Contenuto
Ti trovi in: HOME »Programmi, progetti e risultati »I progetti »PRIN - Programmi di ricerca di Rilevante Interesse Nazionale»Programma di ricerca»Unità di ricercaINIZIO_TESTO_DA_INDICIZZARE
UNITA' DI RICERCA
italiano - english
Bibliografia
[1] A.Avizienis, J.C.Laprie, B.Randell and C.Landwehr, “Basic concepts and taxonomy of dependable and secure computing”, IEEE Trans. on Dependable and Secure Computing, Vol.1, No.1, pp.11-33, January - March 2004.[2] D.M.Nicol, W.H.Sanders and K.S.Trivedi, “Model-based evaluation: from dependability to security”, IEEE Trans. on Dependable and Secure Computing, Vol.1, No.1, pp.48-65, January - March 2004.
[3] W.Bartlett and L.Spainhover, “Commercial fault tolerance: a tale of two systems”, IEEE Trans. on Dependable and Secure Computing, Vol.1, No.1, pp.87-96, January - March 2004.
[4] J.C.Laprie, “Dependable computing and fault tolerance: concepts and terminology”, Digest of papers of the IEEE International Symposium on Fault-Tolerant Computing, pp.2-11, 1985.
[5] C.J.Price and N.S.Taylor, “Automated multiple failure FMEA”, Reliability Engineering & System Safety, n. 76, pp.1-10, 2002.
[6] J.Hlavicka, S.Rocek and P.Herout, “Evaluation of process controller fault tolerance using simulation”, Simulation Practice and Theory, n.7, pp.769-790, 2000.
[7] B.George, “Power management: enabling technology for next-generation electronic systems”, Proceed. of the IEEE Applied Power Electronics Conference and Exposition, Vol.1, pp.1-6, 2001.
[8] M.B.de R.Correa, C.B.Jacobina, A.M.N.Lima and E.R.C.da Silva, “A three-leg voltage source inverter for two-phase AC motor drive systems”, Proceed. of the IEEE Annual Power Electronics Specialists Conference, pp.1458-1463, 2001.
[9] W.Elmenreich, W.Haindinger and H.Kopetz, “Interface design for smart transducers”, Proceed. of the IEEE Instrumentation and Measurement Technology Conference, pp.1642-1647, 2001.
[10] M.Clegg and K.Marzullo, “Predicting physical processes in the presence of faulty sensor readings”, Proceed. of the Annual International Symposium on Fault-Tolerant Computing, pp.373-378, 1997.
[11] H.Kopetz, “The design of fault-tolerant real-time systems”, Proceed. of the EUROMICRO Conference on System Architecture and Integration, pp.4-9, 1994.
[12] R.Isermann, “Supervision, fault-detection and fault-diagnosis methods – An introduction”, Control Engineering Practice, Vol.5, No.5, pp.639-652, 1997.
[13] R.J.Patton and J.Chen, “Observer-based fault detection and isolation: robustness and applications”, Control Engineering Practice, Vol.5, No.5, pp.671-682, 1997.
[14] S.Leonhardt and M.Ayoubi, “Methods of fault diagnosis”, Control Engineering Practice, Vol.5, No.5, pp.683-692, 1997.
[15] M.Blanke, R.Izadi-Zamanabadi, S.A.Bogh and C.P.Lunau, “Fault-tolerant control systems – A holistic view”, Control Engineering Practice, Vol.5, No.5, pp.693-702, 1997.
[16] R.Isermann and P.Ballé, “Trends in the application of model-based fault detection and diagnosis of technical processes”, Control Engineering Practice, Vol.5, No.5, pp.709-719, 1997.
[17] T.Nakamimikawa, Y.Morita, S.Yamaguchi, S.Ishikawa, Y.Miyazaki, “High performance fault tolerant computer and its fault recovery”, Proceed. of the IEEE Pacific Rim International Symposium on fault-Tolerant Systems, pp.2-6, 1997.
[18] A.D.Singh and S.Murugesan, “Fault-tolerant systems”, IEEE Computer, Vol.23, Issue 7, pp.15-17, July 1990.
[19] V.P.Nelson, “Fault-tolerant computing: fundamental concepts”, IEEE Computer, Vol.23, Issue 7, pp.19-25, July 1990.
[20] R.Geist and K.Trivedi, “Reliability estimation of fault-tolerant systems: tool and techniques”, IEEE Computer, Vol.23, Issue 7, pp.52-61, July 1990.
[21] J.J.Gertler, “Survey of model-based failure detection and isolation in complex plants”, IEEE Control Systems Magazine, Vol.8, Issue 6, pp.3-11, Dec. 1988.
[22] R.Isermann, “Fault diagnosis of machines via parameter estimation and knowledge processing – Tutorial paper”, Automatica, Vol.29, No.4, pp.815-835, 1993.
[23] E.Y.Chow and A.S.Willsky, “Analytical redundancy and the design of robust failure detection systems”, IEEE Trans. on Automatic Control, Vol.AC29, No.7, July 1984.
[24] G.Despotou and T.Kelly, “Extending the safety case concept to address dependability”, Proceed. of the International System Safety Conference, pp.645-654, 2004.
[25] G.Buja, S.Castellan, R.Menis and A.Zuccollo, “Dependability of safety-critical systems”, Proceed. of the IEEE International Conference on Industrial Technology, cd rom, 2004.
[26] G.Spiegelberg, A.Schwarzhaupt, O.Gehring, A.Sulzmann and O.Rooks, “Using drive-by-wire technology to design integrated power train modules”, Proceed. of the American Control Conference, pp.3719-3728, 2002.
[27] R.Isermann, R.Schwarz and S.Stolzl, “Fault-tolerant drive-by-wire systems”, IEEE Control System Magazine, pp.64-81, 2002.
[28] J.Smith, S.Russel and M.Looi, “Security as a safety issue in rail communications”, Proceed. of the Australian Workshop on Safety Critical Systems and Software, pp.1-10, 2003.
[29] H.G.Moody, L.F.Sanders and T.Griffith, “Locomotive electronics system integration architecture”, Proceed. of the ASME/IEEE Joint Railroad Conference, pp.83-85, 1992.
[30] S.Kiriczi and E.Schnieder, “Possibilities of failure detection and identification (FDI) in a train localization system”, Proceed. of the ASME/IEEE Joint Railroad Conference, pp.141-145, 1994.
[31] C.Hennebert and G.Guiho, “SACEM: a fault tolerant system for train speed control”, Digest of papers of the IEEE International Symposium on Fault-Tolerant Computing, pp.624-628, 1993.
[32] B.Pei and Y.Ming, “An embedded fail-safe interlocking system”, Proceed. of the IEEE International Symposium on Fault-Tolerant Systems, pp.22-27, 1997.
[33] D.Tang, M.Hecht, J.Agron, J.Miller and H. Hecht, “Engineering oriented dependability evaluation: MEADEP and its applications”, Proceed. of the IEEE International Symposium on Fault-Tolerant Systems, pp.85-90, 1997.
[34] Railway applications – Specification and demonstration of reliability, availability, maintainability and safety (RAMS), IEC Standard 62278, 2002.
[35] Gestione della fidatezza – Parte 3: guida all’applicazione – Sezione 1: tecniche di analisi relative alla fidatezza: guida alla metodologia, norma italiana CEI 56-10, 1995.
[36] Terminologia sulla fidatezza e sulla qualità del servizio, norma italiana CEI 56-50, 1991.
[37] Metodi di analisi per l’affidabilità dei sistemi. Procedura di analisi dei modi e degli effetti di guasto (FMEA), norma italiana CEI 56-1, 1997.
Programma di ricerca
Progettazione orientata alla fidatezza (dependability) di apparecchiature elettriche a bordo dei convogli ferroviari.Università di riferimento
Università degli Studi di TRIESTE - ELETTROTECNICA, ELETTRONICA ED INFORMATICA - TRIESTE(TS)Responsabile dell'Unità di ricerca
Roberto MENISDescrizione
Nella presente ricerca ci si occuperà degli aspetti della progettazione orientata alla fidatezza dell'equipaggiamento ausiliario elettrico del materiale rotabile ferroviario.Nei moderni veicoli ferroviari le tecniche di diagnostica sono già molto sviluppate, diffuse e sofisticate ma va detto chiaramente che le procedure e le tecniche per la fidatezza offrono delle prestazioni ben maggiori di quelle per la diagnostica. La diagnostica è uno degli strumenti per ottenere un buon livello di fidatezza. Infatti il nucleo della fidatezza è costituito dalle tecniche di tolleranza alle avarie che si avvale, a sua volta, dei metodi di rilevamento delle avarie cioè delle tecniche di diagnostica.
Il programma di ricerca che verrà sviluppato dall'Unità di Ricerca di Trieste comprende quattro fasi:
1) attività preliminari alla ricerca
2) studio ed applicazione delle procedure per la progettazione orientata alla fidatezza dell'equipaggiamento ausiliario elettrico del materiale rotabile ferroviario;
3) implementazione e realizzazione delle procedure e delle tecniche proposte per rendere "fidato" (dependable) l'equipaggiamento ausiliario elettrico del materiale rotabile ferroviario;
4) verifica per mezzo di simulazione e/o sperimentazione del livello di fidatezza raggiunto dall'equipaggiamento progettato e realizzato con le procedure e le tecniche proposte.
Fase 1)
La fase iniziale comprende tutte le attività preliminari alla ricerca per individuare, attraverso l'indagine bibliografica e la raccolta di informazioni, lo stato dell'arte dei settori coinvolti nella ricerca: equipaggiamento ausiliario elettrico dei rotabili ferroviari, concetto di fidatezza e tutti gli aspetti ad essa collegati.
Per quanto attiene all'equipaggiamento ausiliario elettrico dei veicoli ferroviari è molto importante definire in maniera dettagliata tutti gli ausiliari (sottosistemi) che formano l'intera struttura considerandola, allo stesso tempo, come un unico sistema. E' utile (per gli scopi connessi con la fidatezza) mettere in evidenza soprattutto le funzioni che devono essere svolte dall'equipaggiamento ausiliario elettrico di ciascun veicolo ferroviario (locomotori, carrozze, carri merci, elettrotreni, ecc.). Inoltre vanno rilevate tutte le interazioni degli ausiliari tra loro (definendo eventualmente una gerarchia di funzionamento) e con gli altri equipaggiamenti a bordo del treno (il sistema di trazione e il sistema frenante, per esempio). In sostanza l'equipaggiamento ausiliario elettrico va visto come un sistema distribuito. Lo studio della fidatezza di questi sistemi deve tener conto delle interazioni tra gli ausiliari che li costituiscono.
All'inizio devono essere stabilite le prestazioni qualitative ed eventualmente quantitative di fidatezza in relazione alla qualità del servizio previsto dagli standard dell'ente ferroviario. Devono cioè essere definite le contromisure che il sistema deve essere capace di porre in atto quando avvengono dei guasti e/o delle avarie, ed anche, eventualmente, devono essere quantificate le caratteristiche (affidabilità, disponibilità, manutenibilità) che forniscono una misura della fidatezza, partendo dalle specifiche sul ciclo di vita medio imposte dall'ente ferroviario. Quest'ultima attività della Fase 1 va svolta in collaborazione con le altre unità partecipanti alla ricerca per rendere omogenee le specifiche riguardanti le prestazioni da raggiungere.
Fase 2)
La procedura per il progetto orientato alla fidatezza dell'equipaggiamento ausiliario elettrico può essere articolato in quattro passi.
a) Definizione precisa della struttura, dei modi di funzionamento e delle relazioni tra il funzionamento dei vari ausiliari che costituiscono l'equipaggiamento ausiliario elettrico e definizione dei requisiti di fidatezza.
b) Analisi e definizione dei guasti che possono accadere nell'equipaggiamento ausiliario elettrico. Devono essere considerati anche eventuali interazioni con altri equipaggiamenti; per esempio un guasto all'equipaggiamento di trazione può essere dovuto ad un guasto dell'ausiliario di raffreddamento del convertitore di trazione (il quale fa parte dell'equipaggiamento ausiliario).
c) Analisi dell'origine dei guasti e della propagazione delle avarie tra gli ausiliari, analisi per la valutazione dei requisiti qualitativi e la stima delle misure delle caratteristiche quantitative relativi alla fidatezza dell'equipaggiamento. Deduzione di una gerarchia degli ausiliari critici per la fidatezza, la quale costituisce uno dei criteri per la scelta delle tecniche di tolleranza alle avarie.
d) Aggiornamento della progettazione per ottenere i prefissati requisiti di tolleranza alle avarie per mezzo dell'introduzione di modifiche nel sistema (ridondanze) e della scelta dell'architettura per la gestione delle contromisure susseguenti le avarie. Al termine, nuove valutazione qualitativa e stima quantitativa della fidatezza.
Eventualmente potrebbe essere inserito un quinto passo nella procedura consistente nel riesame della progettazione con modifiche alla struttura dell'equipaggiamento finalizzate a migliorare la fidatezza seguito dalla riapplicazione dei passi c) e d).
Il passo a) è già stato sviluppato nella fase 1. Attualmente l'equipaggiamento ausiliario elettrico di un locomotore (ma anche quello di altri veicoli ferroviari) ha una struttura "tradizionale" in cui c'è un unico convertitore per l'alimentazione di tutti i carichi ausiliari (soprattutto motori, illuminazione e unità elettroniche). In questo caso è facile intuire che i passi b) e c) della procedura assegneranno al convertitore un elevato grado di criticità per cui esso sarà uno degli ausiliari su cui verranno applicate le tecniche di tolleranza alle avarie. Le soluzioni possono essere varie. Duplicazione completa del convertitore (soluzione onerosa). Suddivisione in due convertitori di potenza ridotta ciascuno dei quali alimenta un gruppo di carichi: quello formato da carichi critici e quello formato da carichi non-critici per la fidatezza. Per mezzo di questa soluzione il secondo convertitore può eventualmente sostituire il primo guasto, mantenendo disalimentati i carichi non-critici. Un'ulteriore soluzione usa un convertitore con una unica sezione di potenza dotata di capacità autonoma di tolleranza alle avarie (secondo tecniche analoghe a quelle adottate per i convertitori di alta potenza). In questa soluzione però l'unità elettronica di controllo del convertitore diventa critica e va resa perciò tollerante alle avarie.
I più usuali metodi di analisi per la valutazione dei requisiti di fidatezza, del passo c), sono l'analisi ad albero delle avarie (FTA) e l'analisi dei modi delle avarie e loro effetti (FMEA). Il primo, di tipo deduttivo (dal generale al particolare), il secondo, di tipo induttivo (dal particolare al generale).
Il quinto passo ammette l'opportunità di una revisione della struttura dell'equipaggiamento ausiliario elettrico. Una soluzione "innovativa" sostanzialmente diversa da quella "tradizionale" prevede di dotare ciascun ausiliario di un suo proprio convertitore elettronico. Così invece di un unico convertitore molto critico per la fidatezza, si usa un certo numero (tanti quanti sono gli ausiliari) di convertitori con potenza molto minore. Questa soluzione ha lo svantaggio di usare molti convertitori, per contro ha anche alcuni vantaggi. La potenza dei convertitori è molto inferiore a quella dell'unico convertitore ausiliario della soluzione "tradizionale"; il livello di criticità è sicuramente inferiore (corrisponde a quello del solo ausiliario alimentato); ammette inoltre una versatilità di funzionamento superiore in quanto ciascun convertitore può essere adattato alle esigenze del carico ausiliario alimentato. A questo punto, alla nuova struttura dell'equipaggiamento va applicata la progettazione orientata alla fidatezza: devono essere nuovamente seguiti i passi b), c), d) precedentemente descritti.
Fase 3)
L'obiettivo di questa fase è la simulazione, tramite un opportuno codice di calcolo, dell'equipaggiamento ausiliario elettrico di un locomotore. Poiché l'equipaggiamento è complesso, vengono simulati solo i principali ausiliari (p.es. quelli descritti nella "base scientifica"). Si scelgono due strutture: 1) quella "tradizionale", attualmente più utilizzata, costituita da un unico convertitore da cui tutti gli ausiliari traggono l'alimentazione e 2) quella "innovativa" con la quale ciascun ausiliario trae l'alimentazione da un suo proprio convertitore. Ad entrambe le strutture devono essere aggiunte le "ridondanze" secondo i requisiti di tolleranza alle avarie determinate nella fase precedente.
In questa fase deve essere predisposta anche l'architettura a tre livelli per la realizzazione delle tecniche di tolleranza alle avarie adatta ai sistemi distribuiti com'è l'equipaggiamento ausiliario. I tre livelli sono: 1. Impianto, 2. Unità di rilevamento ed esecuzione, 3. Unità di supervisione. Al primo livello c'è l'equipaggiamento (impianto) con tutti i suoi ausiliari, in cui sono già state anche adottate le "ridondanze" ritenute necessarie. Dal primo livello partono tutte le informazioni necessarie alle unità di rilevamento delle avarie poste al secondo livello. Le informazioni sui guasti dei singoli ausiliari sono inviate poi all'unità di supervisione (nel terzo livello) il quale decide quali contromisure intraprendere. L'unità di supervisione demanda, a sua volta, la generazione delle azioni finali (riconfigurazione o elusione delle avarie) alle unità di esecuzione ancora al secondo livello le quali agiscono sull'equipaggiamento.
La simulazione viene articolata in due parti, ciascuna delle quali sviluppa un aspetto. Il primo aspetto è più strettamente "funzionale". Sono poste in risalto le funzioni svolte da ogni singolo ausiliario, comprese anche le funzioni ridondate, le informazioni sui guasti e i comandi di uscita dal supervisore. Serve per verificare l'efficacia delle tecniche di tolleranza alle avarie poste in atto. Il secondo aspetto pone in evidenza invece la simulazione degli ausiliari elettrici compresi i metodi per la rilevazione delle avarie. Serve per verificare la capacità di rilevamento delle avarie e delle azioni di contrasto alle stesse.
I programmi per la simulazione dei due aspetti sono realizzati per entrambe le strutture dell'equipaggiamento "tradizionale" e "innovativa" (vedi sopra). Come già descritto in precedenza la sezione di potenza del convertitore ausiliario è tollerante alle avarie ma anche la sua unità elettronica di controllo va analizzata, progettata e realizzata con idonea tolleranza alle avarie. Poiché un convertitore con queste caratteristiche può essere usato anche nella struttura "innovativa" è prevista le realizzazione sperimentale di un convertitore formato da una sezione di potenza alla quale venga associata una unità elettronica di controllo a microprocessore dotata delle tecniche di tolleranza alle avarie studiate nella fase 2 del progetto. Questa attività sperimentale viene sviluppata nel Laboratorio di Azionamenti Elettrici del Dip. di Elettrotecnica dell'Università di Trieste (dove opera l'Unità di Ricerca proponente) nell'ambito di una collaborazione di ricerca in atto con la ditta REEL di Ponte di Nanto (Vicenza) esperta nella progettazione e realizzazione di azionamenti elettrici.
Fase 4)
La quarta e ultima fase del progetto è dedicata alla verifica e alla validazione. Innanzittutto si deve verificare che la simulazione dell'equipaggiamento ausiliario elettrico senza i metodi di tolleranza ai guasti svolga correttamente tutte le funzioni previste. Successivamente, dopo aver progettato e realizzato (tramite simulazione) l'equipaggiamento tollerante alle avarie in accordo con le specifiche prefissate, si devono svolgere alcune simulazioni per verificare che esso svolga ancora (in condizioni di operatività normale) tutte le funzioni previste nei tempi stabiliti (questo vale soprattutto per gli ausiliari modificati con le tecniche di tolleranza alle avarie). Se non ci sono errori si passa alla validazione delle tecniche di tolleranza alle avarie implementate. Vengono introdotte nel sistema delle opportune avarie: il tipo ed il luogo dove introdurle dipende dalla tecnica e dal livello di tolleranza che si vuole ottenere. Per ogni avaria va eseguita una simulazione per accertarsi che: a) l'avaria sia stata elusa oppure rilevata correttamente, b) le azioni di contrasto (riconfigurazione) siano efficaci e conformi alle specifiche iniziali.
Questa procedura di verifica e validazione va applicata per entrambe le strutture in esame. Infine una procedura analoga (collaudo) va applicata, con i dovuti adattamenti e cautele, anche alla realizzazione sperimentale del convertitore per l'alimentazione degli ausiliari.
Riassunto delle fasi del progetto.
Fase 1. Attività preliminari alla ricerca. Durata 4 mesi. Costo: 7900 Euro.
Analisi dettagliata dei sottosistemi che compongono l'equipaggiamento ausiliario elettrico dei veicoli ferroviari. Approfondimento degli argomenti riguardanti la fidatezza. Definizione, anche in collaborazione con le altre unità, delle specifiche di fidatezza.
Risultati previsti: Definizione della struttura base dell'equipaggiamento ausiliario elettrico. Consolidamento del concetto di fidatezza. Definizione delle specifiche di fidatezza.
Fase 2. Studio ed applicazione delle procedure per la progettazione orientata alla fidatezza. Durata 8 mesi. Costo: 30000 Euro.
Descrizione della procedura per la progettazione orientata alla fidatezza: analisi dell'origine e propagazione delle avarie e dei guasti. Definizione del tipo di interventi (ridondanze) per rendere gli ausiliari tolleranti alle avarie. Valutazione dei requisiti di fidatezza. Revisione della struttura dell'equipaggiamento ausiliario elettrico per migliorare la fidatezza.
Risultati previsti: Progetto dell'equipaggiamento ausiliario elettrico con strutture "tradizionale" e "innovativa" tollerante alle avarie.
Fase 3. Implementazione e realizzazione delle procedure e delle tecniche proposte per rendere fidato l'equipaggiamento ausiliario elettrico. Durata 7 mesi. Costo: 35000 Euro.
Realizzazione di un programma per la simulazione dell'equipaggiamento ausiliario elettrico dotato delle tecniche di tolleranza alle avarie. Realizzazione sperimentale di una unità elettronica di controllo tollerante alle avarie per il convertitore elettronico degli ausiliari elettrici.
Risultati previsti: Programmi di simulazione dell'equipaggiamento ausiliario elettrico. Convertitore ausiliario e sua unità elettronica di controllo a microprocessore tolleranti alle avarie.
Fase 4. Verifica per mezzo di simulazione e/o sperimentazione del livello di fidatezza raggiunto dall'equipaggiamento progettato e realizzato con le procedure e le tecniche proposte. Durata 5 mesi. Costo: 18000 Euro.
Verifica e validazione delle funzioni e delle tecniche tolleranti alle avarie dell'equipaggiamento ausiliario elettrico (tramite simulazioni) e del convertitore ausiliario (tramite prove sperimentali)
Risultati previsti: Progetto completo (verificato con simulazione) di un equipaggiamento ausiliario elettrico. Procedura di collaudo eseguita sul convertitore ausiliario dotato di unità elettronica di controllo tollerante alle avarie.
