488
Bezpečnost a spolehlivost systémů Doc. Ing. Mirko Novák, DrSc Doc. Ing. Zdeněk Votruba, CSc Ing. Václav Šebesta, DrSc
Bezpečnost a
spolehlivost systémů
Doc. Ing. Mirko Novák, DrScDoc. Ing. Zdeněk Votruba, CSc
Ing. Václav Šebesta, DrSc
Společná Laboratoř spolehlivosti systémůLaboratoř aplikované informatiky
Katedra řídící techniky a telematikyČVUT v Praze, Fakulta dopravní
Konviktská 20, Praha 1, 11000tel. 2422 1721/416 (fax), 417 (sekr.), 418, 413 (lab.)
e-mail:[email protected]Ústav informatiky AV ČR
Pod vodárenskou věží 2, 18207 Praha 8tel. 6605 2080, 6605 2060, 821639 (fax)
e-mail:[email protected]
Doc. Ing. Mirko Novák, DrScDoc. Ing. Zdeněk Votruba, CScIng. Václav Šebesta, DrSc
Společná Laboratoř spolehlivosti systémů
ČVUT v Praze, Fakulta dopravníKonviktská 20, Praha 1- Staré město, 11000tel. 24221721/416,417,418, 413, 235
fax: 24229201, 24221721/416 e-mail:
[email protected], [email protected]
Ústav informatiky AV ČR Pod vodárenskou věží 2, Praha 8 - Kobylisy,
18207 tel. 6605 2080, 821639 fax: 8585 789, 821639
e-mail: [email protected], [email protected]
Učební texty pro posluchače 3. a vyšších ročníků
Fakulty dopravní ČVUT, studijní směr Inženýrská informatika
Praha, 2001
BSS 1
Obsah:
I. ÚvodI.1. Základní definice I.2. Hlavní složky problematiky
bezpečnosti a spolehlivosti systémůI.3. Celkové zaměření přednášek o
bezpečnosti a spolehlivostiI.4. Související granty a projekty I.5. Základní, zejména knižní literatura
BSS 2
II. Základy teorie spolehlivosti a bezpečnosti soustav
II.6. Základní pojmyII.7. Hlavní složky problematiky bezpečnosti
a spolehlivosti systémů
BSS 3
II.8. Celkové zaměření prací o zvýšení bezpečnosti a spolehlivosti systémů pomocí predikční diagnostiky
II.9. Základy teorie tolerancí parametrů soustav
BSS 4
II.10. Čáry života soustavII.11. Citlivost parametrů soustav
BSS 4
III. Analýza spolehlivosti technických soustav
III.12. Základní poznatky fyziky degradacíIII.13. Modely degradací prvků
BSS 5
III. 14. Metodika zkoušek
BSS 6
III. 15. Sběr a zpracování dat z provozu
BSS 7
III. 16. Vedení datových bází prvků, funkčních bloků, subsystémů
BSS 8
III. 17. Vlastní analýza
BSS 9
III. 18. Otázka nezávislosti
BSS 10
III. 19. Charakteristika metody podle MIL -HDBK-217
BSS 11
IV. Základy predikční diagnostiky
BSS 12
V. Respektování lidského faktoru v bezpečnosti a spolehlivosti funkce soustav
BSS 13
VI. Optimalizace soustav vzhledem ke spolehlivosti a bezpečnosti
BSS 14
VII. Normy a předpisy pro bezpečnost a spolehlivost soustav
BSS 15
VII. 20 Seznam norem, které se zabývají zajišťováním systémů jakosti
BSS 16
VII. 21 Seznam prvků zabezpečení systémů jakosti podle ISO 9001
VII. 22. Popis jednotlivých požadavků na systém jakosti podle normy ČSN EN ISO 9001
BSS 17
VII. Řízení dokumentů a údajů
VII. Literatura
BSS 18
BSS 19
Tento text vznikl v souvislosti s řešením: - projektu MŠMT č. VS 96038 "Signály, procesy a faktory spolehlivosti v náročných systémech, zejména dopravních”, - výzkumného záměru MŠMT č. 210000024 a - grantu MŠMT ME 478 „Neuroinformatika“.
BSS 20
Předmluva
Lidstvo se v celé své historii potýká s problémem spolehlivosti systémů, se kterými zachází. Jde přitom stále o totéž - aby tyto systémy fungovaly co nejdéle a to bez závad nebo alespoň s co nejmenším počtem závad. K tomuto požadavku, který má zásadní charakter, se pochopitelně přidružují požadavky další: aby takové systémy plnily požadované funkce co nejlépe, tj. aby se blížily so nejvíce našim představám, aby byly co nejlevnější, spotřebovávaly co nejméně energie, měly co nejmenší hmotnost, zabíraly co nejméně prostoru atd.
BSS 22
Požadavek na dostatečně velkou a často až na maximální možnou spolehlivost systémů (a tím i jejich bezpečnost) námi užívaných má přitom zcela zásadní význam a to nejen z hlediska ekonomického, ale i ekologického a bezpečnostního.
BSS 23
Celosvětové prognózy, zpracované zejména Římským klubem (viz např. [ME-S 72/1, ME-S 95/1] a především [WE-R 96/1]) totiž ukazují, že tento požadavek je zcela nezbytnou součástí těch opatření, které musí v co nejkratší době lidstvo velmi intenzivně provádět, má-li mít vůbec naději na dlouhodobější přežití.
BSS 24
Systémy, o nichž se v této souvislosti jednalo a jedná, mohou mít přitom velice různorodý charakter. Mohou to být systémy:
technické, organizační, společenské, obchodní, medicínské, vojenské, bezpečnostní (ochranné), informačnía mnohé jiné.
BSS 25
Konečně i na živé organizmy a ovšem i na člověka samého lze z tohoto hlediska spolehlivosti nazírat jako na systém.
Otázka přežití nebo dostatečně dlouhé životnosti je důležitou dílčí otázkou funkční spolehlivosti uvažovaného systému.
BSS 27
Proto není naprosto žádným přeháněním, označíme-li problematiku dosažení dostatečné spolehlivosti funkce systémů jako jednu ze základních podmínek pro veškerý život.
V těchto textech budeme mít na zřeteli především systémy umělé, zejména technické, ovšem s vědomím, že mnohé zde uvedené metodické nástroje a postupy mají význam a uplatnění mnohem obecnější.
BSS 28
Na problematiku spolehlivosti umělých systémů lze nazírat z následujících čtyř hlavních zorných úhlů:
z hlediska návrhu a konstrukce uvažovaného systému tak, aby kromě svých základních požadovaných funkcí vykazoval též co největší provozní spolehlivost a životnost;
z hlediska analýzy spolehlivosti jistého již existujícího systému;
z hledisek spolehlivosti interakce mezi umělými, člověkem vytvořenými systémy a lidskými operátory (řidiči, piloty, dispečery a pod.), resp. lidskými uživateli;
z hlediska doporučení a norem pro zajištění a zaručení (garantování) spolehlivé funkce systémů.
BSS 29
Spolehlivost a dostatečně dlouhá životnost člověkem vytvářených systémů byla v minulosti zajišťována velmi různými způsoby. Za nejvýznamnější lze považovat následující čtyři:
BSS 29
BSS 30
Mezi nejstarší způsob zajišťování spolehlivosti systémů patří dostatečně robustní uspořádání celého systému a použití co nejkvalitnějších součástí pro jeho realizaci.
To je cesta sice dobře osvědčená (užívá ji ve svých konstrukcích nejen člověk, ale již velmi dlouho příroda), avšak současně je velmi nákladná.
BSS 29
Podobně je tomu i při zálohování celého systému nebo alespoň jeho nejkritičtějších částí. Ty můžeme určit buď na základě zkušenosti, nebo je můžeme nalézt aparátem teorie citlivostí. Zálohování je často vícenásobné, tj. pro dosažení dostatečné spolehlivosti je celý systém, nebo jeho kritické části realizovány vícekrát. Operačně je pak nasazen buď jen jeden systém a ostatní jeho jednotlivé realizace jsou připraveny v záloze k co nejrychlejšímu použití v případě potřeby, nebo tam, kde je nebezpečí z prodlení při jejich uvádění do chodu jsou nasazeny paralelně, a to i za cenu velkých pořizovacích a provozních nákladů (to je technologie tzv.
"horkých" záloh 1)).
BSS 31
Extrémem vícenásobného "horkého" zálohování je skupinové nasazení velkého počtu identických či téměř identických systémů, kdy poměrně vysoká pravděpodobnost selhání jednotlivého dílčího systému (a tedy jeho malá funkční spolehlivost a krátká doba života) je kompenzována početností paralelně působících systémů.
Opačný pojem “studených“ záloh zahrnuje představu záloh, které nejsou trvale udržovány ve stavu funkční způsobilosti a které se aktivují až v případě aktuální potřeby.
BSS 32
Stojí za povšimnutí, že tuto technologii zvyšování výsledné spolehlivosti individuelně ne dosti
spolehlivých systémů používá příroda ve velkém, nesmírně dlouho a velmi úspěšně.
Člověk ji v tomto směru napodobuje též již velmi dlouho, jak snahou o zachování rodu vysokou porodností v podmínkách velké úmrtnosti, tak masovým nasazením jednotlivců, jednotek i techniky ve válkách.
Tato technologie zvyšování spolehlivosti je však velmi nehospodárná a ekonomicky náročná.
BSS 33
Podstatně efektivnější jsou přístupy, založené na modifikování struktury uvažovaného systému tak, aby se jeho spolehlivost žádoucím způsobem zvýšila. Jednou z možností je provést tyto modifikace tak, aby citlivost dominantních systémových funkcí na změny hodnot parametrů systému byla co nejmenší, alespoň v nejkritičtějších místech systému. I pro tuto technologii zvyšování spolehlivosti lze nalézt analogii v přírodě.
BSS 34
Další možností pro zvýšení spolehlivosti systému je uplatnění metod tzv. predikční diagnostiky. Při tomto přístupu se snažíme předpovědět, kdy se může trajektorie tzv. čáry života (t), uvažované soustavy přiblížit výrazněji hranicím jejích oblastí přijatelnosti RA (tj. těch oblastí v prostoru parametrů soustavy, v nichž se nalézají všechny funkčně vyhovující, tedy přijatelné její realizace). Podle toho, jak probíhá tzv. čára života (t) , resp. předpověď jejího průběhu v blízkosti hranic oblasti přijatelnosti, je pak možno navrhnout proces včasné korekce parametrů soustavy tak, aby její funkční schopnosti zůstaly zachovány, nebo - pokud taková korekce za chodu není možná, aby proces její opravy proběhl optimálním způsobem. Pro tento způsob zvyšování spolehlivosti systému zatím přírodní analogie není známa.
BSS 36
Protože žádný z těchto přístupů není univerzální a každý mé své přednosti a nedostatky, v praxi se často kombinují.
Pak záleží značně na volbě posloupnosti jejích aplikace i na míře jejich uplatnění.
BSS 37
Než se započneme soustavněji zabývat jednotlivými v předmluvě uvedenými přístupy, bude účelné si vyjasnit odpovědi na některé základní otázky. Ty je možno formulovat např. takto:
- Co rozumíme slovem systém (soustava)?- Co je to vlastně spolehlivost funkce systémů
(soustav)? - Co je to vlastně bezpečnost systémů (soustav), resp. bezpečnost jejich funkcí?
BSS 38
Především je třeba uvést, jak zde budeme chápat pojem soustava, systém (podotkněme, že nebudeme činit rozdílů mezi pojmy soustava a systém; prvému termínu budu dávat přednost z jazykových důvodů - má český původ, avšak v adjektivních interpretacích zní lépe termín systémová (např. funkce)).
BSS 39
Soustavou (systémem) budeme rozumět jakékoliv organizované uskupení fyzických, chemických, biologických, společenských či informačních celků, součástí, prvků, schopné plnit jistou jednu či více účelných funkcí.
(Toto ovšem není definice, ale spíše charakteristika tohoto pojmu –podrobněji viz např. Vlček J.: Systémové inženýrství, ČVUT, Praha, 1999).
BSS 40
Soustavou ve smyslu uvedeném jsou tedy nejen mnohá zařízení a uskupení technická, ale též obchodní, ekonomická, vojenská a j.V tomto pojetí lze uvažovat zejména:
soustavy (systémy) technické - strojní, stavební, elektrotechnické, elektronické, informační, zbrojní,
soustavy (systémy) dopravní a spojové,soustavy (systémy chemické),soustavy (systémy) společenské,soustavy (systémy) politické,soustavy (systémy) organizační,soustavy (systémy) ekonomické,soustavy (systémy) obchodní,soustavy (systémy) biologické, zejména živé organizmy,soustavy životního prostředí.
BSS 41
Tyto soustavy (až na poslední) jsou vesměs vytvořeny člověkem, až dosud ovšem kromě živých organizmů, kam zatím tvůrčí činnost lidí nedosáhla a kde lze nanejvýše hovořit o cíleném modifikování organizmů existujících. U všech těchto soustav můžeme více či méně přesně specifikovat jisté jejich účelné funkce. Pro ně budeme v dalším používat název systémové funkce.
BSS 42
Na okraji této charakteristiky pak stojí soustavy (systémy) přírodní, existující bez vůle člověka. I u nich lze ovšem hovořit o funkční spolehlivosti a bezpečnosti, specifikování jejich systémových funkcí však může být poměrně obtížnou záležitostí, často vyžadující rozsáhlé a náročné analýzy.
BSS 44
V tomto souboru prací se budeme zabývat především soustavami technickými.
Nesmírně zajímavá problematika spolehlivosti a životnosti soustav přírodních se vymyká možnostem tohoto předmětu, i když s ní očividně bezprostředně souvisí.
BSS 45
Styčnou oblastí je bezesporu interakce člověk-stroj, resp. operátor-umělý systém. Jak stále více potvrzují výzkumy v oblasti bezpečnosti a spolehlivosti systémů i nyní již velmi rozsáhlé praktické zkušenosti, stává se tato oblast stále více kritickou (velká část selhání současných umělých systémů, zejména dopravních má příčinu v chybách obsluhy, tj. v selhání lidského činitele). To je do jisté míry přirozený důsledek letité snahy o zvýšení spolehlivosti umělých systémů samých. V tomto směru bylo v řadě oblastí docíleno značných úspěchů. Bylo by možno dokonce tvrdit, že spolehlivost lidského činitele nedosahuje spolehlivosti současných systémů umělých. Tomu by nasvědčovaly mnohé statistiky poruch, selhání a havárií, kdy velmi častou příčinou bylo zjištěno selhání, nebo alespoň fatální chyba obsluhy.
Navíc se zdá, že počet takových případů se postupně zvyšuje.
BSS 46
Cest, jak se dostat z této obtížné situace, je však několik. Vycházejí přitom vesměs z respektování těchto skutečností:
a) Velmi výkonné a v souvislosti s tím často i velmi složité současné umělé systémy kladou většinou zvýšené nároky na jejich obsluhu. Jen velmi málo systémů je navrhováno tak, aby kromě na dosažení příznivých výkonových a ekonomických parametrů byl brán zřetel též na to, že je bude obsluhovat člověk.
BSS 47
b) Ačkoliv člověk sám jako soustava se vyznačuje neobyčejnou funkční spolehlivostí, jako obsluha umělého systému, kterému musí v daném čase (někdy velmi krátkém) dát pro správné reagování na nenadále vzniklou situaci adekvátní pokyn, dosti často selhává.
BSS 48
Příčinu lze spatřovat nejen - v nedostatečném výcviku obsluh (to je v
současné době kritické zejména u našich vojenských letců), ale též
- v jejich nesprávném výběru (např. alkoholici s řidičským průkazem), i
- v neúměrných nárocích obsluhy moderních systémů na obsluhu (extrémem jsou nejen požadavky na piloty současných špičkových bojových letadel, ale i na kosmonauty, obsluhy velínů jaderných elektráren, jednotek intenzivní lékařské péče a pod).
BSS 49
c) Protože jen velmi málo umělých systémů se obejde zcela bez lidské obsluhy (pokud ano, pak jsou to vesměs velmi jednoduché či jednoúčelové umělé systémy), je třeba problematiku interakce operátor-systém (člověk-stroj) soustavně rozvíjet. Podobně se umělé systémy neobejdou bez lidské obsluhy. Všechny systémy pak pracují kvůli lidem, v lidském prostředí.
BSS 50
Vedle
optimalizace návrhu umělého systému tak, aby jeho obsluha byla i v kritických situacích co nejjednodušší, zasluhují pozornost i
metody a postupy predikční diagnostiky schopností operátorů a
metody soustavného testování úrovně jejich pozornosti a schopnosti soustředěně obsluhovat svěřený systém (i za extrémních podmínek).
BSS 29
I.1. Základní definice
BSS 29
Pojmy spolehlivosti a bezpečnosti jsou klíčovými pro správnou funkci (resp. životaschopnost) všech reálně fungujících soustav. Protože jsou velmi často interpretovány různě a mnohdy se značnou významovou volností, pokusíme se je zde uvést pokud možno v jednoznačné podobě tak, aby jejich interpretace odpovídala v současné době rozvíjenému pojetí obecné teorie spolehlivosti a bezpečnosti funkce soustav.
BSS 29
Spolehlivost funkce soustav (systémů) je míra pravděpodobnosti, že po jistou dobu či v jistém rozpětí jiných na systém působících nezávisle proměnných se jejich systémové funkce nebudou odchylovat od požadovaných hodnot více než o dovolené odchylky. (D1)
BSS 29
Na rozdíl od předchozí, poměrně jednoznačné (a dnes již více-méně všeobecně akceptované a užívané) definice spolehlivosti systémů je pojem bezpečnosti vykládán dosud velmi často dosti rozličně.
Zde se nemůžeme hlouběji zabývat rešerší v tomto směru, pro naše účely však postačí, vezmeme-li v úvahu existenci dvou následujících přístupů k tomuto pojmu.
BSS 29
První vychází v podstatě z pohledu na uvažovaný systém (především umělý) jako takový a nerespektuje jeho nezbytnou interakci s uživatelem ani s operátorem.
BSS 29
Bezpečnost funkce soustav (systémů) budeme chápat jako míru jejich odolnosti jejich funkce (resp. souboru jejich systémových funkcí) vůči rušivým zásahům. (D2)
BSS 29
Do souboru těchto zásahů musíme ovšem počítat též zásahy způsobené nejen nezávislými vlivy, ale též ty, které jsou způsobeny neadekvátní obsluhou či vyplývají ze zlé vůle.
BSS 29
Druhý přístup k pojmu bezpečnosti zahrnuje na rozdíl od předchozího vliv uvažované soustavy na lidského činitele
Pak lze říci, že:
BSS 29
Bezpečnost funkce soustav (systémů) budeme chápat jako míru pravděpodobnosti, že ani činností těchto soustav, ani selháním jejich funkcí nedojde ke škodám a úhoně lidské společnosti a jejího životního prostředí, resp. určité skupiny lidí. (D3)
BSS 29
Bezpečnost funkce jisté soustavy lze tedy měřit jako pravděpodobnost, že i při působení rušivých vlivů či zásahů bude tato fungovat spolehlivě.
Pojem spolehlivosti je v podstatě obecnější než pojem bezpečnosti, není s ním však totožný.
BSS 29
Do pojmu bezpečnosti musíme ovšem zahrnout i míru odolnosti soustavy vůči vnějším, ať již neúmyslným či zlovolným rušivým zásahům.
Z tohoto úhlu pohledu se proto problematika bezpečnosti soustav potkává s problematikou zabezpečení a ochrany soustav proti záměrným poškozením a kriminálním zásahům.
BSS 29
Bez dostatečné spolehlivosti funkce jakéhokoliv umělého systému nelze proto hovořit o jeho bezpečnosti - pokud by tomu tak nebylo, tj. pokud by spolehlivost uvažovaného systému nebyla dostatečná, bylo by nutno požadavky přenést na lidského činitele.
BSS 29 Spolehlivost jeho výkonu pak ovšem
může být značně omezena, neboť příslušný výkon který může být reprezentován jedinci, majícími sice projev jejich přirozených informačních systémů (resp. inteligenci) většinou na mnohem vyšší úrovni, než můžeme vůbec dosáhnout u systémů umělých, avšak jejichž spolehlivost správné funkce je mnohem nižší (nejen vlivy únavy, poklesu pozornosti, mikrospánky a chybná rozhodnutí, ale též lajdáctví či zlá vůle). Hyperbolizování požadavků na bezpečnost podle definice D3 bez adekvátního zdůraznění požadavků na spolehlivost pak může vést ke značným problémům.
Jako příklad mohou být uváděny třeba některé konvenční drážní zabezpečovací systémy, u nichž je za projev bezpečnosti požadováno, aby při případné poruše takový zabezpečovací systém uvedl zabezpečovanou soustavu do klidového stavu).
Za jistých okolností je tedy nutno se v souvislosti s pojmem bezpečnosti soustav chápané podle definice D3 zabývat též do jisté míry obrácenou otázkou, tj. do jaké míry jejich činnost ohrožuje funkce jiných soustav, v jejich okolní působících. Je zřejmé, že do této kategorie problémů patří i ty, které souvisejí s negativními dopady funkce technických soustav na životní prostředí. Tato kategorie problémů se ovšem týká dopravních systémů velmi silně.
Problematika bezpečnosti systémů má ovšem v této širší souvislosti nejen technické, ale též společenské, sociální a právní aspekty. Zejména poslední z nich bývají často dosti opomíjeny přes jejich očividný mimořádný význam.
Takové širší pojetí problematiky bezpečnosti a spolehlivosti je ovšem zvláště důležité jak u systémů společenských, ekonomických, finančních, obchodních, ale též u většiny systémů technických, zejména pak u systémů dopravních (bezpečnost dopravních prostředků vůči porušování dopravních pravidel a předpisů, bezpečnost dopravních systémů před teroristickými zásahy a před pirátstvím, bezpečnost dopravních systémů před hospodářskou kriminalitou - aktuální je zejména bezpečnost před krádežemi na železnici, povinné zavádění zabezpečovacích a ochranných systémů, bezpečnostní a spolehlivostní předpisy a normy a pod).
I. 2 Hlavní složky problematiky bezpečnosti a spolehlivosti systémů
Problematika bezpečnosti a spolehlivosti funkce systémů je velmi komplexní a zasahuje do celé řady vědních, technických a společensko právních oborů. Pokusíme se zde uvést alespoň ty, které jsou nejvýznamnější pro řešení otázek bezpečnosti a spolehlivosti funkce systémů technických.
Jsou to:
obecná teorie systémů, teorie a metody analýzy citlivostí systémů, teorie tolerancí parametrů systémů, metody predikce číselných, zejména časových
řad, diagnostické metody, progresivní informační technologie, zejména
technologie umělých neuronových sítí,
teorie oprav a restitucí funkce systémů, zabezpečovací a bezpečnostní zařízení a
systémy, teorie a metody interakce člověka a stroje, právní hlediska, sociální hlediska, bezpečnostní normy, předpisy a nařízení.
Tento výčet zajisté není úplný - je ještě celá řada oborů a odvětví, které se do problematiky bezpečnosti a spolehlivosti systémů více či méně promítají. Uvedené patří však k nejzávažnějším. Proto jim věnujeme převážnou část naší pozornosti. Tu rozdělíme přibližně takto:
1. obecné teorii systémů, 2. teorii a metodám analýzy citlivostí systémů, a 3. teorii tolerancí parametrů systémů věnujeme
asi 30 % z celkové kapacity, 4. metodám predikce číselných, zejména
časových řad věnujeme asi 10 % z celkové kapacity, 5. diagnostickým metodám věnujeme asi 20 % z
celkové kapacity, 6. progresivním informačním technologiím,
zejména technologii umělých neuronových sítí věnujeme asi 10 % z celkové
kapacity,
7. teorii oprav a restitucí funkce systémů věnujeme asi 10 % z celkové kapacity,
8. zabezpečovacím a bezpečnostním zařízením
a systémům, 9. právním hlediskům, 10. sociálním hlediskům, 11. bezpečnostním normám, předpisům a
nařízením věnujeme asi 15 % z celkové kapacity.
II. Základy teorie spolehlivosti a bezpečnosti soustav
Teorie spolehlivosti a bezpečnosti soustav představuje základní metodický nástroj k řešení závažných problémů, spojených s provozem a užíváním jakýchkoliv soustav, umělých i přirozených.
Přesto, že jí bylo v odborné literatuře věnováno až dosud poměrně hodně pozornosti, netvoří ještě ani zdaleka uzavřenou disciplinu a zvláště v poslední době se poměrně dynamicky vyvíjí. Nelze proto ji prezentovat v ucelené podobě. V každém případě však zahrnuje několik významných složek, kterým zde postupně věnujeme pozornost.
Jsou to zejména:
- - teorie tolerancí parametrů soustav,
- - teorie čar života,
- - teorie citlivostí,
- - metody analýzy spolehlivosti,
- metody predikční diagnostiky.
II. 6 Základní pojmy
Uvažujme jistou soustav S specifikovanou její strukturou St, hodnotami parametrů X = {xi}, i=1...N a hodnotami nezávisle
proměnných P = {pj}, j=1...J, tedy
S . .(St,X,P)
Tato soustava vykazuje jisté systémové funkce F = {Fk}, k=1...K,
Za normálního (nominálního) stavu soustavy S se aktuální hodnoty jejích systémových funkcí F blíží hodnotám Fo
(hodnotám nominálním),
F --- Fo. 2)
-----------------------------------2) To platí pro tzv. dobře navržené
soustavy (well designed systems). Jejich opakem mohou být soustavy chybně (špatně) navržené (ill designed), kde zřejmě neplatí F--- Fo.
Protože však většina parametrů soustavy je závislá na hodnotách nezávisle proměnných a kromě toho vždy je tzv. absolutní nezávisle proměnnou pt = t,
kde t je čas, mění se s hodnotami nezávisle proměnných (a především s časem t) též hodnoty příslušných systémových funkcí F.
Zajímají nás tedy závislosti xi(pj), resp.
xi(t) a jejich průmět do závislostí F (pj),
resp. F (t). Znalost závislostí xi(pj), resp.
xi(t) lze přitom považovat za primární
informaci o uvažovaném systému, poznání závislosti F (pj), resp. F (t) je
pak z ní odvozeno.
Získání poznatků o závislostech xi(pj), resp. xi(t) může být poměrně
pracnou a náročnou záležitostí
Znamená to obvykle provést značně rozsáhlá soustavná měření a vyhodnocování a - jedná-li se o záležitosti závislostí na čase, též měření dlouhodobá. Ta obvykle vyústí ve získání jistého počtu číselných, především časových řad, po jejichž zpracování a rafinaci (téměř každá pro praktické účely získaná řada je zatížena nepřesnostmi, chybami, neurčitostmi a chybějícími členy) je teprve možno přistoupit ke konstrukci závislostí xi(pj), resp. xi(t) a to buď vhodným matematickým modelem, nebo modelem, představovaným vhodně naučenou umělou neuronovou sítí nebo v některých případech i grafem.
Pomocí takovýchto znalostí závislostí xi(pj), resp. xi(t) lze pak přikročit ke
konstrukci trajektorie X (P), resp. X(t), kterou v N-rozměrném prostoru parametrů uvažovaného systému opisuje vektor X při změně nezávisle proměnných. Tuto trajektorii označíme symbolem (P), resp. (t). Její příklad je pro N = 2 naznačen na obr. 2.
Za jistých podmínek může trajektorie (t) protnout hranice tzv. oblasti přijatelnosti RA, tj. hranice mezi
dobrými a nevhodnými stavy uvažované soustavy.Ta je definována jako geometrické místo všech bodů
v prostoru {X}, tj. X e RA,........................................(1)
pro které je Delta F – F0 - F,.............................................(2)
kde Delta F je dovolená odchylka aktuálních hodnot systémových funkcí F od jejich požadované (nominální) hodnoty F0.
Není-li mezi nezávisle proměnnými čas t, může mít tato trajektorie zcela či do jisté míry uzavřený tvar, protože hodnoty nezávisle proměnné mohou probíhat i reverzibilně,
t.j. zpět proti původnímu vývoji nezávisle proměnné (např. stoupání a klesání teploty atp.).
Pokud však je v souboru nezávisle proměnných zahrnut též čas t (a to je v praxi velmi častý případ),
nemůže u uzavřených soustav setrvat trajektorie Psi (t) trvale
(tj. pro všechna t, včetně t rostoucí nade všechny meze)
uvnitř oblasti přijatelnosti RA.
U vztahu (2) je přitom znaménko " - " třeba chápat obecně jako vzdálenost v K-rozměrném prostoru funkcí F, měřenou ve vhodné metrice. Jednoduchý algebraický význam má zde toto znaménko pouze tehdy, je-li K = 1 a má-li funkce F charakter skaláru.
Výše uvedené tvrzení, jehož důkaz není zatím znám, je možno též vyjádřit jako tzv. teorém [T1] o nezbytné funkční smrti každého systému :
Pro dostatečně velké t vybočí vždy trajektorie (čára) života Psi (t) jakékoliv uzavřené soustavy posléze nenávratně z mezí oblasti přijatelnosti RA.
[T1]
Jiná situace však může nastat, připustíme-li, že uvažovanou soustavu je možno považovat za otevřenou, tj. že do ní jsme schopni zvenku přivádět informace a energii. Pak, alespoň potud, pokud vyšetřovanou soustavu jsme schopni vhodně zásobovat potřebnými informacemi a energií, lze uvažovat o tom, že alespoň po dobu, po kterou můžeme takové zásobování zajistit, jsme schopni čáru života takové soustavy udržet uvnitř oblasti přijatelnosti.
Lze tedy vyslovit
teorém T2 o prodloužení doby života otevřené soustavy:
Pokud jsme schopni jisté otevřené soustavě dodávat vhodné informace a energii, je možno prodloužit dobu jejího života.
[T2]
Je však zřejmé. že i takové prodlužování doby života má své meze. Platí tedy
teorém T3 o omezení prodlužování doby života soustavy informacemi a energií do ní přiváděnou:
U každé reálné soustavy je možno prodloužení doby života přiváděním vhodných informací a energie zvnějšku provádět pouze po jistou omezenou dobu. [T3]
Obraťme nyní pozornost k odchylkám parametrů soustav od jejich požadovaných, nominálních hodnot.
Především musíme rozlišit tyto dva hlavní druhy odchylek parametrů (poruch):
tzv. poruchy pasivní, u nichž odchylka jistého parametru soustavy má vliv pouze na funkční schopnosti uvažované soustavy samé,
tzv. poruchy aktivní, kde odchylka jistého parametru soustavy S1 vede k ovlivnění
chování jedné či více soustav jiných.
Aktivní poruchy mohou být zvláště nebezpečné, protože mohou vést k lavinovým reakcím a k degradaci spolehlivosti celé řady navzájem spolupracujících soustav (např. lavinové vzniky rozsáhlých dopravních kongescí, lavinový rozpad energetických soustav, rozpad burzovních systémů a pod.).
V teorii jejich vzniku a chování se uplatňuje zejména metoda katastrof, prezentovaná poprvé francouzským matematikem R. Thomem (viz [TH-M 69, 71,75] a též [NO-K87/1]).
Ten se zabýval matematickými modely situací, za nichž může dojít ke skokové změně charakteru funkce různých soustav, resp. též k degradaci jejich spolehlivosti.
Ukázal, že ačkoliv existuje nepřeberné množství modelů takových reálných situací, je možno vystačit při jejich modelování se sedmi typy základních modelů (tzv. elementárních katastrof 3)), na jejichž kombinaci je možno všechny ostatní převést.
Skoková degradace spolehlivosti jedné soustavy se může za jistých okolností přenést na jiné soustavy, s uvažovanou soustavou spolupracující a výsledkem může být celkový lavinový rozpad. Takové děje jsou sice poměrně řídké, nicméně k nim dochází a následky bývají mimořádně těžké (známé jsou např. dva velké rozpady energetické soustav - tzv. blackout - na východním pobřeží USA v šedesátých létech, které ve velmi krátké době zasáhly oblasti v nichž žilo několik desítek milionů lidí - od kanadských hranic až po Pensylvánii). Pro analýzu nebezpečí lavinových rozpadů je důležitý kromě katastrofických modelů též rozbor vzájemných citlivostí parametrů a funkcí jednotlivých spolupracujících soustav. O základech metodiky analýzy citlivostí se zmíníme v dalším.
Pro dopravní soustavy je v této souvislosti významná jejich interakce s jinými soustavami, zejména energetickými (viz též [BO-E 97/1, ŠT-Ý 97/1, ŠT-Ý 97/1]), při čemž na rozdíl od běžného uvažování je třeba u energetických soustav brát v úvahu nejen kvantitativní, ale též kvalitativní hlediska (např. u elektro-energetických soustav jde nejen o zabezpečení dodávek potřebného množství energie, ale též o množství pohotového výkonu, o dodržení úrovně napětí, kmitočtu, fáze a pod.).
3) Zde je dlužno podotknout, že Thom použil slovo katastrofa pro vyjádření náhlého přechodu z jednoho stavu soustavy do stavu jiného; přitom po překročení jistých mezí ve změnách parametrů soustavy je tento přechod již neodvratný. V tomto pojetí tedy nemusí katastrofický přechod ještě znamenat neštěstí, i když toto slovo je s ním o našem celkovém povědomí spojeno. V souvislosti se změnami spolehlivosti soustav však je katastrofický přechod většinou jevem silně nežádoucím.
Odchylky jednotlivých parametrů xi
uvažované soustavy se mění se změnami nezávisle proměnných pj. Výsledkem je
pohyb vektoru parametrů X v N rozměrném prostoru {X}.
Jeho charakter závisí jak na způsobu změn nezávisle proměnných (obecně mohou tyto změny probíhat velmi různě, pouze u času p = t předpokládáme spojitý, hladký, rovnoměrný a nevratný nárůst času), tak na způsobech uplatnění jednotlivých parametrů v příslušných funkčních závislostech Fk(X).
U soustav, realizovaných či vyskytujících se ve větším množství nás však zajímá též hustota pravděpodobnosti (X) odchylek X skutečných hodnot jednotlivých parametrů X od jejich hodnot nominálních X0 .
Z matematického hlediska můžeme vektor parametrů X chápat jako vektor reálných čísel, neboť pokud některý prvek soustavy vyžaduje komplexní reprezentaci, můžeme příslušné reálné a imaginární části příslušných parametrů uvažovat odděleně.
Uvažujme nyní soustavu S, sestávající se z N1
diskrétních součástek s, = 1,...N1,
z nichž každá je charakterizována jistým počtem m
reálných parametrů xi.
Vektor parametrů X pak lze psát ve tvaru
X = {x11,x12,...,x1m1;
x21,x22,...,x2m2,;...;xN11,xN12,...,xN1mN1}.
Celkový počet parametrů xi takovou
soustavu reprezentující je pak
N = Suma m pro = 1 až N1.
Mezi hodnotami jednotlivých součástek s nechť se nevyskytují korelace, tzn. jejich
realizace (výroba) probíhá navzájem nezávisle.
Předpokládejme dále, že při výrobě jedné a téže součástky se všech m parametrů xi jí charakterizujících odchyluje od svých nominálních hodnot xi0 stejným způsobem
(tento předpoklad bývá dobře splněn u součástek, u nichž je pro výrobu použita jedna a táž technologie - např.u některých mechanických součástek vyráběných z jednoho kusu materiálu; tam, kde se při výrobě téže součástky používají technologie různé je jeho splnění problematičtější).
Pak mohou být hustoty pravděpodobnosti (xi) stejné vždy pro m
parametrů téže součástky.
N parametrů N1 součástek je tedy
navzájem korelováno ve skupinách.
V N rozměrném prostoru se hodnoty parametrů X, charakterizující uvažovaný objem výroby vyskytují v jisté jeho části
RE, kterou nazýváme oblast odchylek. Jestliže
jsou v praxi se vyskytující hodnoty parametrů xi
nějakým způsobem omezeny na intervaly <xi
min; xi max>, tvoří oblast odchylek hyper-kvádr.
Ten má N1 podstav RE , ležících v nadrovinách
{x}, kde - 1,...,N1 a - 1,..., m. Tyto
podstavy závisejí co do tvaru na příslušné hustotě pravděpodobnosti.
II. 9 Základy teorie tolerancí parametrů soustav
Předmětem veškerých našich dalších úvah jsou umělé, zejména technické systémy (soustavy – oba tyto termíny budeme používat jako synonima), jejichž vnější vlastnosti můžeme vyjádřit souborem jistých, tzv. systémových funkcí.
Tyto funkce vyjadřují vztahy mezi vybranými stavovými proměnnými soustavy a závisejí na jedné či na několika nezávisle proměnných (zejména vždy na čase) a na jednom či více parametrech, určujících stav, dimenze, uspořádání a vzájemné působení prvků uvažované soustavy. Zde se nebudeme zabývat tím, jakým způsobem lze vyjádřit systémové funkce na základě hodnot nezávisle proměnných a na velikosti parametrů soustavy a budeme předpokládat, že vždy známe způsob, jak provést základní analýzu činnosti uvažované soustavy a že máme k dispozici potřebné nástroje k provedení takové analýzy. Lze ukázat, že u celé řady prakticky významných soustav je tento předpoklad splněn s přijatelnou přesností.
Uvažujme nyní jistý systém S, pro jehož nominální návrh použijeme označení S0 a
který je v prostoru systémových parametrů {X} reprezentován vektorem X0.
Předpokládejme, že analýzujeme podmínky opakované, sériové nebo až hromadné6) výroby takového systému, a že ten je realizován celkem v M kusech.
---------------------------------------------
6) Mezi pojmy opakované, sériové a hromadné výroby budeme činit především kvantitativní rozdíl.
• Předpokládejme dále, že návrh systému S0 byl proveden dobře, takže platí X0 RA , kde RA je množina všech bodů v prostoru {X}, kde platí vztah (9). Tato množina tvoří jistou část prostoru {X}, kterou budeme nazývat oblast přijatelnosti (region of acceptability).
• Je zřejmé, že kdyby pro všechny uvažované realizace M systému S ležely body Xm, m = 1,2,3,…M jejich počáteční stav 7) charakterizující uvnitř RA, docílili bychom dokonalou výrobu se 100 % ní a priorní výtěžností, tj. s nulovým podílem výrobních zmetků. Bohužel, v praxi dochází k takové situaci jen zcela výjimečně.
Téměř vždy musíme počítat s tím, že vektory Xm, charakteritující parametry skutečných
realizací se jistým způsobem odchylují od X0 a že
platí Xm = X0 Xm,……………….(10)
kde Xm jsou tzv. dovolené odchylky
skutečných hodnot parametrů Xm od jejich
požadované nominální hodnoty X0. Interval
dovolených odchylek Xm ovšem nemusí být
souměrný vzhledem k nominálním hodnotám X0m,
nicméně v dalším bez újmy na obecnosti následujících úvah budeme uvažovat především takové situace, kdy platí vztah (10).
Množina všech v úvahu přicházejících hodnot vektoru X pak vyplní jistou část prostoru {X}, kterou budeme označovat jako oblast odchylek RE.
Na obr. 3 je tato oblast naznačena pro N=2. Hodnoty vektoru X odpovídající jednotlivým realizacím uvažované soustavy jsou v prostoru {X} rozloženy s hustotou pravděpodobnosti (X).
Při vlastním návrhu příslušného systému hledáme obvykle jednak vhodnou topologickou strukturu systému, jednak polohu tzv. nominálního vektoru X0 tak, aby bylo co nejlépe
splněno některé optimalizační kriterium.
Tím může být:a) dosažení co nejvyšší výrobní výtěžnosti, tj. snaha, aby Y 1,b) dosažení co nejnižší výrobní ceny,c) dosažení co nejvyšší provozní spolehlivosti, resp. co nejdelší délky života uvažovaného systému.
Ve všech případech k tomu pochopitelně přistupuje základní požadavek, aby uvažovaný systém vykazoval požadované funkční vlastnosti, tj. aby F FO.
Jednotlivá tato kriteria ovšem nejsou nezávislá a obvykle se uplatňují kombinovaně.
V dalším výkladu se nejprve zmíníme o kriteriu maximální výrobní výtěžnosti.
Pak si všimneme otázek souvisejících s minimalizací výrobní ceny.
Otázkami návrhu systému vzhledem k životnosti se budeme zabývat později.
Všimněme si nyní blíže problematiky návrhu řešení systému vzhledem ke kritériu maximální výrobní výtěžnosti.
Na obr. 4 je naznačena jedna z možných situací.
Oblast dovolených odchylek RE1 zde očividně přesahuje vně oblasti RA tak, že dochází k výrobě zmetků a výrobní výtěžnosti Y < 1 (a to bez ohledu na to, jaké je rozložení hustoty pravděpodobnosti výskytu hodnot vektoru parametrů X uvnitř oblasti RE1.
Všimněme si nyní blíže problematiky návrhu řešení systému vzhledem ke kritériu maximální výrobní výtěžnosti.
Na obr. 4 je naznačena jedna z možných situací. Oblast dovolených odchylek RE1 zde očividně přesahuje
vně oblasti RA tak, že dochází k výrobě zmetků a výrobní
výtěžnosti Y < 1 (a to bez ohledu na to, jaké je rozložení hustoty pravděpodobnosti výskytu hodnot vektoru parametrů X uvnitř oblasti RE1.
Nejsme-li s takovou situací spokojeni, můžeme např. odpovídajícím způsobem zmenšit rozměry oblasti RE1, tak, až se právě
vejde dovnitř oblasti RA.
To je na obr. 4 naznačeno příkladem oblasti RE2.
Současně zde ovšem vidíme, že taková snaha může vést k potřebě modifikovat původní polohu nominálního návrhu, zde např. z polohy X01 do polohy X02.
Jak jsme již naznačili, ne vždy nám jde jen o to, abychom vyráběli pokud možno beze zmetků, tj. bez výrobního odpadu.
Velmi často je hlavním optimalizačním kriteriem výrobní cena, a to ať již vztažená k ceně jednotlivého výrobku, nebo k celému výrobnímu objemu.
Pro výrobní cenu Cv jednoho výrobku platí
Cv = C0 + CT,
kde
C0 je cena výrobních operací, které nejsou
ovlivněny požadavky na přesnost výroby použitých součástek a
CT je cena všech v daném výrobku použitých
součástek, které na přesnosti výroby (tj. na výrobních tolerancích) závisí.
Je-li těchto součástí N, platí
CT = CTi, i= 1…N,
kde CTi je na výrobních tolerancích závislá cena i-té
součástky.
N
i 1
Předpokládejme, že tato součástka je reprezentována jedním parametrem xi.
Pak dlouholetá zkušenost z téměř všech oblastí výroby ukazuje, že hodnota CTi je
nepřímo úměrná tolerancím i, se kterými je
zapotřebí požadovanou hodnotu xi0 parametru xi
realizovat.
Exaktní vyšetření závislostí CTi a tolerancí
i je většinou značně problematické, pro většinu
technických aplikací však postačí přibližný hyperbolický vztah
CTi = ai + bi/ i-ci,
kde ai, bi a ci jsou empiricky určené konstanty.
Dlužno podotknout, že podobné hyperbolické závislosti mezi cenou a tolerancemi platí i v případech, kdy cena se se změnou přesnosti výroby mění stupňovitě.
Určení hodnot uvedených konstant je však v praxi dosti pracné a výrobci součástek je udávají jen velmi zřídka.
Pro optimalizaci návrhu systému vzhledem k jeho výrobní ceně je však jejich znalost podstatná.
Do celkové ceny výroby je třeba zahrnout ještě další složky, a to cenu dodatečného doladění výrobků cDi, které v primární výrobě nesplnily dané funkční požadavky a cenu na likvidaci neopravitelných výrobních zmetků cZi.
Je-li MP celkový počet vyrobených požadované funkce schopných kusů, MD počet kusů, které po primární výrobě vyžadují ještě doladění a MZ počet neopravitelných zmetků, které je nutno likvidovat, pak pro celkovou cenu výroby platí
C = MPCV + MDCD + MZCZ.
Ať již budeme výrobu optimalizovat vzhledem k ceně CV či k ceně C, může se
stát, že v příslušných výrazech převáží vliv komponenty CT natolik, že závislost výrobní
výtěžnosti a ceny nabude charakter, naznačený na obr.5.
Obr.5: Závislost mezi výrobní výtěžností a cenou.
Vidíme, že v takovém případě cena, odpovídající 100% ní výrobní výtěžnosti není minimální a že cenově může být optimální vyrábět s jistou optimální výtěžností Yopt nižší než 100%,
tedy vyrábět jisté definované % zmetků. Důvod k tomuto zdánlivému paradoxu je
nasnadě: nárůst ceny odpovídající užším tolerancím, které by bylo třeba pro dosažení 100% ní výrobní výtěžnosti je větší, než cena jistého % zmetků.
Výpočet parametrů takto cenově optimalizované výroby je sice poměrně pracný, avšak, zejména při velkých výrobních sériích vede k značným ekonomickým přínosům.
II. 10 Čáry života soustav
Nyní se pokusíme vzít do úvahy dynamiku života systému (soustavy), spojenou se změnami hodnot nezávisle proměnných. Zde však jeden ze zásadních rozdílů tkví v tom, jaký je fyzikální význam těchto nezávisle proměnných.
U takových nezávisle proměnných, jako je vnější teplota prostředí, v němž uvažovaná soustava působí, vlhkost tohoto prostředí, úroveň radiace v něm působící apod. lze připustit, že za jistých okolností mohou být jejich změny vratné.
Má-li však nezávisle proměnná význam času, jsou její změny vždy nevratné.
U všech reálně existujících systémů (soustav) se pohybujeme po časové ose nezávisle proměnných vždy jen jedním směrem, dopředu, dosud nikdy zpět.
Případy časového vývoje vlastností soustav, tedy jejich života, jsou však pro praxi nejdůležitější a proto jim zde věnuji prvořadou pozornost.
Uvažujme soustavu, jejíž funkční vlastnosti jsou charakterizovány souborem systémových funkci F(X,t), resp. F{X(t)}, či přesněji F{X(t),t}.
Druhý uvedený výraz je realističtější než první, neboť z celé oblasti našeho poznání nevíme o žádném parametru jakékoliv soustavy, který by byl dokonale invariantní vůči času.
S časem se tedy mění nejen hodnota systémových funkcí nad N-rozměrným prostorem parametrů X, ale též poloha vektoru X v tomto prostoru.
Jestliže pak známe závislosti xi(t) pro
i=1 až N, nebo dovedeme-li je alespoň přijatelně aproximovat, jsme schopni v prostoru X
vyšetřit průběh trajektorie bodu X(t) (vrcholu vektoru X parametrů uvažované soustavy), alespoň pro jistý úsek času.
Jestliže v témže prostoru X známe hranice oblasti přijatelnosti RA či alespoň jejich přijatelnou aproximaci, jsme schopni usoudit, zda:
a) Výchozí bod X0, odpovídající počátku uvažovaného časového intervalu t = t0 (ten obvykle klademe do počátku vzniku uvažované soustavy, resp. do počátku jejího používání), leží uvnitř či vně příslušné oblasti přijatelnosti RA.
V prvním případě se jedná o tzv. dobře navrženou soustavu (well-designed),
v druhém o soustavu navrženou špatně (ill-designed).
b) Příslušnost ani k prvé, ani k druhé z obou těchto zmíněných kategorií soustav však nemusí ještě nic říkat o další použitelnosti uvažované soustavy.
V průběhu času může totiž čára života uvažované soustavy jednou či vícekrát přejít hranice oblastí přijatelnosti a soustava sama přitom přestane či naopak opět počne být použitelná. To ovšem nic nemění na tom, že nakonec, tj. pro dostatečně velké t vybočí u každé soustavy čára života posléze nenávratně z hranic příslušné oblasti přijatelnosti.
Tak dojde k úplné, konečné funkční smrti takové soustavy.
Dočasná vybočení čáry života mimo hranice oblasti přijatelnosti můžeme tedy považovat za jakési dočasné, dílčí smrti či spíše odstranitelná selhání příslušné soustavy.
c) Návrat čáry života dovnitř oblasti přijatelnosti může nastat jak po jejím dočasném vybočení z jejich hranic, tak i v případě, že již výchozí bod X0 se nalézal mimo RA.
Může k tomu dojít sice samovolným vývojem (např. u některých soustav v procesu jejich zabíhání či zahořování), ve velké části případů však tomuto opravnému, restitučnímu procesu napomáháme úmyslnou změnou, korekcí vhodných parametrů xi.
d) Podle charakteru takové korekce můžeme rozlišit dva základní její druhy:
Korekce mělké, kdy se spokojíme s tím, že se pod X vrátil pouze nedaleko dovnitř oblasti přijatelnosti, do nevelké vzdálenosti od jejích hranic. Při opakovaném používání soustavy se pak může stát, že po nedlouhé době dojde k opětovnému vybočení z hranic, soustavy přestane být použitelná a celý děj se může opakovat. Bohužel lze ukázat (i když zatím nikoliv dokázat), že takové mělké korekce není možno úspěšně opakovat bez omezení a že u každé soustavy dojde nakonec k vyčerpání možností, poskytovaných korigovatelnými parametry.
Korekce hluboké, u nichž se snažíme při korekci parametrů bod X posunout po jeho vybočení z mezí oblasti přijatelnosti dostatečně hluboko dovnitř RA tak, aby trvalo
co nejdéle, než dojde k jeho opětovnému vybočení.
Obě filozofie korekcí mají svá opodstatnění. Mělké či lehké korekce odpovídají levným opravám, které je ovšem nutno častěji opakovat. Hluboké korekce pak odpovídají velkým, zevrubným, až generálním opravám, které jsou ovšem většinou značně nákladné. Zatím co u mělkých korekcí postačí obvykle určit vhodný jeden či několik málo korekčních parametrů a charakterizovat zásadní směr korekce, u hlubokých korekcí se obvykle jedná o souběh změn hodnot více parametrů a též o větší jejich změny.
Žádoucí přitom je posunout v procesu posunout v procesu korekcí bod Xkorekcí bod X buď do oblasti jakéhosi středudo oblasti jakéhosi středu oblasti přijatelnosti či do takové její části, odkud by jeho pohyb k hranicím v průběhu dalšího používání soustavy po korekci trval trval co nejdéle.co nejdéle.
V prvním případě jde o podobný proces, jako při tzv. centrování návrhu centrování návrhu (design centering)(design centering) při optimalizované syntéze soustav co do tolerancí, výrobní výtěžnosti či výrobní ceny.
Z analýzy oblastí přijatelnosti je ovšem známo, že pojem jejich středu má opodstatnění pouze v těch případech, kdy je jejich tvar převážně symetrický.
U oblastí přijatelnosti, které jsou značně nesymetrické a nepravidelné svůj smysl ztrácí.
Chceme-li bod X při hluboké korekcihluboké korekci soustavy umístit tak, aby se funkční život soustavy takovou korekcí co nejvíce prodloužil (abychom ji co nejvíce "omladili"), musíme znát průběh pole čar životamusíme znát průběh pole čar života (trajektorií bodů X) uvnitř oblasti RA nebo alespoň jejich povšechný charakter v její dostatečné části.
Při korekci se pak snažíme měnit vhodné parametry xi soustavy tak, abychom se pohybovali proti směru vhodných čar života tak dlouho, až se dostatečně přiblížíme opačné straně hranic (viz obr. 6).
Obr.6: Ke korekcím čar života
Může se ovšem stát, že proces takto prováděných korekcí by trval poměrně dlouho, a že ekonomičtější bude, zvolit pro průběh korekci jinou, z časových či ekonomických hledisek optimálnější umělou korekční trajektorii.
Taková situace je schematicky naznačena na obr. 7. Zde ovšem musíme vzít v úvahu, že optimalizace průběhu korekční trajektorie , prováděná se zřetelem k minimálním cenovým nárokům, nebo k minimalizaci doby, po kterou musí být uvažovaná soustava vyřazena z provozu, nebo k jisté kombinaci obou těchto hledisek může být poměrně velmi složitou záležitostí, zejména jedná-li se o soustavu s vyšším počtem N parametrů xi.
t
Obr.7: Příklad optimální umělé korekční trajektorie.
Pak je na místě před zahájením vlastních optimalizačních prací provést ekonomickou rozvahu, do jaké míry případný efekt ve snížení nákladů na korekci, resp. v snížení prostojů dočasně funkčně nezpůsobilé soustavy převýší náklady na potřebné optimalizační rozbory.
Totéž se ovšem týká i všech snah o zvýšení spolehlivosti a provozní životnosti systémů vůbec, ať je jich již dosahováno jakoukoliv spolehlivostní technologií, predikční diagnostiku nevyjímaje.
Každé zvyšování spolehlivosti a provozní životnosti si vyžaduje určité náklady a je jen otázkou střízlivé ekonomické kalkulace, zda v tom či onom případě má reálný smysl.
Pochopitelně však též existuje řada případů, kdy kladná odpověď na tuto kladná odpověď na tuto otázku je a priori jasnáotázku je a priori jasná a kdy spolehlivost uvažovaného systému je třeba zvyšovat všemi dostupnými prostředky bez ohledu na cenu (např. systémy zabezpečující chod životně důležitých energetických či informačních zdrojů).
Z uvedeného je též zřejmé, že metody predikční diagnostiky nalézají značné uplatnění také jednak při navrhování procesu oprav a preventivních testů provozní způsobilosti různých zařízení, jednak zajišťování trvalého chodu některých důležitých soustav.
Zcela specifický význam pak mají v některých medicínských aplikacích, jako např. v onkologii, dopravním lékařství a při prevenci poklesů, resp. výpadků pozornosti operátorů (řidičů, pilotů či dispečerů) důležitých systémů.
O této problematice, týkající se spolehlivosti interakce lidského činitele a umělého systému se blíže zmíníme později.
Obraťme nyní pozornost znovu k závislostem X(t), které určují průběh čar života .
Až dosud jsme sice měli na zřeteli skutečnost, že u jakéhokoliv nám známého fyzicky reálného parametru jakéhokoliv systému je vždy jeho hodnota závislá na čase t, a že tedy každý koncový bod X vektoru parametrů opisuje v prostoru {X} jistou trajektorii, která nakonec vždy musí bohužel opustit příslušnou oblast přijatelnosti RA , nicméně jsme zatím neprovedli bližší diskusi charakteru závislostí X(t).
Na hodnoty parametrů X kteréhokoliv systému, které jsou vždy funkcemi souboru příslušných nezávisle proměnných (alespoň času t) mohou působit tyto hlavní skupiny vlivů:
a) vlivy degradačního charakteru, nazývané často stárnutí,
b) vlivy vnějšího prostředí,
c) vlivy náhodné.
Při hlubší rozvaze je zřejmé, že první a druhá skupina může do jisté míry splývat.
Stárnutím rozumíme důsledek postupně probíhajících odchylek hodnot vektoru X od jeho výchozí polohy, způsobených vnějšími vlivy uplatňujícími se s nevratným průběhem času. Lze je v souladu s definicí používanou v gerontologii (viz např. [AU-D 99/1]) chápat jako rychlost, s jakou vzrůstá pravděpodobnost smrti se zvyšujícím se věkem uvažovaného systému. Jestliže tedy u jistého systému bude LT
pravděpodobnost, že tento systém dožije doby života LT,
bude mírou stárnutí (aging) derivace
Zamyslíme-li se nad možnými příčinami takových změn, dojdeme k tomu, že je vždy způsobuje vnější prostředí, jehož působení se ovšem s časem mění.
Nikdy nemáme k dispozici takový parametr systému, který by byl od působení vnějšího prostředí dokonale izolován.
Stárnutí je tedy možno v podstatě ztotožnit s neodstranitelným působením vnějších vlivů, probíhajících v čase.
Některé z nich ovšem mohou někdy působit v jistém časovém údobí intenzivněji a pak jejich působení vystoupí do popředí nad ostatní tak, že je charakterizujeme jako zvláštní skupinu.
V četných případech jsme schopni jak stárnutí, tak vlivy vnějšího prostředí vyjádřit jako funkce času (i když třeba jen přibližně) a pak další vývoj jejich působení s větší či menší přesností předpovídat, predikovatpredikovat. .
Náhodné vlivy jsou v podstatě také vždy projevem působení vnějšího prostředí, neřídí se však žádnou zřejmější zákonitostí. Téměř vždy jsou to vlivy nežádoucí, způsobené nehodami. Jejich působení je proto náhlé, neočekávané a predikovat umíme nanejvýše hodnotu pravděpodobnosti, že k nim může dojít. V průběhu trajektorie čar života se působení takových náhodných vlivů projeví náhlým zlomem, resp. skokem hodnot některých parametrů uvažovaného systému. Příklad takto neočekávanou nehodou ovlivněných čar života je naznačen na obr. 8.
Takový vývoj průběhu trajektorie čáry života může být sice nežádoucí, nemusí však vždy znamenat bezprostřední ukončení funkce-schopnosti uvažovaného systému. Dokonce teoreticky mohou nastat případy (i když v praxi by to byla dosti vzácná náhoda), kdy takové náhodné vnější vlivy by vedly ke zvýšení náhodné vnější vlivy by vedly ke zvýšení spolehlivosti a prodloužení pravděpodobného spolehlivosti a prodloužení pravděpodobného dalšího životadalšího života uvažovaného systému (příklad takového hypotetického, avšak principielně možného průběhu je naznačen na obr. 9).
Ve většině reálných případů však má náhodný vnější vliv negativní a někdy přímo katastrofický důsledek a vede buď k omezení pravděpodobnosti dalšího života, nebo přímo k bezprostřední ztrátě funkce-schopnosti uvažovaného systému, tj. k jeho funkční smrti.
Na obr. 10 je naznačena situace, odpovídající takovému případu. Vidíme, že vnější vlivy se v tomto případě projevily skokem vektoru X z polohy uvnitř RA do polohy vně oblasti přijatelnosti.
11.2. Zálohování
Odolnosti proti poruchám lze dosáhnout pouze použitím nadbytečných prostředků, souhrnně nazývaných záloha. Ve stejném významu se někdy používá také výraz redundance (nadbytečnost), i když tento pojem je poněkud obecnější. Jako záloha se většinou označuje jen taková redundance, která byla vytvořena záměrně. Záložní (redundantní) jsou prostředky, jejichž použití by bylo zbytečné, kdyby všechny ostatní části systému pracovaly správně.
Abychom získali pokud možno ucelený přehled o používaných formách zálohy, zavedeme nejprve klasifikaci zálohy podle několika důležitých kritérií.
Budeme při tom používat zcela obecné pojmy, které budou ít konkrétní význam teprve při popisu jednotlivých systémů.
11.2.1. Klasifikace forem zálohyFormy realizace záloh lze třídit několika způsoby. Každý z nich zdůrazňuje jinou vlastnost, takže i získaná rozdělení jsou vhodná pro různé účely. Je třeba připomenout, že použitá kritéria jsou do značné míry nezávislá, takže jich můžeme uplatnit i několik současně. Počet příznaků, který k určitému typu zálohy skutečně připojíme, je pak závislý na tom, jak podrobně chceme zálohu charakterizovat. Postupně si všimneme těchto kritérií pro třídění typů zálohy: použité prostředky, stupně využití zálohy v čase, úroveň využití zálohy, vztah záložního a zálohovaného prvku a funkce zálohy.
11.2.1.1. Použité prostředky
Prostředky používané při realizaci zálohy zahrnují tyto systémové zdroje:
• technické vybavení (hardware),• programové vybavení (software),
informace,• čas.
Tyto prostředky nikdy nelze beze zbytku oddělit, protože použití jednoho obvykle implikuje použití některých dalších.
Technické a programové vybavení představuje základní formy zálohy, zatímco nadbytečné informace a nadbytečný čas spotřebovaný během výpočtu jsou důsledkem jejich použití.
Nadbytečné technické vybavení, nazývané také obvodová nebo prostorová záloha, představuje bezesporu nejznámější a nejpoužívanější formu zálohování. Do této kategorie patří např. záložní součástky, záložní spoje, záložní obvody a celé funkční bloky.
Pro nadbytečné technické vybavení je charakteristický růst nákladů, rozměrů systému, hmotnosti a často i spotřeby energie.
Nadbytečné programové vybavení se používá převážně ve spojení s nadbytečným technickým vybavením, i když v technicky nezálohovaných systémech má tento způsob zálohování též své místo.
Do této kategorie patří především diagnostické programy, provádějící detekci a lokalizaci poruch, a dále programy řídící zotavení po poruše (zařazování bezporuchových bloků místo poruchových). V systémech bez technické zálohy umožňují nadbytečné programy prostřednictvím kontrolního nebo několikanásobného výpočtu zjistit, nebo dokonce opravit chyby vznikající v systému.
Je zřejmé, že tento typ zálohy je spojen s použitím značného množství nadbytečného času.
Nadbytečné informace se využívají především v bezpečnostních kódech k průběžné detekci chyb.
Jejich použití je spojeno převážně s použitím nadbytečného technického vybavení, i když v některých případech může být těžiště zálohy přeneseno do oblasti času (např. při zabezpečení sériového přenosu).
11.2.1.2. Stupeň využití zálohy v čase
Podle toho, do jaké míry jsou záložní prostředky využívány v čase, rozlišujeme obvykle dva typy zálohy, a to
statistickou a
dynamickou.
Statistická záloha pracuje nepřetržitě po celou dobu funkce systému a je trvale připojena na vstupy a výstupy systému. Tento typ zálohy se také nazývá záloha bez přepínání, protože nemá přepínač, který je potenciálním zdrojem nespolehlivosti a vyžaduje složité řízení. Způsob připojení záložního prvku do systému je pak velmi jednoduchý. Statistickou zálohu, jejíž hlavní výhodou je schopnost maskovat poruchu a nepřipustit proniknutí chyby na výstup systému, lze využít na libovolné úrovni od jednotlivých součástek až po celé systémy.
Hlavní nevýhodou statické zálohy je velká spotřeba energie (všechny prvky musí být trvale připojeny na napájení) a malá hodnota střední doby bezporuchového provozu, protože všechny prvky jsou trvale zatíženy a opotřebovávají se stejně rychle.
Dynamická záloha se naopak začíná využívat teprve tehdy, když je to nutné, tedy po poruše některé jiné části systému. Připojuje se prostřednictvím přepínače, a proto se také nazývá záloha s přepínáním. Dynamickou zálohou se dosahuje větší hodnoty střední doby bezporuchového provozu a menší spotřeby energie než statickou zálohou, protože ji lze částečně nebo zcela odpojit od napájení.
Hlavní nevýhodou dynamické zálohy je nebezpečí, že během přepínání ze základního na záložní prvek dojde k dočasnému výpadku signálu na výstupu systému, nebo dokonce že se po nějakou dobu bude na výstupu objevovat chybný signál. Vzhledem k tomu, že přepínač bývá poměrně složitý a navíc vyžaduje složité řízení, používá se dynamická záloha pouze na vyšších systémových úrovních, protože teprve tam lze zaručit, že přepínač bude podstatně jednodušší a spolehlivější, než přepínaný prvek.
11.2.1.3. Úroveň využití zálohy
Úroveň, na níž je záloha použita, lze popsat velikostí té části uvažovaného systému, která je zálohována.
Úroveň využití zálohy tedy můžeme charakterizovat názvy zálohovaných konstrukčních jednotek, jako jsou např. součástky, montážní uzly, funkční bloky apod. Takové označení úrovní není vždy zcela jednoznačné, protože konstrukční stavebnice používané různými výrobci se často liší. Proto je někdy účelnější charakterizovat úroveň využití zálohy relativně, na základě vztahu velikosti zálohovaného a záložního části systému.
Úroveň využití zálohy má vliv na:- cenu a složitost celého systému (čím větší celky zálohujeme, tím větší je nebezpečí, že budou opakovány i části systému, které ve skutečnosti zálohovat nepotřebujeme), - na složitost řízení (čím větší počet prvků zálohujeme, tím složitější je struktura řídícího podsystému) a- na účinnost zálohy, tedy na počet a typ poruch, ze kterých se systém dokáže zotavit.
Na zvolené úrovni můžeme zálohu realizovat v podstatě dvěma způsoby.
První způsob spočívá v tom, že existující (zálohované) jednotce přidáme jednu nebo několik záložních jednotek schopných převzít její funkci v případě potřeby.
Druhý způsob vychází z konstrukčních změn v jednotce, kterou je třeba zálohovat.
Rozdíl obou těchto způsobů je ovšem ve skutečnosti jen výsledkem odlišného pohledu na stejný jev, protože konstrukční změna na určité úrovni (např. vybavení paměti samoopravným kódem) může být chápána jako přidání shodných jednotek (paměťových obvodů) na nižší úrovni.
11.2.1.4 Vztah záložních a zálohovaných prvků systému
Podle vzájemného vztahu záložních a zálohovanécho prvků systému můžeme zálohy dále členit na konfigurační a funkční.
Jako konfigurační (také masivní) zálohy se označují případy, kdy zálohovaný prvek systému i všechny záložní prvky jsou přesně stejného typu. Výhodou takového řešení je koncepční jednoduchost, protože určitý prvek stačí vyrobit nebo nakoupit v několika exemplářích a ty pak začlenit do systému namísto jednoho. Proto se s tímto druhem zálohy setkáváme v praxi velmi často, např. při zdvojování procesorů, přídavných zařízení nebo celých počítačů.
Funkční záloha vznikne tak, že k zálohovanému prvku určitého typu přidáme záložní prvek nebo prvky jiného typu. Podmínku použitelnosti takového typu zálohy je schopnost všech použitých prvků vykonávat stejnou nebo alespoň podobnou funkci.
Jako příklad můžeme uvést zálohování magnetického disku magnetickou páskovou jednotkou nebo zálohování tiskárny psacím strojem. Tyto příklady ilustrují také to, že konstrukčně odlišné jednotky mají často i různé technické parametry, takže v případě přepnutí na zálohu dochází k degradaci výkonnosti systému.
11.2.1.5. Funkce zálohy
Základní úkol, formulovaný jako „zajištění odolnosti proti poruchám“, může záloha plnit (nebo alespoň pomáhat plnit) několika různými způsoby.
Podle toho jak složitě má záloha reagovat na poruchu, můžeme specifikovat tyto tři funkce zálohy:
detekce poruchy, maskování poruchy, zotavení po poruše.
Základním předpokladem správné reakce systému na poruchu je její detekcedetekce.
Během provozu systému jsme ale obvykle schopni zjistit teprve chybu, která v důsledku poruchy vznikla. K tomu se používají hlavně prostředky průběžné kontroly, k nimž patří bezpečnostní kódy, případně i periodická kontrola, např. hlídacím časovačem. S prostředky pro detekci poruch se setkáváme ve všech systémech odolných proti poruchám bez ohledu na to, jak má systém na poruchu dále reagovat.
Maskování poruchy je velmi dokonalý způsob zajištění odolnosti proti poruchám, protože se při něm porucha vůbec nemůže navenek projevit.
To znamená, že nedojde k chybě na výstupu a často ani ke zpoždění nebo jiné degradaci funkce.
Porucha se obvykle maskuje majoritní funkcí, o níž se podrobněji zmíníme v dalším.
V obecném případě lze pro tento účel použít kterýkoliv samoopravný kód
Zotavení po poruše je poměrně složitý sled úkonů, o němž jsme se zmínili již dříve.
Obvykle vyžaduje použití mnoha různých forem zálohy na několika úrovních, protože systém je třeba vybavit schopností reagovat na velký počet různých typů poruch, které vyvolávají velmi nečekané změny v jeho chování.
Klíčovou roli při tom obvykle hraje programové vybavení.
11.2.2. Statická záloha
Z hlediska vztahu mezi zálohovaným a záložním prvkem převládají při aplikaci statické zálohy dvě varianty:
konfigurační záloha (přidání stejného prvku) a konstrukční změny uvnitř prvku.
Naproti tomu statická funkční záloha, tzn. současné použití několika prvků s různou strukturou, se v praxi téměř nepoužívá.
Typická struktura systému s konfigurační statickou zálohou je znázorněna na obr. 11.2.1. Pro tento způsob spojení základního prvku se záložním prvkem je charakteristické, že vyhodnocovací člen je velmi jednoduchý, takže prakticky nevnáší so systému žádnou další nespolehlivost. Prvky použité jako záložní jsou stejného typu jako zálohovaný prvek, takže často vzniká symetrické zapojení, v němž nelze jednoznačně rozhodnout, který prvek je zálohovaný a který záložní.
Prvky použité jako záložní jsou stejného typu jako zálohovaný prvek, takže často vzniká symetrické zapojení, v němž nelze jednoznačně rozhodnout, který prvek je zálohovaný a který záložní.
Použití statické konfigurační zálohy si dále ukážeme na příkladech typického zapojení pro dvě úrovně, zjednodušeně nazývané úroveň součástek a úroveň systému.
Naproti tomu statickou zálohu realizovanou konstrukčními změnami uvnitř bloku se zde nebudeme zabývat, protože je převážně užívána v bezpečnostním kódování, o kterém se zmíníme později.
Úroveň součástek
Do použití statické zálohy na úrovni součástek se kdysi vkládaly velké naděje, a proto byla studiu staticky zálohovaných elementárních struktur v šedesátých letech věnována značná pozornost [Pier65]. S postupem času se však ukázalo, že srovnatelných výsledků lze dosáhnout podstatně levněji zálohováním na úrovni systému.
Proto se v současné době používá záloha na úrovni součástek jen v omezené míře.
Nejznámější metodou zálohování jednotlivých součástek je použití čtveřic prvků (angl. guadded logic.)
Základní myšlenku tohoto způsobu realizace obvodů znázorňuje obr. 11.2.2 a 11.2.3. Cílem návrhu je vytvořit takové spojení základních součástek, které by bylo necitlivé k jedné poruše typu t0 nebo t1.
Obr. 11.2.2. Náhradní schéma spínacího prvku
Na obr. 11.2.2 je zapojení, které nahrazuje funkci jednoho spínacího kontaktu ovládaného logickou proměnnou a. Chceme-li dosáhnout toho, že zapojení toleruje jednu poruchu t1 (zde trvale sepnuto, tedy „slepený“ kontakt), musíme zařadit dva kontakty do série a ovládat je společnou proměnnou.
Naopak, chceme-li tolerovat jednu poruchu t0 (neschopnost kontaktu sepnout), musíme spojit dva spínací kontakty paralelně, takže při poruše jednoho z nich může proud procházet alespoň druhým. Odolnost vůči jedné poruše t0 nebo t1 pak dosáhneme paralelním spojením dvou sériových větví podle obr. 11.2.2. Můžeme se snadno přesvědčit o tom, že toto spojení je odolné i vůči některým dvojicím poruch.
Jednu polovodičovou diodu můžeme zálohovat zapojením podle obr. 11.2.3, v němž opět dosáhneme toho, že se funkce výsledného obvodu nezmění (nepřihlížíme-li ke změnám vnitřního odporu) při jedné poruše typu t0 nebo t1. Stejným způsobem lze zálohovat tranzistory, kombinační logické členy i klopné obvody. Příklady zapojení jsou uvedeny např. v knize [Pier65]. Zálohování čtveřicemi bylo použito např. v orbitální astronomické observatoři OAO. Tato metoda si však nikdy nezískala oblibu především pro značný růst objemu, ceny a spotřeby energie výsledného systému. Velikost systému totiž vzroste proti nezálohovanému provedení přibližně osmkrát, protože se používá čtyřnásobný počet prvků a každý prvek je přibližně dvakrát složitější (např. logické členy mají dvojnásobný počet vstupů ve srovnání s logickými členy nezálohovaného systému).
Obr. 11.2.3. Statické zálohování diody
11.2.2.2 Systém TMRNa systémové úrovni se statická záloha realizuje nejčastěji formou majoritního (tj. většinového) vyhodnocování výstupů několika stejných prvků. Nejjednodušší variantou je spojení tří prvků označované jako třímodulová redundance nebo též systém TMR (Triple Modular Redundant). Zjednodušené schéma systému TMR je na obr. 11.2.4, kde F1, F2 a F3 jsou tři stejné funkční jednotky (moduly), které současně provádějí stejné operace se stejnými vstupními vektory X.
Obr. 11.2.4. Struktura systému TMR
Na obr. 11.2.4 je pro názornost hodnota vstupu X rozvedena z jednoho místa, i když v praxi se často dává přednost použití tří nezávislých vstupů (např. tří čidel, měřících tutéž veličinu).
Jednobitové výstupy f modulů F jsou přivedeny na vstup majoritního logického členu M, který na svém výstupu vytváří funkci f = f 1 f2 +f2 f3 +f1 f3 . Má-li každý modul n výstupů, je třeba použít n tří-vstupových majoritních členů, jejichž výstupy vytvoří n-bitový výstupní vektor. Majoritní funkce dokáže pro každý bit samostatně zamaskovat jednu chybu. Objeví-li se tedy na výstupu jednoho modulu chybné hodnoty a na výstupech zbývajících dvou modulů správné hodnoty, „přehlasují“ dva správné výstupy jeden chybný a na výstupu systému se objeví správný vektor.
Jestliže naopak dva nebo dokonce všechny tři moduly vytvoří stejné chybné výstupní vektory, přenesou majoritní členy, které se mechanicky přidávají k většině, na své výstupy chybné hodnoty.
Na základě uvedených úvah můžeme odvodit základní vztahy pro výpočet hodnot spolehlivostních ukazatelů systému TMR. Budeme předpokládat, že majoritní člen je schopen maskovat jednu poruchu modulu, takže porucha dvou modulů vede vždy k chybě na výstupu systému. To je určité zjednodušení, protože poruchy modulů se mohou v některých případech navzájem kompenzovat. Zpřísněním požadavků na bezporuchovost systému dostaneme dolní odhad pravděpodobnosti bezporuchového provozu, resp. střední doby bezporuchového provozu, takže reálně dosahované hodnoty budou o něco lepší.
Jsou-li splněny uvedené předpoklady, můžeme při výpočtu pravděpodobnosti bezporuchového provozu RTMR(t) systému
TMR použít vzorec (2.9) z odstavce 2.1.
Má-li každý modul pravděpodobnost bezporuchového provozu R(t),dostáváme
32 )(2)(3 tRtRRTMR (11.2.1)
Platí-li pro všechny moduly exponenciální zákon s intenzitou poruch λ, nabývá výraz (11.2.1) tvaru
t tTMRe e R
3 22 3
(11.2.2)
Průběh funkce RTMR(t) podle vzorce (11.2.2)
je zakreslen do obr. 11.2.5 a to společně s exponenciálou, která popisuje průběh hodnot R(t) pro jeden modul.
Obr. 11.2.5. Průběh R(t) pro systém TMR
Vidíme, že pro malé hodnoty t leží křivka RTMR (t) nad exponenciálou, což signalizuje, že důsledkem použití třímodelové redundance je zvýšení pravděpodobnosti bezporuchového provozu na počátku činnosti systému.
V okamžiku t = 0,7 Ts se však obě křivky protínají a s prodlužující se dobou t klesá RTMR(t) rychleji než R(t). To znamená , že od jistého okamžiku je pravděpodobnost bezporuchového provozu systému TMR nižší než pravděpodobnost bezporuchového provozu jednoho modulu. Jakmile totiž přestane být pravděpodobnost současného výskytu poruch ve dvou modulech zanedbatelně malá, roste nebezpečí poruchy systému, protože samoopravný mechanismus nelze dále používat.
Integrací výrazu (11.2.2) můžeme odvodit hodnotu střední doby bezporuchového provozu systému TMR
6
5)( TMRsT (11.2.3)
To znamená, že střední doba bezporuchového provozu systému TMR se rovná pouze 83% hodnoty střední doby bezporuchového provozu jednoho modulu. Z toho můžeme odvodit závěr, že systém TMR je použitelný pouze pro krátkodobé úkoly, během nichž potřebujeme výrazně zvýšit pravděpodobnost bezporuchového provozu.
To však platí pouze pro neobnovovaný systém, v němž poruchový modul stále dává na svém výstupu chybné hodnoty. Jak jsme však viděli dříve, můžeme tuto nepříjemnou vlastnost systému TMR odstranit tím, že každý modul, v němž se vyskytne porucha, co nejrychleji opravíme a vrátíme do systému.
Dosazením získáme pro systém TMR součinitel zvýšení spolehlivosti
ttR eetRtRtK 22 23)(2)(3)( (11.2.4)
Ve výrazech (11.2.1) až (11.2.4) jsme neuvažovali pravděpodobnost bezporuchového provozu majoritního členu. Je-li tento člen dostatečně jednoduchý ve srovnání s moduly, které zálohujeme, lze jeho poruchovost zanedbat a uvedené výrazy zůstávají v platnosti.
Je-li však pravděpodobnost jeho bezporuchového provozu RM(t) příliš malá, je třeba jí vynásobit výrazy pro
RTMR(t), protože oba podsystémy jsou v sérii.
Dostáváme tak upravený výraz
32 )(2)(3)()( tRtRtRtR MTMR (11.2.5)
Je-li výsledná hodnota RTMR(t), kterou tímto
způsobem dostaneme, příliš malá, je třeba majoritní člen zálohovat podobně jako moduly Fi.
Příklad takového zapojení systému TMR se zálohovanými majoritními členy je uveden na obr. 11.2.6
Obr. 11.2.6. Zálohování majoritních členů v systému TMR
Pro toto zapojení můžeme pak odvodit pravděpodobnost bezporuchového provozu tak, že majoritní člen považujeme za sériově předřazený následujícímu modulu, takže místo pravděpodobnosti bezporuchového provozu R(t) dosadíme do vzorce (11.2.1) součin R(t)RM(t). Pro modul F‘
i přitom předpokládáme stejnou pravděpodobnost bezporuchového provozu jako pro Fi. Tím dostáváme
(11.2.6)
3322 )()(2)()(3)( tRtRtRtRtR MMTMR
Tím, že za majoritními členy dostáváme tři signály vzniká nový problém a to:
kdy a jak se tyto tři signály nakonec spojí.
Lze použít jeden výstupní majoritní člen, nebo řídit třemi signály tři akční členy, které společně ovládají určitý prvek řízení soustavy.
11.2.2.3. Systém NMRSpojení většího počtu stejných modulů, jejichž výstupy jsou vyhodnocovány majoritou, vznikne systém NMR, neboli N-modulová redundance. Je to vlastně zobecnění myšlenky systému TMR na větší počet modulů, a proto i schéma zapojení podle obr. 11.2.7 se systému TMR velmi podobá. Všechny jednotky opět zpracovávají stejná vstupní data podle stejného programu a jejich výstupy jsou přivedeny do majoritního členu, jehož práh je možno popsat vztahem
M = (N + 1)/2.
Obr. 11.2.7. Struktura systému NMR
Vzhledem k tomu, že majorita jako logická funkce je definována pouze pro lichý počet argumentů, používá se v systému NMR obvykle liché N. Pro sudé N bychom museli místo majoritního členu použít obecný prahový člen s prahem M vyšším než N/2. Bezporuchový stav systému trvá i v tomto případě tak dlouho, dokud většina (resp. nadprahový počet) modulů pracuje správně. To znamená, že maximální počet poruchových modulů, při němž ještě nastává porucha systému, může být N – M. Sečtením pravděpodobností výskytu stavů, které zahrnuje M až N bezporuchových modulů, získáme výraz pro pravděpodobnost bezporuchového provozu systému NMR.
iNiN
MiNMR tRtR
i
NtR
)(1)()(
Dostaneme:
(11.2.7)
Při tom jsme použili stejné zjednodušující předpoklady jako při popisu chování systému TMR, proto po dosazení hodnot N = 3 a M = 2 dostaneme výraz (11.2.1).
V oblasti platnosti exponenciálního zákona poruch s parametrem λ lze integrací výrazu (11.2.7) odvodit vztah pro střední dobu bezporuchového provozu systému NMR:
N
MiNMRs i
T11
)( (11.2.8)
Lze dokázat, že součet na pravé straně je pro M ≥ (N + 1)/2 menší než jedna, takže střední doba bezporuchového provozu neobnovovaného systému NMR je kratší než střední doba bezporuchového provozu jednoho modulu.
Průběh hodnot RNMR(t) je pro několik
lichých N zakreslen do obr. 11.2.8.
Obr. 11.2.8. Průběh hodnot RNMR(t)
Vidíme, že chování všech systémů NMR se navzájem velmi podobá, takže se opět setkáváme se stejným jevem jako u systémů TMR. Křivka pravděpodobnosti bezporuchového provozu se zpočátku přimyká k vodorovné tečně (tím víc, čím vyšší je N), avšak pak následuje prudký pokles pod hodnotu jednoho modulu, přičemž průsečík všech křivek má souřadnice λt = 0,7 Ts a R = 0,5 . Konvergence RNMR(t) k nule je tím rychlejší, čím větších hodnot nabývá N.
Také pro systém NMR tedy platí to, co bylo uvedeno o systému TMR, a co nakonec platí o všech staticky zálohovaných systémech - pokud nejsou obnovovány, jsou použitelné pouze krátkodobě.
Hlavní výhoda jejich použití spočívá v dočasném zvýšení hodnoty pravděpodobnosti bezporuchového provozu
a ve schopnosti maskovat chyby N – M
modulů.
Pro úplnost je třeba připomenout, že systém NMR může být v případě výskytu několika poruch rekonfigurován, čímž se jeho vlastnosti zlepší.
Pokud se totiž počet bezporuchových modulů nebezpečně přiblíží prahové hodnotě, je výhodnější odpojit poruchové moduly (případně i některé bezporuchové) a snížit odpovídajícím způsobem práh majority. U systému TMR taková rekonfigurace znamená přepnutí na jeden modul, tedy do tzv. simplexního režimu, kdy se kromě poruchového modulu odpojí i jeden ze zbylých bezporuchových modulů (majoritní člen se pak již samozřejmě nepoužívá). Systém s touto schopností se označuje zkratkou TMR/S.
Bezporuchové moduly odpojené spolu s poruchovými při rekonfiguraci systému NMR lze použít jako dynamickou zálohu umožňující nahradit některý z pracujících modulů. Postupnými rekonfiguracemi můžeme dojít až k využití posledního funkce schopného modulu v systému. Vybavíme-li touto schopností systém TMR, dostaneme modifikaci označovanou zkratkou TMR/S/S (tj. TMR se dvěma přechody do simplexního režimu). Pravděpodobnost bezporuchového provozu takového systému je stejná jako pravděpodobnost bezporuchového provozu paralelního systému se stejným počtem modulů, protože k poruše systému dojde teprve při výpadku všech modulů.
Je však třeba připomenout, že takovýto systém je velmi složitý, protože kromě majoritního členu musí obsahovat přepínač, řadič a kontrolní obvody sledující správnou činnost jednotlivých modulů bez možnosti porovnání výsledků s ostatními moduly.
11.2.3. Dynamická zálohaObecné blokové schéma systému s dynamickou zálohou je znázorněno na obr. 11.2.9. Od statické zálohy se liší především způsobem propojení záložních prvků se zálohovaným. Vyhodnocovací člen zde tvoří dva přepínače (P1 a P2) a blok řízení přepínačů.
Obr. 11.2.9. Schéma systému s dynamickou zálohou
Kromě přepínače výstupů P2 je ve schématu
na obr. 11.2.9 použit i přepínač vstupů P1,
který je řízen stejným řídicím signálem.
Tento přepínač není vždy nutný a v praxi se často nepoužívá, protože dynamické záložní prvky mohou být odpojeny od napájení, takže pro vstupní signál nepředstavují zátěž.
11.2.3.1. Režimy činnosti dynamické zálohyVzhledem k tomu, že se dynamická záloha
používá teprve po poruše základního prvku, máme možnost rozhodnutí, jaký má být režim její činnost v době, kdy není použita.
Rozlišujeme tři základní režimy činnosti dynamické zálohy, a to:
nezatížený, odlehčený, zatížený.
Kritérium pro zařazení zálohy do jedné z těchto kategorií je obvykle výkon záložního prvku.
Je-li záložní prvek v době, kdy není použit, zcela odpojen od napájení, je výkon nulový a záloha se nazývá nezatížená (studená) záloha.
Opačný extrém kdy záložní prvek pracuje na plný výkon i v době, kdy se jeho výstupní hodnoty nepoužívají, se nazývá zatížená (horká) záloha.
Mezi těmito extrémy leží celá řada případů, kdy je záložní prvek v době, kdy není využit, zapnut na snížený výkon. Taková záloha se nazývá odlehčená (vlažná) záloha.
Nezatížený režim nejlépe využívá výhod dynamické zálohy, protože systém jako celek má nejmenší spotřebu energie a opotřebení záložního prvku je minimální. Naproti tomu přenesení funkce ze základního prvku na záložní prvek může být spojeno se značnými komplikacemi, protože záložní prvek je třeba nejdříve inicializovat. Proto se v systémech, kde ztráta času, případně porušení informace při inicializaci záložního prvku představuje kritický problém, dává přednost zatížené záloze, která průběžně pracuje na stejném problému jako základní prvek a může kdykoli převzít jeho funkci. Životnost zatížené zálohy je ovšem mnohem menší a spotřeba energie mnohem větší, než u nezatížené zálohy.
Odlehčená záloha se používala především v elektronkových systémech, protože tam v případě přepnutí na nezatížený záložní prvek nastává největší časová ztráta při nažhavování katod. Proto se záložní prvky připínaly pouze na žhavení, avšak nezapínalo se anodové napětí. V takovém režimu bylo opotřebení minimální, a přitom byla elektronka schopna podat plný výkon okamžitě po zapnutí anodového napětí. Možnost provozovat dynamickou zálohu jako odlehčenou lze využít u současné technologie. Některé procesory mají oddělené napájení pro vnitřní paměť a pro zbytek procesoru. Po dobu, kdy procesor nepracuje, stačí napájet jen paměť, čímž klesne příkon pouzdra asi na 5% celkové spotřeby, a přitom má procesor k dispozici údaje, které do něj byly vloženy před přepnutím do odlehčeného režimu.
Vzhledem k tomu, že v závislosti na výkonu záložního prvku se mění i intenzita jeho poruch, bývá zvykem používat pro specifikaci režimu dynamické zálohy poměr intenzit poruch označovaný jako součinitel odlehčení ν
1 (11.2.9)
kde λ1 je intenzita poruch záložního prvku a
λ je intenzita poruch základního prvku.
Pro zatíženou zálohu platí λ1= λ a tedy ν = 1.
U nezatížené zálohy naopak předpokládáme λ1= 0, takže platí i ν = 0. Skutečně nulovou hodnotu intenzity poruch však nemůžeme zaručit ani u součástek uložených ve skladu při optimálních skladovacích podmínkách.
Tím spíše je nesplnitelný předpoklad nulové intenzity poruch u součástek, které sice nejsou aktivně připojeny (např. na napájecí napětí), avšak jsou vystaveny téměř stejným výkyvům teploty, vlhkosti, otřesům a dalším rušivým vlivům jako součástky aktivního prvku.
Praktické zkušenosti ukazují, že vypnutím napájecího napětí se intenzita poruch polovodičových součástek zmenší až desetkrát, takže pro součinitel odlehčení nezatíženého prvku můžeme předpokládat ν = 0,1.
Odlehčená záloha je charakterizována součinitelem odlehčení, jehož hodnota leží mezi nulovou a jedničkou.
Průběh křivek pravděpodobnosti bezporuchového provozu pro popsané tři stupně zatížení záložního prvku je vyznačen na obr. 11.2.10.
Obr. 11.2.10. Průběh R(t) pro různé typy dynamické zálohy
Pro zatíženou zálohu dostáváme exponenciálu Rz(t) shodnou s exponenciálou základního prvku,
takže dojde-li v důsledku poruchy v okamžiku t1
k přepnutí na záložní prvek, je jeho pravděpodobnost bezporuchového provozu pouze zlomkem původní (jednotkové) hodnoty.
Pokud je záloha nezatížená, je do okamžiku přepnutí pravděpodobnost bezporuchového provozu přibližně konstantní Rn(t) = 1.
Po zapnutí na plný výkon klesá tato pravděpodobnost po exponciále, která je posunutým obrazem exponenciály charakterizující pravděpodobnost bezporuchového provozu zatíženého prvku.
Křivka R0(t) pravděpodobnosti bezporuchového provozu odlehčeného prvku se skládá ze dvou exponenciál, z nichž první klesá od hodnoty R0(t) = 1 poněkud mírněji než exponenciála zatíženého prvku (platí λ1 < λ). V okamžiku přepnutí na plný výkon začne i křivka tohoto záložního prvku klesat stejně rychle jako křivka základního prvku, avšak od hodnoty, na kterou mezi tím klesla pravděpodobnost bezporuchového provozu. Tuto křivku můžeme interpretovat jako úsek exponenciály prvku, který byl v jakémsi fiktivním okamžiku t2 přepnut z nezatíženého stavu na plný výkon (na obr. 11.2.10 vyznačeno zlomem střední křivky).
Stupeň zatížení záložních prvků má určující význam pro vlastnosti obecného dynamického zálohovaného systému se zatíženými záložními prvky. Ty jsou shodné s vlastnostmi paralelního systému již dříve popsaného, takže např. jeho střední doba
bezporuchového provozu roste s harmonickou řadou.
Jestliže naopak záložní prvky ponecháme nezatížené, prodlouží se střední doba bezporuchového provozu systému na n – násobek střední doby jednoho prvku, pokud u záložních prvků předpokládáme nulovou intenzitu poruch.
Rozdíl vlastností zatíženého a nezatížené zálohy je graficky znázorněn na obr. 11.2.11.
Obr. 11.2.11. Rozdíl vlastností zatížené a nezatížené zálohy
Je však třeba znovu připomenout, že hodnoty Ts získané pro součinitel odlehčení
ν = 0 představují pouze horní dosažitelnou mez.
Ve skutečnosti proto musíme předpokládat hodnoty Ts o něco nižší.
11.2.3.2. Duplexní systémZdvojení důležitých prvků systému je metodou zálohování, která sama dokáže zajistit poměrně vysoký stupeň odolnosti proti poruchám, a přitom při ní nedochází k příliš velkému růstu nákladů. Proto je duplexní architektura v systémech odolných proti poruchám v současné době nejrozšířenější. Z její jednoduchosti však vyplývají i některé nedostatky, které vymezují oblast její použitelnosti. Duplexní systém vždy používá dynamickou zálohu, protože současné využití výstupů dvou prvků není možné. Nelze tedy dosáhnout maskování chyby a řízená soustava je ohrožená chybou nebo výpadkem řídícího signálu během přepínání na záložní prvek.
Pro detekci chyb v základním prvku se používají dvě hlavní metody: pravidelné srovnávání výsledků se záložním prvkem a průběžná kontrola bezpečnostním kódem. Je-li záložní prvek odlehčen nebo nezatížen, lze správnou funkci kontrolovat samozřejmě pouze bezpečnostním kódem, protože žádné kontrolní výsledky nejsou k dispozici. Pokud naopak v duplexním systému používáme zatíženou zálohu (což je nejčastější případ), můžeme volit mezi oběma variantami detekce chyb, případně je kombinovat.
Blokové schéma duplexního systému je znázorněno na obr. 11.2.12.
Obr. 11.2.12. Blokové schéma duplexního systému
Vidíme, že se velmi podobá obecnému schématu systému s dynamickou zálohou z obr. 11.2.9. Blok „řízení přepínače“ může být realizován různými způsoby, které pak mají rozhodující vliv na skutečné zapojení systému. Může to být jednoduchý obvodový komparátor, který ve stanovených intervalech srovnává hodnoty na výstupech dvou procesorů, nebo program, který tyto hodnoty porovnává v paměti jednoho nebo obou procesorů. Při takovém srovnání ale nemůžeme zjistit, který prvek způsobil chybu, takže před nastavením přepínače do vhodné polohy musíme získat ještě další informace (např. diagnostickým testem nebo opakováním operace).
Dokonalejší způsob řízení přepínače je založen na průběžné kontrole správnosti funkce obou bloků pomocí bezpečnostních kódů. Výstupy hlídačů těchto kódů pak umožňují okamžitě určit, který výsledek je správný, a podle toho nastavit přepínač. I když je tento způsob detekce chyb konstrukčně náročnější, používá se v duplexních systémech (jako ostatně i ve všech ostatních typech číslicových systémů) ve stále větší míře.
Vzhledem k tomu, že záložní jednotka je obvykle zatížena, můžeme pro pravděpodobnost bezporuchového provozu RD(t) duplexního systému použít vzorce:
22 )()(2)(11)( tRtRtRtRD (11.2.10)
kde R(t) je pravděpodobnost bezporuchového provozu jednoho bloku. Průběh RD(t) za
předpokladu, že R(t) sleduje exponenciální zákon, je na obr. 11.2.13.
Obr. 11.2.13. Průběh R(t) pro duplexní systém
V reálných duplexních systémech obvykle zdvojeny i jiné jednotky než procesory, takže systém obsahuje větší počet přepínačů. Zjednodušené schéma systému, v němž je samostatně zdvojen procesor, řadič a disková paměť, je uvedeno na obr. 11.2.14.
Obr. 11.2.14. Blokové schéma duplexního výpočetního systému
V každém přepínači je zde zahrnut i
příslušný řídicí blok. Je zřejmé, že systém je provozuschopný, dokud je od každého typu jednotky v provozu alespoň jeden exemplář, takže pro něj platí sériově paralelní model.
11.2.3.3. Biduplexní systém
Pro úlohy vyžadující velkou pravděpodobnost bezporuchového provozu a současně i velkou bezpečnost byl navržen tzv. biduplexní systém, nazývaný též systém se zálohovanými dvojicemi (pair and spare).
Jeho principální schéma je uvedeno na obr. 11.2.15.
Obr. 11.2.15. Blokové schéma biduplexního systému
Základem jsou dva duplexní podsystémy, které jsou s řízeným procesem spojeny prostřednictvím přepínače.
Všechny čtyři bloky řeší přesně stejnou úlohu se stejnými vstupními daty, avšak přepínač přivádí do řízené soustavy výsledky pouze z jednoho z nich. Ostatní bloky jsou použity jako zatížená dynamická záloha.
Srovnávací obvod (komparátor) každého z duplexních podsystémů dává přepínači informace o tom, zda příslušné dva bloky pracují stejně. Pokud zjistí že ne, připojí přepínač automaticky na řízený proces druhý podsystém (samozřejmě pokud jeho komparátor signalizuje shodu). Vzhledem k tomu, že druhá dvojice bloků stále zpracovává stejnou úlohu, lze takové přepnutí provést bez rizika, že dojde k časové ztrátě nebo porušení informací.
Vzhledem k tomu, že se pro vlastní řídicí funkci z každé dvojice používá vždy jen jeden blok, je biduplexní systém vlastně jen variantou duplexního systému, v němž je kontrola správnosti funkce obou bloků provedena velmi nákladně, tj. dalším zdvojením.
Biduplexní architektura nachází široké uplatnění zejména u výpočetních systémů se zvýšenou odolností proti poruchám určených pro zpracování transakcí a pro dopravní zabezpečovací systémy.
11.2.3.4. Záloha typu „M z N“Při praktickém využití dynamické zálohy bývá obvyklé, že počet záložních bloků je menší, než počet zálohovaných. Tento způsob zálohování se používá tehdy, je-li pro požadovanou funkci třeba použít M stejných jednotek (např. magnetických disků nebo pásek). K nim se připojí jako dynamická záloha několik jednotek navíc, takže dostaneme celkem N jednotek, z nichž pouze M je v provozu. Proto se tento způsob zálohování zkráceně nazývá M z N nebo též paralelní binomický systém (podle způsobu výpočtu pravděpodobnosti bezporuchového provozu).
Vzorec pro výpočet pravděpodobnosti bezporuchového provozu systému M z N snadno odvodíme na základě výčtu bezporuchových stavů, které mohou v systému nastat. Jsou to postupně stavy s žádným, jedním, dvěma, až maximálně N – M poruchovými prvky. Je-li R(t) pravděpodobnost bezporuchového provozu jednoho prvku, dostaneme sečtením pravděpodobností výskytu všech bezporuchových stavů
(11.2.11)
1)(1)()(
Ni
MyN tRtRi
NtR
Na tomto místě musíme upozornit na rozdíl mezi zálohou typu M z N a systémem NMR, který je statický.
I když vzorce (11.2.11) a (11.2.7) jsou stejné, je význam hodnot M a N v obou případech různý.
V praxi někdy dochází k tomu, že se dynamická záloha vyčerpá dříve, než jsou odstavené prvky opraveny. V takovém případě porucha každého dalšího bloku znamená omezení funkce schopnosti systému, protože není k dispozici požadovaných M bloků. Systém v takovém případě může pracovat dál pouze v některých úlohách, apod.
11.2.4. Hybridní zálohaStatická záloha umožňuje maskovat chybu, avšak dokáže zaručit pouze malou životnost systému. Dynamická záloha je naopak vhodná tam, kde potřebujeme vytvořit systém s dlouho životností. Její použití je spojeno s rizikem, že chyby způsobené poruchou aktivního prvku, případně přepínáním na záložní prvek, se přenesou do řízené soustavy. Snaha využít ze statické i z dynamické zálohy pouze jejich výhodné vlastnosti a odstranit podstatnou část jejich nevýhod vedla k vytvoření tzv. hybridní zálohy, která je kombinací obou.
Odstranění nevýhod je ovšem provedeno za cenu větší složitosti (a tedy menší spolehlivosti) přepínacího prvku.
Nejčastěji používaný typ hybridně zálohovaného systému se označuje zkratkou GMR (Genral Modular Redundant). Blokové schéma systému GMR je na obr. 11.2.16. Základem tohoto systému je staticky zálohovaný podsystém NMR, jehož majoritní člen má nastavenou prahovou hodnotu M. To znamená, že nejméně M z N trvale zatížených modulů musí pracovat správně, aby majoritní člen byl schopen zamaskovat chyby ostatních.
Obr. 11.2.16. Blokové schéma systému GMR
Do řízeného procesu jsou v takovém případě předávány jen platné informace.
K systému NMR je připojena dynamická záloha tvořená S moduly. Pokud jsou tyto záložní moduly nezatížené, dosahují velké životnosti, takže při jejich připojení na majoritní člen se pravděpodobnost bezporuchového provozu blíží jedné.
Tím je zaručena velká životnost systému jako celku.
Při poruše některého z modulů v podsystému NMR se poruchový modul odpojí od majoritního členu a na jeho místo se připojí jeden z modulů dynamické zálohy. Toto přepojení může proběhnout během normální funkce systému, aniž by byla ohrožena správnost výstupních informací. Přepojování se však řídí poměrně složitým algoritmem, takže pro řízení přepínače je třeba použít sekvenční obvod nebo programovatelný procesor. To může mít nepříznivý vliv na cenu, případně i na spolehlivost celého systému.
Jestliže se vyskytne porucha v S modulech systému GMR, je postupným přepojováním vyčerpána celá dynamická záloha a zbývá prostý systém NMR.
Jeho chování v případě výskytu dalších poruch závisí na dokonalosti algoritmu řízení přepínače.
Lze sestavit celou řadu různých takových algoritmů, jejichž cílem je zaručit co nejdéle bezporuchových stav systému.
Nabízí se např. postupné snižování prahu majority společně s odpojováním dvojic modulů, popsané již dříve.
12.2. Analýza a hodnocení spolehlivosti systémů Základní úlohu při predikci spolehlivosti systému je určení hodnot
jeho celkových spolehlivostních ukazatelů ze známých hodnot spolehlivostních ukazatelů prvků a ze způsobu jejich spojení. Tato úloha se řeší s využitím spolehlivostních modelů. Existuje velké množství různých spolehlivostních modelů. Účelem této přednášky není podat jejich vyčerpávající přehled, ale seznámit posluchače s jejich nejdůležitějšími typy a dále s metodikou jejich konstrukce a řešení. Podrobněji je probírána teorie a využití markovských modelů, které jsou základem moderních modelovacích technik v oblasti spolehlivosti výpočetních systémů.
Vytvoření modelu je vždy spojeno se zjednodušením modelované skutečnosti, protože abstrahuje od vlastností objektu, které nejsou pro sledovaný účel podstatné. Ve spolehlivostních modelech proto zpravidla rozlišujeme pouze stavy systému důležité z hlediska jeho spolehlivosti (provozuschopný nebo porouchaný). V některých případech se dále uvažují stavy se sníženou bezpečností provozu nebo se sníženým výkonem.
12.2.1. Modely systémů s nezávislými prvky
U mnoha reálných systémů lze předpokládat nezávislost poruch a popřípadě i nezávislou realizaci oprav jednotlivých prvků. V takovém případě jsou doby do poruchy u jednotlivých prvků nezávislé náhodné veličiny.
Spolehlivostní modely systémů s nezávislými prvky jsou relativně jednoduché, a proto v případě, kdy máme možnost volby, jim dáme přednost před jinými typy modelů. Po matematické stránce jsou tyto modely založeny na vztazích pro násobení pravděpodobností nezávislých náhodných jevů (tj. pro pravděpodobností bezporuchového provozu R(t) a poruch Q(t) jednotlivých prvků) a na vztazích pro sčítání pravděpodobností vzájemně se vylučujících jevů (tj. možných stavů systému).
Dále uvedeme modely využívané zejména pro neobnovované systémy.
12.2.1.1. Sériový model
Tento model používáme v případě, kdy porucha kteréhokoliv prvku způsobí poruchu celku a časové intervaly do poruchy jednotlivých prvků jsou navzájem nezávislé náhodné veličiny.
Sériový spolehlivostní model systému složeného z prvků A1 až An je na obr. 12.2.1.
A1 AnA3A2
Obr. 12.2.1. Sériový spolehlivostní model
Jestliže známe pravděpodobnosti bezporuchového provozu Ri(t) pro každý
prvek Ai , je výsledná pravděpodobnost
bezporuchového provozu R(t) dána jejich součinem.
(12.2.1) (t)RR(t) i
n
1i
Pro konstantní intenzitu poruch i každého
prvku dostaneme
(12.2.2) t
n
i
t eeR(t) i
1
kde je výsledná intenzita poruch systému, získaná jako součet intenzit poruch prvků i
n
ii
1
(12.2.3)
Sériové spojení prvků se zadanými konstantními intenzitami poruch lze tedy nahradit jedním prvkem s celkovou intenzitou poruch získanou součtem intenzit poruch všech prvků.
Střední dobu bezporuchového provozu Ts (v anglické literatuře je označována zkratkou MTTF – Mean Time To Failure, nebo též MTBF – Mean Time Between Failures) získáme z (12.2.2) integrací. Pro konstantní intenzity poruch i
dostaneme
(12.2.4)
11
1
n
i
i
sT
Pro sériové spojení n shodných prvků s konstantní intenzitou poruch p dostaneme
střední dobu bezporuchového provozu
(12.2.5)p
sn
T1
Je třeba poznamenat, že skutečná funkční topologie uvažovaného systému, resp. funkční uspořádání jeho funkčních bloků (resp. jejich zapojení) nemusí být vždy jen sériové.
Sériový spolehlivostní model se v souvislosti se systémy odolnými proti poruchám velmi často využívá jako model základní.
Např. u elektronického výpočetního či řídicího systému je to deska s plošným spojem, osazená integrovanými obvody. Předpokládáme-li, že porucha kterékoliv součástky způsobí poruchu funkce celé desky, je spolehlivostním modelem sériové spojení součástek.
Obvykle se přitom předpokládají konstantní intenzity poruch součástek, získané například z údajů výrobce nebo výpočtem podle nějakého poruchového modelu součástky. Na sériovém spolehlivostním modelu je založena též jedna z nejvyužívanějších výpočetních metodik, americká vojenská norma s označením MIL-HDBK-217. Stručný výtah z této normy (verze MIL-HDBK-217D) si ukážeme později. Získané intenzity poruch součástek je na základě odvozených vlastností sériového modelu možné sečíst a získat tak výslednou konstantní intenzitu poruch, která charakterizuje spolehlivostní chování analýzovaného modulu jako celku.
12.2.1.2. Paralelní model
Paralelní model používáme tehdy, dochází-li k poruše systému pouze při poruše všech jeho prvků.
Paralelní spolehlivostní model pro n prvků je znázorněn graficky na obr. 12.2.2.
A1
An
A2
Obr. 12.2.2. Paralelní spolehlivostní model
Jestliže známe pravděpodobnost poruchy Qi(t) pro každý prvek Ai a jsou-li poruchy
prvků nezávislé, můžeme výslednou pravděpodobnost poruchy Q(t) vyjádřit vztahem
(12.2.6)
n
i
i tQtQ1
)()(
Pro pravděpodobnost bezporuchového provozu lze odvodit výraz
(12.2.7)
n
i
i tRtR1
))(1(1)(
Použijeme-li n shodných prvků s konstantní intenzitou poruch p, je možné vyjádřit střední
dobu bezporuchového provozu jako
(12.2.8)
n
i
sit
T1
1
)(
1
12.2.1.3. Kombinované modely
Ve většině reálných situací je však třeba použít modely složitější. U takových modelů může být spolehlivostní model systému s nezávislými prvky vytvořen vhodnou kombinací sériového a paralelního spojení příslušných funkčních bloků. Pravděpodobnost bezporuchového provozu lze pro kombinovaný systém určit postupnou aplikací vzorců (12.2.1) a (12.2.6) nebo (12.2.7).
Postup řešení kombinovaného modelu ukážeme na příkladu modelu neobnovovaného systému podle obr. 12.2.3.
A1
A2
A3
Obr. 12.3. Příklad kombinovaného modelu
Jsou dány konstantní intenzity poruch 1, 2, 3 a chce určit například střední dobu bezporuchového provozu Ts. Nejprve určíme pravděpodobnost poruchy paralelního spojení prvků A2 a A3
Q23 = Q2Q3 = (1 – R2) (1 – R3) = 1 – R2 – R3 + R2R3
Dále určíme výsledné R ze sériového spojení R1 a R23
R23 = 1 – Q23 = R2 + R3 – R2R3
R = R1R23 = R1R2 + R1R3 – R1R2R3
Po dosazení časových závislostí Ri (t) = exp (-it) dostaneme
R(t) = e -(λ1
+ λ2
)t + e-(λ1
+ λ3
)t - e-(λ1
+ λ2
+ λ3
)t
Nakonec určíme střední dobu bezporuchového provozu
321310 21
111)(
dttRTs
Speciálním případem kombinovaných modelů je sériově-paralelní model (sériové spojení n bloků, z nichž každý obsahuje paralelní spojení m prvků) a paralelně-sériový model (paralelní spojení m větví o n prvcích).
Příslušné vzorce pro R a Q lze jednoduše získat z (12.2.1), (12.2.6), (12.2.7).
V této souvislosti je třeba připomenout důležitou větu, vztahující se k blokovýmu spolehlivostním schématům, u kterých lze identifikovat vstupní a výstupní brány :
Modelovaný systém je schopný provozu, jestliže v uvažované funkční struktuře existuje alespoň jedna funkční cesta pro přenos signálu (informace) mezi vstupními a výstupními branami.
Mohou však existovat systémy o takových strukturách, kdy pojem vstupních a výstupních bran nelze uplatnit.
Jejich příkladem mohou být systémy schopné autonomní činnosti, jejichž funkční schopnost a tudíž i spolehlivost posuzujeme podle jejich způsobilosti realizovat jistou množinu systémových funkcí F.
Do každého takového systému však musíme dodávat jisté informace I a energii E. Schématické naznačení takového systému je uvedeno na obr. 12.4.
Realizovaná množina systémových funkcí F
Systém S
Vstupní informace IEnergetické zdroje E
Obr. 12.4. Systém s autonomní činností
Pak je aplikaci výše uvedené věty třeba vztáhnout na cestu přenosu energie E či informace I mezi odpovídajícími vstupy do uvažovaného systému a jím realizovanou množinou systémových funkcí F.
14. 1. Význam interakce člověka s umělým systémem
Všechny umělé systémy, které v současné době lidstvo užívá, jsou v interakci s člověkem. Člověk přitom může hrát roli operátora umělých systémů, jejich uživatele nebo může působit jako představitel jejich okolí.
To platilo též v celé dosavadní historii lidstva a zřejmě bude platit po dlouhou dobu i nadále a to nejen pro systémy technické, ale i jiné (např. organizační). Platí to pochopitelně též bez ohledu na určení těchto systémů, ať je již civilní či vojenské.
Přísně vzato, konstrukci umělého, na interakci s člověkem zcela nezávislého systému zatím nedovedeme realizovat a je otázkou diskuse mimo rozsah této knihy, zda a kdy to bude možné. Názory v tomto směru mohou být dosti různé.
Pro dostatečně široký obzor úvah budeme tedy vycházet z nezbytnosti interakce člověk – umělý (především technický) systém.
Neuspokojivá spolehlivost téměř všech systémů, používaných člověkem během celého vývoje lidstva představuje jeden z hlavních problémů lidské civilizace.
Příčinou není pouze nízká spolehlivost a krátká doba životnosti umělých systémů samotných, ale velmi často také chyby lidského činitele pracujícího s takovýmto umělým systémem.
Zatímco během technického pokroku se spolehlivost umělých systémů velice zvyšovala, takže v současné době pravděpodobnost poruchy vhodně navržených a vyrobených umělých systémů je velice nízká,
pravděpodobnost poruch způsobených nesprávným použitím a chybami operátora systému se s rostoucí komplexností a výkonností umělých systémů prudce zvyšuje.
Hlavní důvody vedoucí k této neuspokojivé situaci je možno vidět především ve
zvyšujících se požadavcích na schopnosti operátorů, úroveň jejich pozornosti a rychlost
jejich reakce.
Ztráty způsobené chybami a závadami v umělých systémech nadto obvykle odpovídají jejich výkonnosti, významnosti a hodnotě. V moderních transportních systémech (letadlech, rychlovlacích, obřích lodích a nákladních vozech), rozlehlých elektrárnách, důležitých finančních, bezpečnostních a obraných systémech a v neposlední řadě důležitých medicínských systémech ztráty způsobené jakýmkoli porušením jejich funkce mohou dosáhnout katastrofických rozměrů.
Protože nás obecně neobyčejně zajímá funkční spolehlivost a bezpečnost zejména dopravních systémů,
musíme si položit otázku, jak se do jejich funkční spolehlivosti a bezpečnosti promítá spolehlivost a bezpečnost této interakce.
Je pravdou, že v historii vývoje umělých systémů byla období, kdy funkční spolehlivost a bezpečnost dopravních systémů samých byla poměrně nízká a interakce s lidským činitelem působila jako zajištění (vzpomeňme jen na příslovečného muže s červeným praporkem, varujícího chodce před nebezpečím představovaným prvními samohybnými vozidly).
Prudký rozvoj technických systémů v posledních desetiletích a vzestup jejich dokonalosti a složitosti však vedl až k současné situaci, kdy působení lidského činitele se obecně jeví být nejslabším článkem řetězu člověk - umělý systém. Zkušenost i statistika ukazují, že jen velmi malé procento nehod a havárií je ve skutečnosti způsobeno ryze technickými příčinami a za naprostá většina z těchto mimořádných událostí má svůj kořen v nedostatečné funkční spolehlivosti lidského činitele.
Přitom ovšem musíme vzít v úvahu, že současné technické systémy operují obecně s mnohem většími energiemi, hmotami a ekonomickými hodnotami, než tomu bylo dříve a i když jejich vlastní funkční spolehlivost bývá značně vysoká,
selhání jejich operátorů (nebo též chyby jejich uživatelů) mohou mít (a bohužel často též mají) proto mnohem závažnější důsledky. Příkladů je možno uvést velké množství, od nehod na silnicích a železnicích, přes letecké havárie až po katastrofy v silničních tunelech.
Proto je již poměrně dlouho problematika spolehlivosti interakce lidského činitele s technickým systémem předmětem soustředěné pozornosti, u nás i v zahraničí. Zejména se to pak týká spolehlivosti funkce řidičů a pilotů dopravních prostředků, kde se důsledky selhání lidského činitele projevují nejmarkantněji. Americké dopravní statistiky uvádějí, že asi 15% nehod na silnicích v USA je způsobeno poklesem pozornosti řidičů a nástupem tzv. mikro-spánků. Lze soudit, že u nás bude platit podobný údaj, i když oficiální statistiky v tomto směru nejsou k dispozici.
Přitom lze navíc konstatovat, že zatím co v průběhu historie se spolehlivost technických systémů samých silně zvýšila díky jejich soustavnému zdokonalování, pokud jde o spolehlivost interakce lidského subjektu s nimi, je situace spíše opačná.To však není tím že by se lidský subjekt postupně stával méně funkce schopný a odolný (zde je to díky výchově a výcviku spíše naopak), ale proto, že v interakci s mnohem výkonnějším technickým systémem jsou na něj kladeny nesrovnatelně větší nároky. Rovněž doba, po kterou se interakce lidského subjektu a technickým systémem nepřetržitě uskutečňuje v průměru silně roste.
Na rozdíl od umělých systémů, které, pokud je pro ně zajištěna dostatečná dodávka energie a odvod případných odpadních produktů, mohou fungovat nepřetržitě, lidský subjekt může úspěšně interagovat s umělým systémem pouze po omezenou dobu – pak je nezbytný jeho odpočinek nebo vystřídání.
Hlavní požadavky na operátora pracujícího s umělým systém lze shrnut do následujících kategorií:
a) požadavky na úroveň pozornosti operátora,b) požadavky na rychlost reakce operátora,c) požadavky na správnost rozhodnutí
operátora (splnění těchto požadavků lze ověřovat použitím různých diskriminačních testů).
Mezi těmito třemi zmíněnými hlavními kategoriemi spolehlivosti interakce "operátor - technický systém", existují samozřejmě určité korelace.Přímá korelace existuje mezi požadavky na úroveň pozornosti a na rychlost reakce. Operátoři s vysokou úrovní pozornosti mají zpravidla také odpovídající rychlost reakce a to jak na nenadálé, tak na očekávané podněty. Na druhé straně se však mohou objevit případy, kdy rychlá, téměř impulsivní reakce nemusí odpovídat vysokému soustředění a pozornosti operátora. Někteří lidé mohou totiž reagovat velice rychle, přestože jejich pozornost může být do jisté míry rozptýlena nezbytností sledovat mnoho různých objektů. To se může stát v některých situacích zejména u řidičů, strojvedoucích i u pilotů.
Vysoká úroveň pozornosti vede také ve většině případů velmi pravděpodobně ke správnému rozhodnutí a naopak, jestliže člověk není dostatečně koncentrován, lze předpokládat poměrně nízkou pravděpodobnost jeho správného rozhodnutí.Na druhé straně ovšem v případě velmi rychlé reakce doprovázené nízkou úrovní pozornosti pravděpodobnost nesprávného rozhodnutí vysoce narůstá. Toto je typické obzvláště při silných překvapení, po nichž může u mnohých lidí dojít k přechodu do situací, blížících se panice. Pravděpodobnost nesprávné reakce pak silně vzrůstá.
Snížení úrovně pozornosti jednotlivého operátora může mít různé, vnější i vnitřní příčiny.
Některé z nich mají obecný charakter, intenzita ostatních pak závisí především na individualitě operátora.
Mezi všeobecné podmínky, způsobujících snížení pozornosti patří:- extrémně dlouhá délka služby jednotlivých operátorů bez přestávky- psychické a fyzické vyčerpání- monotónní scéna či obraz, jenž operátor musí sledovat dlouhou dobu- nutnost současně sledovat větší počet objektů- extrémní teplota, v které musí operátor pracovat (příliš vysoká nebo
nízká)- extrémní vlhkost, v které musí operátor pracovat (příliš vysoká nebo
nízká)- extrémní tlak vzduchu- zápach, prašnost atd.
Také události, odvádějící mysl a pozornost operátora, od hlavních problémů mohou snížit jeho pozornost.
Všechny tyto okolnosti v kombinaci s individuálně působícími faktory a eventuální osobní indispozicí operátora mohou způsobit výrazný pokles jeho pozornosti, který případně může vyústit až do nástupu mikro-spánku.
Úroveň pozornosti každého lidského subjektu v průběhu jeho interakce s umělým systémem totiž nevyhnutelně postupně klesá, i když tento pokles nemusí mít vždy nutně monotónní charakter.
Interakce lidského subjektu s umělým systémem může mít rozličný charakter co do poměru jeho fyzické a duševní zátěže. U moderních systémů roste výrazně podíl zátěže duševní (např. rozdíl mezi způsobem zatížení strojvedoucího parní a moderní automatizované elektrické lokomotivy), nicméně v mnoha případech (zejména v leteckých systémech) může mít fyzická zátěž velký význam.
Obecně se sice uvádí, že po 45 až 90 minutách soustředěné, především mentální činnosti pozornost a soustředění lidského subjektu výrazně poklesne,
tato hranice je však silně závislá jak na okolnostech a druhu zátěže, tak na individualitě příslušného subjektu, jeho výchově, výcviku, kondici a vnějších podmínkách.
Problematika související se spolehlivostí interakce umělý systém - operátor není dosud přes veškeré snahy uspokojivě vyřešena. To je nutno konstatovat i vzdor skutečnosti, že se zavádějí složité umělé systémy s uměle zvyšovanou redundancí, obsahující vysoce kvalitní konstrukční prvky a pečlivě navržený soubor záloh. Nové technologie s prvky umělé inteligence sice tak snižují pravděpodobnost vzniku poruchy a prodlužují i životnost příslušného zařízení, ale zároveň jsou jejich použitím kladeny také větší nároky na schopnosti operátora a spolehlivost jeho funkce (operátorem zde rozumíme lidský subjekt, který řídí nebo jiným způsobem přímo zasahuje do umělého systému).
Pod pojmem umělý systém si ovšem můžeme představit nejen
transportní systém, jako je např. automobil (osobní či nákladní, autobus), vlak, loď nebo letadlo,
ale i rozsáhlé elektrárenské, bezpečnostní a obranné systémy.
Na operátora, který pracuje se složitými a výkonnými systémy, jsou obecně kladeny požadavky, zejména co do:
jeho maximální pozornosti a schopnosti soustředění se na daný úkol,
rychlosti řešení vzniklého problému,
správnost vyřešení vzniklého problému.
Tyto tři druby požadavků na lidského činitele, působícího v interakci s umělým systémem spolupůsobí s mnoha vnitřními a vnějšími faktory.
Mezi nejvýznamnější patří: psychický a fyzický stav operátora, délka jeho pracovní doby, klimatické podmínky, v nichž pracuje (teplota, vlhkost,
hluk, prach apod.), celková kvalita jeho pracovního prostředí, monotónnost scény nebo obrazu, který musí sledovat, jiné vlivy odvádějící nebo narušující jeho pozornost.
Jako příklad činnosti operátora lze uvést výkon funkce řidiče motorového vozidla. Během jízdy vozidlem je pozornost řidiče jeho nejdůležitější duševní činností. Neustálé prolínání pozorování okolí i panelu vozidla a ovládacích i kontrolních prvků a provádění různých operací (hlavních a vedlejších úkolů při jízdě) je základní prací řidiče. Pokud se řidič přestane věnovat těmto operacím, může dojít k jeho ohrožení, ohrožení posádky jeho vozidla i ostatních účastníků silničního provozu v jeho okolí.Toto nebezpečí je velmi vážné.
Statistiky nehodovosti silničního provozu v ČR uvádějí od r. 1993 více méně stále narůstající počet nehod – viz Tab. 14.1.
Rok
2000
1994
1995
1996
1997
1998
1999
2000
2001
1355
1 637
1 588
1 568
1 597
1 360
1 455
1 486
1 219
152 157156 242175 520201 697198 431210 138225 690211 516185 464
Počet úrazů Smrtelné
úrazy
úmrtí do 24 hod po úrazu
Následující graf ukazuje, že až do r. 1999 trend těchto nehod narůstal.
Zda po tomto roce jevící se trend poklesu bude mít trvalejší charakter či zda je to jen dočasný výkyv, nelze nyní ještě soudit
Počet nehod v ČR ročně
0
50000
100000
150000
200000
250000
1992 1994 1996 1998 2000 2002
Statistické odhady prováděné v ČR uvádějí, že finanční ztráta, související s jedním smrtelným úrazem činí asi 36,3 mil Kč.
V tom jsou však zahrnuty jen tzv. přímé, primární ztráty. Celkové ztráty, zahrnující i sekundární náklady s úrazem spojené v ČR statisticky zpracovávány dosud nebyly. Metodika zahrnování těchto nákladů není ani v zahraničí jednotná, lze však soudit že mohou činit až trojnásobek nákladů přímých.
Zhruba lze tedy uvažovat o celkové ztrátě cca 100 mil Kč na jednoho člověka, usmrceného při dopravní nehodě.
V celé ČR se tedy jedná o částku cca 1,2x1011Kč ročně.
Jako jednu z hlavních příčin nehod uvádějí zmíněné statistiky tzv. „nesprávný způsob jízdy“ řidičů motorových vozidel. To je zajisté poměrně široká formulace. Do této kategorie jsou podle údajů policie ČR z r. 1998 zahrnuty
nevěnování potřebné pozornosti řízení vozidla - asi 28 %
nedodržení bezpečné vzdálenosti za předchozím vozidlem - asi 23,5 %,
nesprávné otáčení nebo couvání -asi 21,5 %, jízda po nesprávné straně vozovky – asi 27%.
V této statistice (ani v mnoha jiných) se ale neuvádí, co způsobilo, že řidič motorového vozidla nevěnoval potřebnou pozornost řízení vozidla nebo proč jel po nesprávné straně vozovky (v protisměru).
Statistiky nám tedy většinou neříkají, zda šlo o
• náhlou indispozici řidiče, • jeho nadměrnou únavu nebo • pokles pozornosti monotónní jízdou apod.
Přitom ovšem právě únava a monotónní jízda má největší vliv na pokles pozornosti a následnou ospalost.
Statistiky z USA však uvádějí odhady, že poklesy pozornosti způsobují 10 až 15 % všech nehod (některé evropské statistiky uvádějí, že tento podíl je až 30 %). I když vezmeme v úvahu nižší odhady, dostaneme pro ČR částku cca 12 miliard Kč ročně jen pro ztráty, vyplývající ze smrtelných úrazů. V tom ovšem nejsou započítány škody z ostatních nehod, kdy došlo pouze ke zraněním resp. jen k hmotným škodám. Velmi hrubý odhad ukazuje na srovnatelnou částku.
Typické situace, v nichž jednotliví operátoři umělých systémů působí se ovšem značně liší podle druhu uvažovaného systému a způsobu interakce lidského subjektu s ním.
Pokusíme se nyní stručně charakterizovat jednotlivé hlavní kategorie těchto situací pro řidiče pozemních dopravních prostředků:
Velmi početnou a významnou skupinu tvoří řidiči osobních automobilů. Většinou se jedná o amatéry z velmi širokého okruhu obyvatelstva, mužů i žen, ve věkovém rozpětí od 18 let (někdy i méně) až do velmi vysokého věku (mnohde i přes 80 let). Jejich fyzická i psychická průprava pro řízení vozidla je velmi různá, někteří jezdí denně a s jistou rutinou, jiní jen občas a bez rutiny. Zvláštní podskupinu tvoří řidiči s tělesným postižením. Ti mají většinou svá vozidla speciálně upravena. Ovládání vozidla za jízdy bývá pro ně přesto náročnější a nutně je více namáhá. Obecně však platí, že řízení vozidla klade na všechny řidiče více méně stejné nároky, co se týče potřebné úrovně pozornosti.
I když většina z této skupiny řidičů podniká jen poměrně kratší jízdy, kde se poklesy pozornosti únavou z jízdy nemusí příliš projevovat, mnozí z nich však přesto zůstávají za volantem natolik dlouho, že se faktor únavy a poklesu pozornosti již projevuje. Obecně lze soudit, že se tak děje při všech jízdách, delších než asi 150 km, tedy asi nad 2 hod. soustavné jízdy. Mnozí z této skupiny řidičů však podnikají i jízdy značně delší a s faktorem poklesu pozornosti a nebezpečím mikrospánků se nutně střetávají výrazněji, přičemž ovšem sami velmi často působení tohoto faktoru silně podceňují. Statistiky ukazují, že toto je poměrně významnou skupinou příčin nehod, mnohdy velmi vážných.
Také u těch řidičů amatérů, kteří nekonají dlouhé jízdy však hrozí nebezpečí plynoucí z poklesu pozornosti, i když většinou ne až do fáze mikro-spánku. Je to zejména v hustém městském provozu, kdy je jejich soustředění na jízdu rušeno jak rozličnými vnějšími vlivy, tak často i nezřetelným a matoucím dopravním značením a nezřídka i vnitřní nekázní osádky vozidla (rušení komunikací se spolucestujícími, telefonování za jízdy bez hand-free setu, kouření apod.)
Tento faktor vnějšího i vnitřního rušení může značně snížit úroveň pozornosti zejména u méně rutinovaných řidičů, zpomalit jejich reakční rychlost na vnější podněty (zejména na okrajích zorného pole) a zvýšit pravděpodobnost nesprávné reakce. Pokud je však známo, soustavnému výzkumu tohoto faktoru, přesto, že by si to velmi zasloužil, nebylo dosud věnováno dostatek pozornosti.
Další velmi významnou skupinu tvoří řidiči automobilů – profesionálové. Ty lze rozčlenit do několika podskupin, zejména na:
o taxikáře,o řidiče vozidel dopravní obsluhy (zejména
zásobování),o řidiče sanitek, vozů policie, hasičů a
pohotovostních služeb,o řidiče lokálních nákladních vozidel,o řidiče dálkových kamionů. Každá z těchto podskupin má své specifikum a
zaslouží si zvláštní pozornosti.
Pokud jde o taxikáře, lze soudit že obecně by se mělo jednat o zkušené profesionály, kteří mají vysokou rutinu v denním silničním provozu, především městském, jsou schopni se orientovat i v poměrně konfúzních situacích a faktorem poklesu pozornosti nebudou příliš ohroženi. Ukazuje se však, že – zejména v našich současných podmínkách – v této podskupině se kromě vysoce profesionálních řidičů mohou vyskytovat i řidiči ne dosti zkušení, kteří, zejména jsou-li poháněni snahou zajistit si vyšší zisk větším počtem uskutečněných jízd, si mnohdy počínají na vozovce dosti bezohledně a mohou být zdrojem nebezpečí pro ostatní zejména nepředvídatelností svých reakcí a nedodržováním pravidel silničního provozu.
Dále se však také ukazuje, že i vysoce schopní profesionální taxikáři jsou v hustém městském provozu vystaveni únavě a poklesům pozornosti při delším výkonu služby pravděpodobně mnohem více, než řidiči na běžných meziměstských komunikacích.
Rovněž řidiči vozidel dopravní obsluhy působí někdy podobným způsobem, zejména málo ohleduplným parkováním při skládání zboží. Poklesy pozornosti únavou z delších jízd pro ně však nejsou typické.
Řidiči sanitek, vozů policie, hasičů a pohotovostních služeb bývají naopak většinou opravdu zkušení, výkon služby je však někdy vede k razantnímu a bezohlednému způsobu jízdy. Podobně jako u předchozí podskupiny, i pro ně poklesy pozornosti únavou z delších jízd pro ně nejsou typické.
Řidiči lokálních nákladních vozidel naopak nebývají vždy na potřebné úrovni profesionálů. Relativní odolnost a menší zranitelnost jejich vozidel přitom může vést některé z nich k dosti bezohlednému počínání. Jestliže musí vykonávat delší jízdy, mohou být značně vystaveni působení faktoru poklesu pozornosti únavou z jízdy. Toto nebezpečí ještě zvyšuje často velmi málo komfortní interiér jejich řidičských kabin a v nich panující hluk, vibrace a tepelná nepohoda. Lze soudit, že v některých případech se toto nebezpečí u nich může projevovat již při jízdách na několik málo desítek km.
Řidiči lokálních nákladních vozidel naopak nebývají vždy na potřebné úrovni profesionálů. Relativní odolnost a menší zranitelnost jejich vozidel přitom může vést některé z nich k dosti bezohlednému počínání. Jestliže musí vykonávat delší jízdy, mohou být značně vystaveni působení faktoru poklesu pozornosti únavou z jízdy. Toto nebezpečí ještě zvyšuje často velmi málo komfortní interiér jejich řidičských kabin a v nich panující hluk, vibrace a tepelná nepohoda.
Lze soudit, že v některých případech se toto nebezpečí u nich může projevovat již při jízdách na několik málo desítek km.
Řidiči dálkových kamionů jsou poklesem pozornosti a mikro-spánky ohroženi mimořádně. Většinou mají pracovní směny značně dlouhé, 6 i více hodin a ne vždy dodržují režim nezbytných přestávek. Je známo, že velmi zkušení řidiči dálkových kamionů jsou schopni na jim dobře známých rovných úsecích dálnic upadnout do stavu, kdy řídí jen podvědomě a do jisté míry odpočívají, někdy i se skutečně zavřenými očima. Probudí se pak k plnému vědomí po uplynutí doby, po kterou jedou po příslušném rovném úseku. Potíže nastanou, je-li na vozovce neočekávaná překážka – pak na ni takto relaxující řidič nereaguje či reaguje velmi pozdě.
Úroveň pozornosti každého lidského subjektu v průběhu jeho interakce s umělým systémem totiž nevyhnutelně postupně klesá,
i když tento pokles nemusí mít vždy nutně monotónní charakter.
Dříve než se začneme zevrubněji zabývat problémem jevu, který nazýváme mikro-spánkem, musíme si tento pojem poněkud blíže precizovat a definovat.V dosažitelné literatuře můžeme najít množství zcela různých popisů tohoto stavu člověka. Může např. být charakterizován jako stav organismu, ve kterém jsou oči zavřené a bdělost se blíží nule.Někdo zase může rozumět pod pojmem mikro-spánek stav člověka, při kterém bdělost klesá pod určitý limit (hranici).
Existuje několik dalších definic mikro-spánku, které se pohybují mezi těmito dvěma základními pojetími.
Pro naše účely použijeme definici následující:
• Mikro-spánek je takový stav lidského organismu, ve kterém mentální bdělost výrazně snížená a pozornost lidského operátora řídícího libovolný umělý systém na jistý vnější stimul klesá po určitou (maximálně akceptovatelnou) dobu pod daný limit.
Dále musíme jednoznačně rozlišit, co rozumíme pod pojmem bdělost a co pod pojmem pozornost:
• Bdělostí (anglicky „vigilance“) budeme nadále rozumět takový stav mozku, ve kterém je většina jeho mentálních funkcí je prováděna správně a včas a správně. Přitom signály z jeho smyslových receptorů jsou přijímány bez skreslení a bez zpoždění a jsou správně vyhodnocovány.
Pozorností (anglicky „attention“) pak rozumíme jistou formu bdělosti, při které je specifikovaná část mentálních funkcí koncentrována na určitý objekt.
Rozlišení mezi oběma těmito pojmy je velmi důležité.
Bdělost vztahujeme tedy k šíře, případně celkově pojímané mentální funkci mozku, zatím co pojem pozornosti vztahujeme na jistou jeho funkci, případně na skupinu těchto funkcí.
• Ve stavu bdělosti bude lidský operátor může reagovat na všechny přijímané signály.
• Ve stavu pozornosti je však operátor obvykle koncentrován pouze na sledovanou skupinu přijímaných signálů, které jsou dominantní pro funkce (činnosti), jež mají být vykonány. Ve stavu pozornosti může tedy být citlivost operátora k ostatním, nedominantním (sekundárním) signálům snížena.
V jistém smyslu může tedy být pozornost uvažována jako speciální případ bdělosti.
Na druhé straně lze též bdělost interpretovat jako souhrn jednotlivých pozorností.
Diskuze hranic mezi oběma těmito pojmy je dosud značně otevřená a je do jisté míry mimo zaměření těchto přednášek.
Nicméně lze soudit, že budeme-li se na mozek dívat jako na jistý systém, byť mimořádně složitý, je možno jak na jeho bdělost, tak i pozornost na jednotlivé jím sledované jevy pohlížet jako na jisté druhy citlivostí určitých jeho systémových funkcí na změny některých vstupních signálů (podnětů, stimulů).
Obdobně jako pro umělé (technické systémy) je pak možno i zde rozvinout aparát jak diferenciálních tak diferenčních citlivostí, podobně, jak jsme to učinili již dříve.
Rozdíl je však v tom, že zatím co mírou citlivostí umělého systému jsou poměrně jednoduché a dosti snadno vyčíslitelné výrazy, takový reprezentativní aparát není k dispozici ani pro bdělost, ani pro pozornosti.
Protože jejich hodnoty jsou obvykle určovány na základě experimentů na lidech, jsou jako jejich míry, jak uvidíme dále, užívány v podstatě empirické výrazy, výhodné pro reprezentaci reálné situace (např. řidiče vozidla).
Podobně jako v umělém systému platí jisté relace mezi jednotlivými v něm uvažovanými citlivostmi, bude něco analogického platit i pro hodnoty aktuální bdělosti jistého subjektu a aktuální hodnoty jeho jednotlivých pozorností.
Pro lineární elektrické obvody byla S.K. Mitrou již koncem šedesátých let minulého století dokázána velmi důležitá věta o tzv. invarianci citlivostí.
• Je možno se domnívat, že též jistá vážená suma aktuálních pozorností daného subjektu bude do jisté míry invariantní a že jeho celková bdělost jí bude jistým způsobem úměrná.
Mikro-spánek, podobně jako spánek vůbec je velmi složitým neurofyziologickým jevem, k jehož úplnému objasnění zbývá ještě mnoho výzkumné práce. Procesy spánku, vědomí a pozornosti jsou silně individuální a ovlivnitelné nejen geneticky, ale též celkovým vývojem jednotlivce, jeho výchovou a výcvikem, fyzickou i psychickou kondicí i působením požité stravy či farmak. Při řešení problematiky detekce, analýzy a predikce mikro-spánků a zejména pak prevence mikro-spánků však je takové hlubší poznání jejich podstaty a mechanizmů nezbytné.
Předpokládejme nyní pro jednoduchost, že úroveň pozornosti lidského operátora vztažená k jistému vnějšímu stimulu může být měřena nějakou reálnou mírou LAT (z
anglického „Level of Attention“) a vyjádřena odpovídajícím reálným číslem.
a) minimální přijatelná úroveň LATmin mentální
pozornosti lidského organismu LAT silně závisí na
požadavcích, jež je nutno zajistit pro daný systém lidský operátor - umělý systém;
b) nežádoucí pokles pozornosti až mikro-spánek může být ohodnocen zejména podle jeho obecné délky tm a jeho intenzity, měřené hloubkou rozdílu
aktuální hodnoty pozornosti, oproti minimální její přijatelné hodnotě LATms min.
Tento předpoklad musí být očividně doplněn respektování několika dalších faktorů, u nichž zejména následující dva lze považovat za podstatné:
• a) minimální přijatelná úroveň LATmin mentální pozornosti lidského organismu LAT silně závisí na požadavcích, jež je nutno zajistit pro daný systém lidský operátor - umělý systém;
• b) nežádoucí pokles pozornosti až mikro-spánek může být ohodnocen zejména podle jeho obecné délky tm a jeho intenzity, měřené hloubkou rozdílu aktuální hodnoty pozornosti, oproti minimální její přijatelné hodnotě LATms min.
V závislosti na intenzitě poklesu pozornosti LAT mohou zde být rozlišeny následující dva základní stavy:
• Lehký pokles pozornosti – též zvaný mikrospánek s otevřenýma očima
• Hluboký pokles pozornosti, též zvaný mikro-spánek se zavřenýma očima.
Oba tyto stavy mohou být velmi nebezpečné.
V období lehkého poklesu pozornosti, které může trvat poměrně dlouho – mezi časem tLA a časem tms1 – se již začínají projevovat některé negativní důsledky únavy operátora, zejména prodloužení jeho reakční doby a zvýšená pravděpodobnost chybné reakce.
V medicínské terminologii se toto období označuje jako stav „relaxace“ (operátor zde počíná podvědomě odpočívat). Rovněž zorný úhel, ve kterém je schopen dobře vnímat sledovanou scénu se zmenšuje. Lze soudit, že jisté změny mohou nastat i v jeho schopnosti reagovat na akustické stimuly.
Pokud úroveň pozornosti operátora poklesne až pod hranici LAT min, mluvíme o stavu usínání, tzv. „somnolence“. Zde již operátor není schopen vykonávat spolehlivě funkce kontroly systému mu svěřeného.
Po tomto období nastává skutečný mikro-spánek se zavřenýma očima, kdy úroveň pozornosti prudce poklesne až na zbytkovou hodnotu LAT ms min.
Operátor zde již nereaguje na běžné podněty a tedy jeho reakční doba RT teoreticky roste nade všechny meze.
Možnost jeho kontroly systému je minimální, nicméně, pokud shodou okolností nedojde k havárii, může podvědomě a automaticky vykonávat některé základní kontrolní funkce (např. zkušený řidič dokáže i za tohoto stavu udržet vozidlo na vozovce v přímém směru).
Mikro-spánek s otevřenýma očima může trvat značně dlouho a přestože vlastní pozornost operátora je v takovéto situaci stále ještě v rozmezí přijatelné úrovně (jeho skutečné LATmin < LAT < LATmin), může být již tento stav nebezpečný i tím, že tento stav operátora může nenadále zcela změnit ostatní významné parametry (markery) jeho pozornosti a tím silně degradovat jeho schopnost prakticky řídit svěřený umělý systém.
Kromě toho, pokud nedojde již v průběhu lehkého mikro-spánku k nehodě, po nějaké době se často lehká forma mikro-spánku mění na mikro-spánek se zavřenýma očima.
Tento druh mikro-spánku je částečně podobný normální (běžné) REM fázi skutečného nočního spánku, přestože, na rozdíl od něho trvá pouze velice krátkou dobu (obvykle maximálně sekund).
To ovšem při úplném s tím souvisejícím selháním kontroly funkce svěřeného umělého systému může stačit k vzniku havarijní situace.
Operátor ve stavu mikro-spánku se zavřenýma očima totiž již nemůže reagovat na jakékoliv stimuly, vyjadřující změny parametrů systému, který až do vzniku mikro-spánku řídil a zejména též na změny jeho okolí.
Na obr. 14.3 má naznačený průběh poklesu pozornosti monotónní charakter. To však je velmi silně zjednodušená modelová situace.
Ve skutečnosti je tomu tak v laboratoři jen málokdy a v praxi téměř nikdy.
Do reálných průběhů poklesů pozornosti operátora v čase zasahují různé další stimuly, které mohou jeho pozornost více-méně náhodně ovlivnit a mnohdy krátkodobě zvýšit. Celý děj pak může mít charakter, jaký je naznačen např. v obr. 14.4.
Úroveň pozornosti lidského operátora, ačkoli je na obr. 1 i 2 vyjádřena skalární hodnotou LAT, reprezentující určitou úroveň pozornosti reálným číslem, musíme však chápat jako značně komplikovaný jev.
Pro skutečné vyjádření pozornosti se musí uvažovat velký počet NAT parametrů xi, i=1....NAT, stav lidského mozku, jeho bdělost a možnost přechodu k mikro-spánku charakterizujících.
14.3. Základní mechanismy poklesu pozornosti lidského subjektu
Pokud je známo, až dosud nejsou mechanizmy pozornosti lidského subjektu, jeho únavy a postupného přechodu do spánku zcela objasněny. Lze soudit, že při procesu pozornosti se v lidském mozku významně uplatňují signálové oscilace, probíhající neustále mezi neurony cortexu (kůra mozková) a thalamem. Tyto výměny signálů probíhají s velmi vysokou paralelitou, jejíž řád lze odhadnout na 107 až 108. Thalamo-cortikální signály mají složitý vnitřní synchronismus, který se liší podle úrovně
bdělosti a pozornosti
Při přechodu do spánku i při něm v tomto synchronismu dochází ke změnám, lze soudit, že při poklesu pozornosti se tento synchronismus zjednodušuje. Thalamo-cortikální oscilace signálů však probíhají neustále, za bdění i ve spánku a to po celou dobu života lidského subjektu. Navenek se projevují složitým elektromagnetickým polem, vyzařovaným z mozku. To se na povrch hlavy promítá jednak elektrickým potenciálem, který je ovšem místně i časově značně proměnný.
Zatím co na povrchu svazků axonů, spojujících neurony cortexu s neurony thalamu dosahují po nich se šířící impulsy amplitudy asi 70 mV, na povrch hlavy se elektrické pole jimi vytvořené promítá s útlumem přes 60 dB. Podobně je utlumena průchodem k povrchu hlavy i magnetická složka tohoto pole. Vlastní informace je v jednotlivých thalamo-cortikálních signálových cestách přenášena zřejmě především frekvenční modulací impulsů, šířících se v jednotlivých vláknech. Amplituda impulsů se mění jen málo, významné však jsou korelace mezi signály v jednotlivých cestách.
Kromě tohoto zdroje thalamo-cortikálních signálů však zde působí též další mechanizmy vnitřního informačního systému jednotlivých neuronů a to jednak šířením vzruchů podél svazků mikrotubulů tvořících tzv. cytoskelet neuronu (soudí se, že tyto informační cesty mohou pracovat s velmi vysokými kmitočty), jednak poměrně pomalým mechanickým transportem specializovaných biologických nosičů podél axonů. Projevy těchto mechanizmů přenosu informace uvnitř neuronů navenek nebyly však dosud hlouběji zkoumány. Rovněž dosud není známo, jak se v těchto, zřejmě velmi subtilních signálových polích odrážejí celkové stavy mozku, odpovídající jeho pozornosti, resp. jejímu poklesu až mikro-spánku, resp. skutečnému spánku.
Většina dosavadního úsilí při bádání o bdělosti a spánku se soustředila na analýzu elektrického pole, vyzařovaného na povrch hlavy lidského subjektu.
Toto pole má amplitudy signálů několik až několik málo desítek V a je silně časově i místně proměnné. Je generováno několika desítkami až několika stovkami milionů elementárních generátorů, představovaných jednotlivými thalamo-cortikálními oscilacemi signálů a časové řady, jemu odpovídající je možno považovat za kvazi – periodické a kvazi – stacionární děje, odehrávající se především ve frekvenčním pásmu asi 0,5 až 30 Hz.
Soubor všech NAT, parametrů xi, reprezentujících pozornost lidského operátora, vytváří vícerozměrný prostor {X}AT.
Pozice vektoru pozornosti XAT, v tomto prostoru, reprezentuje kvalitu pozornosti jednotlivého operátora. Pro potřebnou analýzu úrovně pozornosti v prostoru {X}AT mohou být použity metodické nástroje již vyvinuté v oboru tolerancí parametrů systému. Všechny parametry pozornosti závisí na čase t.
Ve směru toku času t vektor XAT (t) sleduje jistou
NAT-dimenzionální trajektorii PsiAT(t), kterou zde budeme nazývat křivka pozornosti (pro zidealizovaný případ NAT=3 je křivka zobrazena na obr. 14.5).
Všechny body XAT(t), které odpovídají přijatelné kvalitě pozornosti, vyplňují jistou oblast prostoru {X}AT , zde nazývanou oblastí přijatelné pozornosti RAAT. Tvar a velikost RAAT závisí na individualitě operátora a na jednotlivých požadavcích vzájemného působení člověka a systému.
Protože potřebná analýza RAAT a LAT(t) ve vícerozměrném prostoru {X}AT pro NAT > 3 může být velmi pracná, snažíme se toto číslo minimalizovat.
Pro účely takové redukce jsou vybírány a analyzovány nejvýznamnější parametry (markery) jednotlivých {X}AT.
Určité hodnoty míry vlastností takového zjednodušeného souboru markerů mohou pak být použity pro representaci úrovně pozornosti LAT.
Pro typ její časové závislosti, zobrazený na obr. 14.6, může být použita např. absolutní hodnota |LAT |.
Pro praktickou detekci, analýzu a predikci poklesů pozornosti je však třeba vybrat pouze několik nejvýznamnějších parametrů, které mají všeobecnější charakter.
Návrh tohoto výběru je dále naznačen s tím, že jejich plně reprezentativní a kvalitní výběr bude vyžadovat mnohem detailnější analýzu.
Předběžně zde budeme uvažovat následující čtyři hlavní markery pozornosti:
- dobu poklesu pozornosti pod daný limit, resp. délku mikro-spánku tMS=tms2-tms1 ;
- rychlost reakce sr = RT-1 lidského operátora ve stavu poklesu pozornosti, resp. mikro-spánku s otevřenýma očima na neočekávané situace,
- nejširší úhel alfaob v jakém může být pozorována daná scéna při předpokládaném mikro-spánku s otevřenýma očima
- pravděpodobnost Pcr správné reakce lidského operátora na jistou neočekávanou situaci.
Všechny tyto čtyři markery, jenž budeme nazývat primárními markery pozornosti, mohou být měřeny jako reálné hodnoty tMS , sr, ob a Pcr, a mohou být považovány za dostatečné pro úvodní popis a klasifikaci úrovně pozornosti. Samozřejmě nejsme schopni nakreslit pro ně čtyř-rozměrný graf odpovídající obr. 14.5, resp. 14.6.
Proto se snažíme vyšetřit či a prostoru {X}AT alespoň s přijatelnou přesností aproximovat příslušné dvourozměrné řezy oblastí přijatelné pozornosti RAAT.
K tomu lze použít některé metody obecné teorie tolerancí soustav, jež byly popsány dříve, např. metodu řezů. Na základě znalosti takových řezů je pak dalšími metodami, známými z teorie tolerancí, provést aproximaci hranic příslušné oblasti přijatelné pozornosti.
Úroveň pozornosti lidského operátora, charakterizovaná v příslušném 4 rozměrném prostoru {X}AT body na příslušné LAT(t) trajektorii, je značně komplexním jevem, ovlivněným četnými nezávisle proměnnými, především časem. Dynamiku vývoje poklesu úrovně pozornosti operátora můžeme charakterizovat průběhem trajektorie LAT(t) v prostoru {X}AT.
Body XAT které jsou mimo odpovídající oblast přijatelnosti RAAT odpovídají pak stavům, kdy pozornost operátora poklesla natolik, že její nedostatečná úroveň může způsobit velmi vážné problémy v praxi.
To ve skutečnosti netýká pouze problémů dopravních systémů (řízení aut a vlaků, pilotování letadel a navigování lodí), ale také poklesů pozornosti a mikro-spánků operátorů řídících dopravu (obzvláště nebezpečné mohou být mikro-spánky leteckých dispečerů), elektrárny, elektrické sítě, plynové, olejové a vodní distribuční systémy. Všechny takové neočekávané poruchy v řízení zmíněných dopravních systémů, způsobené nedostatečnou spolehlivostí interakce s člověkem mohou být extrémně nebezpečné.
Navržené 4 markery pozornosti jsou sice značným zjednodušením skutečné situace, uvažovaný jev však vystihují poměrně dobře. Výše navržené posuzování úrovně pozornosti lidského operátora vybranými čtyřmi markery může být však pro praxi stále ještě příliš složité.Proto pro praktické účely mnohde dáváme přednost skalárnímu vyjádření úrovně pozornosti, např. výrazem
LAT = RT-1 Pcr /tMS ………..…….(14.1).
Zanedbáme-li dobu trvání poklesu pozornosti, resp. mikro-spánku a zorný úhel, dojdeme k dalšímu zjednodušení na
LAT = RT-1 Pcr…………………….(14.2),
případně v krajním přiblížení na
LAT = RT-1 ………………..(14.3).
Jako jedna z vhodných maximálně zjednodušených měr pozornosti operátora LA
se tedy jeví převrácená jeho reakční doby RT (z anglického „Reaction Time“).
Hodnota RT je měřena jako časový interval, který uplyne od začátku působení příslušného stimulu (většinou vizuálního či akustického, někdy jejich současnou kombinací, výjimečně i jiného) do ukončení odpovídajícího reakčního pohybu probanda.
Detekce aktuálního stavu pozornosti daného subjektu v průběhu jeho služby vyžaduje, aby vhodné metody byly upraveny tak, že budou slučitelné s podmínkami palubní aplikace. To znamená nejen upravit příslušné snímače a detektory tak, aby byly schopny poskytovat potřebná data spolehlivě v průběhu celé služby daného operátora, ale také aby ho nadměrně neobtěžovaly a nebyly tak samy příčinou jeho únavy. Detekce sama musí být pasivní, tzn. že pozornost operátora musí být měřena, aniž to vyžaduje jeho činnost ovládanou vůli. Z toho důvodu nevyhovují systémy tzv. kontaktů mrtvého muže, dosud běžně užívané např. pro strojvedoucí železničních lokomotiv.
Hodnotu RT lze sice poměrně dobře přímo měřit v laboratoři, její přímé měření za provozu na palubě či na velínu je prakticky nemožné. Zde je nutno použít vhodné nepřímé metody.
Hodnota RT závisí ovšem též na druhu a úrovni stimulu, na příslušného operátora působícího.
Dosavadní laboratorní zkušenosti ukazují, že hodnoty RT na akustický podnět jsou poněkud kratší, než hodnoty RT na podněty vizuální.
To souvisí s kratší a jednodušší cestou a způsobem zpracování informací, kterou používá lidský mozek pro zpracování akustických signálů ve srovnání s cestou a způsoby zpracování, kterými jsou uskutečňovány vjemy vizuální.
Přijatelným kompromisem při výběru zjednodušeného vyjádření úrovně pozornosti, v laboratorních měřeních ještě dosti snadno realizovatelným může být doplnění hodnot RT uvažováním správnosti příslušné reakce probanda. Pak pracujeme se vztahem (14.2). Operátor skutečného systému totiž poměrně často výhody své poměrně rychlé reakce zcela znehodnotit nesprávností svého rozhodnutí, jak na daný podnět reagovat.
V laboratoři tuto situaci obvykle simulujeme prezentováním dvou druhů podnětů, např. náhodně se objevující červený či zelený terč ve vizuálním poli probanda nebo nízký a vysoký tón.
Na palubě dopravního prostředku za provozu použitelnou detekci úrovně pozornosti lidského operátora je možno uskutečnit řadou různých způsobů.
Výzkumy posledních let však ukázaly, že:a) jedním z nejúčinnějších prostředků pro
detekci, analýzu a predikci očekávaného vývoje stavu bdělosti a pozornosti lidského činitele, operujícího s jakýmkoliv umělým, zejména technickým systémem je rozbor elektomagnetického pole, vyzařovaného celým rozsáhlým souborem nervových drah v mozku, zejména pak drah mezi cortexem a thalamem;
b) existují i jiné biologické signály, které lze považovat alespoň z části za signifikantní – tj. za tzv. markery pro podobný účel. Mezi ně patří zejména frekvence mžikání očních víček, vibrace rukou na ovládačích systému (volantu, řídicí páce apod.), elektrický odpor a teplota pokožky, výraz obličeje, teplota dechu;
c) většinu těchto markerů je však nutno považovat za markery sekundární, podpůrné, protože indikace sledovaného jevu z nich jednak není dostatečně specifická, jednak se mohou projevovat s jistým, někdy i velmi značným (až několika minutovým) zpožděním.
d) analýzu elektromagnetického pole vyzařovaného mozkem je možno provádět buď na základě jeho magnetické či elektrické složky. Výsledky jsou více-méně rovnocenné, nicméně měření magnetické složky tohoto pole je mnohem obtížnější.
Na základě toho se výzkum výše zmíněné problematiky soustředil především na detekci a analýzu tzv. elektroencefalografických signálů (dále jen signály EEG).
Z celé řady problémů, s nimiž je nutno se vyrovnat při detekci a analýze těchto signálů, prováděné za účelem klasifikace a predikce vývoje stavu pozornosti lidského činitele považujeme za potřebné upozornit zejména na tyto:
Měření EEG signálů se sice v medicínské praxi provádí již dlouho, samo je však poměrně obtížné, protože je třeba snímat elektrické potenciály o poměrně velmi malé amplitudě v oblasti velmi nízkých kmitočtů a vyrovnat se přitom s proměnlivým elektrickým odporem mezi pokožkou a elektrodou. Ten se mění s fyzickým a psychickým stavem probanda (měřeného lidského subjektu), s parametry vnějšího prostředí i s časem.
Dále je třeba na hlavě nalézt taková místa, kde je měření dostatečně málo ovlivňováno rušivými signály (v medicínské terminologii tzv. artefakty), produkovanými zejména pohyby obličejových a hlavových svalů i pohyby očí. Lze soudit, že pro účely detekce, analýzy a případné predikce poklesů pozornosti a nástupu mikro-spánků k tomu budou vhodné zejména partie hlavy za ušima. Tam lze též očekávat menší potíže s vlasovou pokrývkou hlavy.
Zásadním problémem však zůstává vyřešení techniky snímání tak, aby měření bylo možno konat po dostatečně dlouhou dobu i za provozu v pohybujícím se dopravním prostředku. Podstata tohoto problému není v případných rušivých signálech technického charakteru – dosavadní zkušenosti z měření v jedoucím autě ukázaly, že toto lze poměrně dobře překonat. Rovněž vyvinutá převozná elektronická zařízení se ukázala přijatelně spolehlivá a použitelná.
Hlavní část problému tkví v tom, že dosud je nutno používat kontaktních elektrod, jejichž spolehlivá instalace na hlavu pokusné osoby, tzv. probanda je zdlouhavá, pracná a elektrody pochopitelně probanda obtěžují.
Další problém představuje sám charakter snímaných signálů.
Jak jsme již uvedli, jsou příslušné časové řady v podstatě kvazi-periodické a kvazi-stacionární. Konvenční metody spektrální analýzy lze na ně uplatnit tedy pouze za předpokladu, že neočekáváme přesný a reprezentativní výsledek. Standardní a dosud velmi rozšířené metody Fourierovy spektrální analýzy jsou zejména v neurologii sice používány pro rozbor naměřených časových řad již velmi dlouho a lékařští experti z jejich výsledků dokážou získat řadu cenných poznatků, ty však jsou dosahovány převážně zásluhou jejich zkušeností, invence a talentu.
Otázky ke zkouškám z předmětu Bezpečnost a spolehlivost systémů1.Hlavní složky problematiky bezpečnosti a spolehlivosti systémů 2. Význam problematiky bezpečnosti a spolehlivosti systémů3. Souvislost mezi složitostí a důležitostí systému a požadavky na
jeho funkční spolehlivost a bezpečnost4. Ekonomické, ekologické a společenské aspekty spolehlivosti a
bezpečnosti systémů 5. Čtyři základní přístupy k zajištění bezpečnosti a spolehlivosti
systémů 6. Zvyšování robustnosti řešení systémů 7. Zálohování 8. Minimalizace citlivostí, redundantní systémy 9.Principy predikční diagnostiky 10. Zvyšování spolehlivosti systémů pomocí predikční
diagnostiky
Otázky ke zkouškám 11. Estimace (odhadování) hodnot spolehlivosti 12. Prostor parametrů systému13. Systémové funkce14. Nezávisle proměnné15. Markery16. Oblasti dovolených odchylek17. Oblasti přijatelnosti18. Přímé metody vyšetřování oblastí přijatelnosti19. Numerické metody vyšetřování oblastí přijatelnosti:
deterministické statistické
20. Otázka nezávislosti parametrů systému
Otázky ke zkouškám 11. Estimace (odhadování) hodnot spolehlivosti 12. Prostor parametrů systému13. Systémové funkce14. Nezávisle proměnné15. Markery16. Oblasti dovolených odchylek17. Oblasti přijatelnosti18. Přímé metody vyšetřování oblastí přijatelnosti19. Numerické metody vyšetřování oblastí přijatelnosti:
deterministické statistické
20. Otázka nezávislosti parametrů systému
Otázky ke zkouškám 11. Estimace (odhadování) hodnot spolehlivosti 12. Prostor parametrů systému13. Systémové funkce14. Nezávisle proměnné15. Markery16. Oblasti dovolených odchylek17. Oblasti přijatelnosti18. Přímé metody vyšetřování oblastí přijatelnosti19. Numerické metody vyšetřování oblastí přijatelnosti:
deterministické statistické
20. Otázka nezávislosti parametrů systému
Otázky ke zkouškám 21. Výrobní výtěžnost a výrobní zmetky22. Cenové závislosti23. Optimalizace výrobní výtěžnosti vzhledem
k výrobním, resp. provozním cenám24. Teorie trajektorií (čar) života (life-curve) v prostoru
parametrů, resp. markerů systému25. Základní vlastnosti čar života26. Věta o omezení doby života systémů27. Otevřené a uzavřené systémy28. Centrování návrhu systémů29. Dobře a špatně navržené systémy30. Korekce parametrů systému, mělké, hluboké
Otázky ke zkouškám
31. Restituce a opravy systémů a jejich optimalizace
32. Oblasti neurčitého stavu systémů
33. Predikce čar života
34. Citlivost systémových funkcí podle Bode-ho
35. Diferenciální citlivosti
36. Věta o invarianci citlivostí
37. Vlivy zpětných vazeb
38. Redundantní parametry systémů
39. Diferenční citlivosti – citlivosti na velké změny parametrů
40. Statistické závislosti hodnot parametrů systémů
Otázky ke zkouškám 41. Optimalizace systémů vzhledem k citlivosti
systémových funkcí na změny parametrů (markerů)42. Estimace statistických hodnot spolehlivosti43. Význam estimace spolehlivosti44. Stárnutí45. Zahořování a zabíhání systémů46. Sběr, archivování a zpracování dat z provozu47. Význam působení lidského faktoru v bezpečnosti a
spolehlivosti funkce systémů48. Význam interakce člověk – systém49. Pasivní a aktivní interakce50. Bdělost (vigility) a pozornost (attention),
Otázky ke zkouškám
51. Relaxace, somnolence, mikrospánek
52. Mechanizmy bdělosti, somnolence a spánku
53. Markery pro predikci somnolence a mikrospánků
54. Elektroencefalografické markery a jejich význam
55. Metody predikce markerů
56. Varovací systémy a prevence
57. Projektovaná doba života.
58. Čerpání životnosti
59. Systémy pro sledování čerpání životnosti
60. Optimalizace systémů vzhledem ke spolehlivosti a bezpečnosti
Otázky ke zkouškám 61. Komponenty, které mají kratší životnost než je
životnost celku – vyměňování či modernizování podle úrovně současného poznání a to za provozu či při plánovaných odstávkách (pro údržbu)
62. Význam spolehlivosti kritických komponent, které se během provozu systému měnit nedají.
63. Svědečné programy64. Vystavení vzorků součástí (materiálu) kritických
komponent simulovanému (zvýšenému) provoznímu zatížení vlivem vybraných nezávisle proměnných (např. radiace pro zkoumáni vlivů tzv. radiačního zkřehnutí)
65. Regenerace za provozu - „on-lie“, resp. v systému - „on site“
Otázky ke zkouškám
66. Pasivní nebo aktivní ovlivňování provozuschopnosti systému
67. Meze životnosti jednotlivých konstrukčních prvků systému
68. Princip činnosti systému s implementovanou predikční diagnostikou
69. Diagnostická analýza systému
70. Monitorovací systémy
Otázky ke zkouškám
71. Predikce vzniku chyb ve sledovaném systému
72. Přirozené a umělé systémy
73. Co je to porucha
74. Co je to chyba
75. Co je to postupná porucha
76. Co je to náhlá porucha
77. Co je to občasná porucha
78. Co je to úplná porucha
79. Co je to částečná porucha
80. Co je to havarijní porucha
Otázky ke zkouškám
81. Co je to degradační porucha82. Analýza a predikce časových řad83. Požadavky na úroveň pozornosti
operátora84. Požadavky na rychlost reakce
operátora85. Požadavky na správnost rozhodnutí
operátora
Otázky ke zkouškám
86. Všeobecné podmínky, způsobujících snížení pozornosti operátora systému
87. Požadavky na operátora, který pracuje se složitými a výkonnými systémy
88. Vnitřní a vnější faktory působící na operátora systému
89. Závislost úrovně pozornosti lidského subjektu v průběhu jeho interakce s umělým systémem
90. Schopnost reakce lidského subjektu na předkládané stimuly: ve stavu bdělosti
Otázky ke zkouškám
91. Míry pozornosti lidského subjektu
92. Průběh poklesu pozornosti lidského subjektu a nástupu mikro-spánku
94. Základní mechanismy poklesu pozornosti lidského subjektu
95. Význam signálových oscilací, probíhajících neustále mezi neurony cortexu a thalamem
Otázky ke zkouškám
96. Analýza elektrického pole, vyzařovaného na povrch hlavy lidského subjektu
97. Základní možnosti detekce poklesů pozornosti operátorů dopravních systémů
98. Parametry, vhodné pro praktickou detekci, analýzu a predikci poklesů pozornosti
99. Problematika měření reakční doby
100. Možnosti predikce poklesů pozornosti
