile garantire affidabilità 100% per n anni: ciascun produttore
mette in conto che una certa percentuale di prodotti uscirà non conforme e per questo
motivo si mette in atto il controllo qualità.
• Manutenibilità = attitudine di un’entità ad essere mantenuta o riportata in uno stato nel
quale può svolgere la funzione richiesta. Entra in gioco la possibilità di riparare un
oggetto quindi in fase di progettazione è necessario pensare anche a come possa essere
riparato un oggetto, non solo come costruirlo. Più un componente è critico più è
importante disegnarlo scalabile, così che possa essere sostituito un componente in
modo semplice e veloce; questa importanza aumenta anche con la dimensione
dell’entità perché più componenti si hanno più sarà facile che alcuni si rompano e meno
sarà possibile trasportarla dal tecnico (si devono poter fare riparazioni in loco)
• Disponibilità = attitudine di un’entità ad essere in grado di svolgere la funzione richiesta,
in determinate condizioni, supponendo che siano assicurati i mezzi esterni
eventualmente necessari. È un’estensione del concetto di affidabilità che la lega alla
manutenibilità: i mezzi esterni rendono il sistema disponibile anche quando si presenta
un guasto.
• Sicurezza (Safety) = assenza di rischi inaccettabili. Si misura con un parametro chiamato
Safety Integrity Level (SIL) che ha delle sfumature a seconda dell’ambito di applicazione.
! la Safety non è la Security: la prima è la protezione da eventi indesiderati che
avvengono in maniera casuale, la seconda invece è la protezione da eventi dannosi
volontari (es: attacco hacker).
DEF. Rischio = è la combinazione di due elementi cioè la probabilità di accadimento di un certo
evento e la gravità del danno che comporta il verificarsi di questo evento.
DEF. Guasto = quando cessa l’attitudine del dispositivo (prodotto) ad eseguire la funzione
richiesta. È in qualche modo oggettivo: non si accende/spegne.
DEF. Conformità = rispondenza dei parametri funzionali di un prodotto ai valori prestabiliti
(specifiche). Questa rispondenza non è binaria, ma rientra in un range; questo range deve
essere definito in fase di progettazione, quando vado anche a testare un componente per
capire se rientra nei limiti di specifica.
I valori non sono mai precisi su quello nominale, ma oscillano: queste oscillazioni sono
accettabili in un range di tolleranza (legato ad un’incertezza di misura). Anche nel “Non
Accettabile” i pezzi non sono tutti uguali, prima di attivare al guasto catastrofico si ha un “fuori
specifica” che serve proprio a prevenire la rottura del componente non si definisce mai una
→
regione di accettabilità troppo stringente per evitare di arrivare troppo velocemente al guasto
catastrofico (è un margine di sicurezza).
DEF. Valore nominale = valore obiettivo della caratteristica di un prodotto rispetto al quale
sono ammesse deviazioni nei limiti di un determinato intervallo di tolleranza
DEF. Tolleranza = differenza tra limite superiore (USL) e quello inferiore (LSL).
Nell’immagine si vede che quando si considera l’incertezza della misura ne deriva un intervallo
di ambiguità tra la conformità o meno del pezzo. Questo si può trattare con un’accettabilità più
stringente o più lasca e questo è deciso con un accordo fra le parti.
Ovviamente l’accettabilità stringente ha un costo maggiore si deve valutare per quali
→
componenti vale la pena sostenere questo costo, di solito si fa per quelli Safety Critical.
DEF. Tempo al guasto = la durata di tempo complessiva del tempo di funzionamento di
un’entità dal momento in cui viene messa in uno stato di disponibilità fino al guasto, oppure dal
momento in cui avviene il ripristino fino all’apparizione del guasto successivo.
DEF. Tempo medio al guasto (MTTF) = valore atteso del tempo al guasto, espresso in ore. In
questo tempo non si prevede la riparazione del dispositivo.
SOLO SE IL DISPOSITIVO È RIPARABILE, parlo di:
DEF. Tempo operativo tra guasti = durata di tempo complessiva del tempo di funzionamento
(tempo operativo) tra due guasti consecutivi di un’entità riparata.
DEF. Tempo operativo medio tra guasti (MTBF) = valore atteso del tempo operativo tra due
guasti, espresso in ore.
DEF. Tempo al ripristino = intervallo di tempo durante il quale l’entità è in uno stato di
indisponibilità a causa di un guasto.
DEF. Tempo medio al ripristino (MTTR) = valore atteso del tempo al ripristino.
NB: MTTR sta per Mean Time To Recovery ma anche per Mean Time To Repair e sono due
tempi diversi: il primo è il ripristino complessivo, da quando il dispositivo ha presentato un
guasto fino a quando il dispositivo è nuovamente operativo, dentro si ha il secondo con cui si
intente solo il tempo di riparazione effettivo; nel rispristino quindi si ha in più il tempo di
individuazione del guasto e di approvvigionamento delle scorte è un tempo più lungo, il
→
dispositivo perde in disponibilità.
Tutto questo insieme di caratteristiche che descrivono i parametri RAMS rientrano sotto il
termine di FIDATEZZA:
DEF. Fidatezza (IEC 60300-1) = attitudine a erogare le prestazioni come e quando richiesto. In
questa frase si riassume tutti i concetti visti finora: lega l’affidabilità e la disponibilità. La fidatezza
comprende la disponibilità, l’affidabilità, la manutenibilità e il supporto di manutenzione e, in
alcuni casi, altre caratteristiche quali la durabilità, la sicurezza e la protezione. Io voglio che il
mio sistema eroghi le prestazioni nel tempo, ma voglio che le esegua anche quando voglio,
quindi concetto legato alla disponibilità, la fidatezza riassume tutto questo.
Se si parla di “Dependability” allora si parla anche di:
• impedimenti nell’esecuzione della funzione. Il fault è l’avaria quindi un guasto a un
componente, un errore è lo stato non corretto di un sistema (un sistema formato da più
parti prevede che il sistema assuma più stati, non è un banale on-off ma magari sono
previsti stati intermedi errati che si possono risolvere con un riavvio). Il Timer Watchdog
è un metodo tramite il quale il sistema viene riavviato senza che l’utente se ne accorga.
Le threats sono avvenimenti che non garantiscono la fidatezza;
• I mezzi per validare la fidatezza: fault prevention (quello che prima si era chiamati de-
rating) cioè invece che correggere si tende a non arrivare mai ai valori limiti di specifica,
ogni componente (meccanico o elettrico) ha range di funzionamento e chiaramente si
cerca di non stare mai sui limiti ma si sovradimensiona così da rientrare nelle bande di
tolleranza, questo, vedremo, permette di allungarne la vita. La fault tolerance sono
sistemi che consentono di fornire il servizio anche in caso di guasto, si ottiene tramite la
ridondanza nella progettazione, ma non si può ridondare su tutto a causa degli
ingombri dell’oggetto finale. Le parti più critiche vengono fuori con analisi dei parametri
RAMS e sono quelli con il MTTF più bassi o il tasso di guasto più elevato, meglio allora
concentrarsi su quei componenti ma di nuovo si va incontro a problemi di ingombro,
miniaturizzazione di elettronica, peso dei materiali ecc. Eventualmente si ha anche la
parte di Fault Forecasting ovvero le previsioni dei guasti e si possono usare metodi di
reti neurali o IA, tramite l’analisi dello stato di salute si può capire quanto rimane della
vita utile del componente (ma sono metodi molto complessi). Per esempio, le batterie al
Litio, quanto rimane a esse di vita utile dopo N cicli di carica-scarica? In questo modo
non aspetti il guasto ma lo anticipi.
• Attributi: è l’ultima voce, gli attributi è la terminologia vista finora quindi Affidabilità
(sistema pronto ad essere usato), Disponibilità, Safety, e infine la Security.
La struttura della norma IEC/CT56 è:
Ci sono le norme di processo, ovvero qualcosa di più dettagliato, le norme di supporto vanno a
dettagliare alcune attività. Nella parte finale delle norme ci sono i riferimenti bibliografici e noti
che le norme si citano a vicenda. Tramite le norme inferiori sei in grado di applicare in maniera
dettagliata, quelle di supporto aiutano ad applicare quelle di livello superiore.
Nell’immagine si vedono le attività della fidatezza e anche il ciclo di vita di un qualsiasi prodotto.
Vediamo che c’è un’interazione continua tra le attività progettuali e quelle di fidatezza (come
viene definito un qualunque sistema): quindi l’ideazione (ricerca di sviluppo), l’attività di
fidatezza corrispondente sta nel definire dei requisiti RAMS e la creazione di un piano di
fidatezza per l’intero ciclo di vita del dispositivo (ogni dispositivo si pensa per il suo intero ciclo
di vita). In questo modo si ha uno scambio continuo tra i requisiti e il vedere se sono compatibili
col costo. Si scende poi di livello: lo sviluppo e le scelte progettuali che si collega alla creazione
di prototipi e quindi si iniziano a fare analisi e previsione di fidatezza e affidabilità,
l’assegnazione degli obiettivi di fidatezza ai vari sottosistemi (individuo i componenti più critici)
e poi si assegnano le risorse ed i tempi: nei componenti tecnici ed elettronici la parte più critica
è l’alimentazione, perché senza di quella non funziona nulla è quello su cui è sicuramente
→
importante investire, anche con la ridondanza delle sorgenti alimentanti). Si va quindi poi alla
realizzazione e all’analisi dei dati prestazionali, anche con verifiche sperimentali, non solo sulla
carta: importantissimi sono in questa fase i dati da campo, i feedback perché permettono il
miglioramento continuo (sia di prodotti che di servizi). Questo miglioramento porta
all’aggiornamento continuo ciclo di vita infinito fino alla dismissione, da trattare ugualmente
→
attentamente con i parametri RAMS. il ciclo di vita del prodotto termina solo al momento della
dismissione, fino a quello l’interazione è ciclica. Alla fine, si fa una sintesi dei dati di campo e
questi si archiviano per usi futuri entrano a far parte del know-how aziendale, rappresentano
→
la base per i miglioramenti futuri.
NB: gli esempi nelle norme, tipo quello alla slide 27, non sono mai molto esaustivi.
In questa immagine si
vede un’altra
caratteristica, la
SUPPORTABILITY,
anche conosciuta
come Integrated
Logistic Support (ILS)
che è il processo di
gestione e tecnico con
cui le considerazioni
di supporto logistico sono integrate nel design lungo tutto il ciclo di vita del prodotto. L’ ILS
garantisce che tutti gli elementi del supporto logistico sono pianificati, acquisiti, testati e
procurati in tempo e in maniera efficiente dal punto di vista dei costi così che il sistema duri di
più nel tempo e richieda meno supporto, riducendo anche i costi nel tempo. Si vede come l
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Affidabilità di sistemi Software complessi - Teoria completa
-
Affidabilità di Sistemi Software Complessi
-
Affidabilità e controllo della qualità T-A - Appunti
-
Affidabilità e sicurezza delle macchine - Paniere, domande aperte