Safety Critical Systems

Question 1

Wat is de functionele veiligheid ?

Answer 1

Functionele veiligheid behelst het vakgebied waarbij door het falen van E/E/EP systemen een onveilige situatie ontstaat.

Question 2

Wat is de moederstandaard van de IEC-standaarden op het gebied van functional safety?

Answer 2

IEC 61508

Question 3

Welke richtlijn (verplichting) bestaat er op het gebied van de procesindustrie in Europa?

Answer 3

Seveso II/III richtlijn.

Question 4

Beschrijf in het kort wat HAZOP inhoudt.

Answer 4

Hazard and Operability Analysis. Wordt uitgevoerd door een multidisciplinair team om mogelijke ongevallen met de bijbehorende risico’s en oorzaken in kaart te brengen.

Question 5

Leg uit wat het SIL-niveau inhoudt.

Answer 5

Het SIL-niveau geeft aan met welke factor de kans op een gevaarlijke gebeurtenis moet worden verkleind om een toelaatbaar risico over te houden.

Question 6

De safety life cycle onderscheidt 3 fasen, welke ?

Answer 6

• Analyse fase (risico analyse en opstellen van safety requirements)
• Realisatie fase (realisatie van de SIS)
• Operation fase (in bedrijf stellen)

Question 7

Wat is een safety Instrumented System (SIS)?

Answer 7

Een Safety Instrumented System (emergency shutdown system) is een beveiligingssysteem dat bij detectie van een gevaarlijke toestand zodanig ingrijpt dat er weer een veilige situatie ontstaat..

Question 8

Noem enkele eigenschappen van bussystemen die een bussysteem geschikt maken voor veilig te functioneren in een safety critical system.

Answer 8

• Nummering van pakketjes.
• Foutdetectie
• Echo terug van een verzonden pakketje.

Question 9

Wat schrijft de IEC-61508 voor omtrent de keuze van de personen die de safety assessment uitvoeren?

Answer 9

Dit team moet onafhankelijk zijn van het team die die de SIS’s realiseren. De mate van onafhankelijkheid wordt bepaald door het SIL-niveau en de consequenties van de ramp.

Question 10

Wat is het verband tussen de failure rate en mean time to failure?

Answer 10

MTTF = 1/λ

Question 11

Noem twee methoden voor het verkrijgen van failures rates en componenten/devices

Answer 11

Via de Tüv (of soortgelijke instelling) of uit een database waarin failures van componenten worden bijgehouden.

Question 12

Schets het verloop van de probability of failure on demand als functie van de tijd (testperiode T)

Answer 12

Tekening 1.

Question 13

Failures van componenten/devices worden in de IEC61508 standaard in 4 groepen opgedeeld, welke ?

Answer 13

• Safe Detected
• Safe Undetected
• Dangerous Detected
• Dangerous Undetected

Question 14

Wat is de betekenis van een SIL-3 certificering van een klep?

Answer 14

Dat deze klep in een SIL-3 systeem mag worden toegepast.

Question 15

Wat is partial stroke testing ?

Answer 15

Het gedeeltelijk testen van een klep door de klep een zeer klein stukje te openen.

Question 16

Bij fault tree analysis gebruikt men twee bekende symbolen. Teken deze symbolen en beschrijf de betekenis.

Answer 16

AND en OR-functie

Question 17

Is FMEA een bottom-up of top-down analyse methode? Geef toelichting.

Answer 17

Een bottom-up techniek. Het begint onderaan bij mogelijke wijzen waarop componenten kunnen fallen.

Question 18

Wat bedoelt men met een 2-00-3 architectuur?

Answer 18

Als twee van de drie devices werken, dan mag het systeem niet falen.

Question 19

Om wat voor defecten gaat het bij de failure rate λs ?

Answer 19

Het gaat om failures waarbij de SIS in werking treedt, terwijl er in werkelijkheid geen gevaarlijke situatie is.

Question 20

Wat is een spurious trip ?

Answer 20

Een ongewenste activering van een SIS bij een ongevaarlijke situatie van het te beveiligen proces.

Question 21

Voor de spurious trip rate λspt gebruikt men vaak de formule:
λspt = λs +λdd
Verklaar waarom de term λDD in deze formule is opgenomen.

Answer 21

Bij detectie van een gevaarlijke fout moet het proces worden stilgelegd omdat de SIS dan niet functioneert en doorgaans zeer gevaarlijk is.

Question 22

Welke failure rates bepalen de kans op een spurious trip ?

Answer 22

λs en λdd

Question 23

Welke failure rate bepaald de probability of failure on demand (λs, λd, λsd, λsu, λdd, λdu)?

Answer 23

λdu

Question 24

Wat wordt er bedoeld met een beta-factor ? Wat moet men doen om die zo klein mogelijk te houden ?

Answer 24

De beta-factor geeft aan welk deel van de failures het gevolg is van een gemeenschappelijk oorzaak.

Question 25

Welke factoren bepalen de vereiste redundantie in de architectuur volgens IEC 61508?

Answer 25

De safe failure fraction (SFF) en het SIL-niveau.

Question 26

De standaard IEC 61508 onderscheidt twee typen (klassen) van devices. Welke ?

Answer 26

Proven in use en not proven in use.

Question 27

Waartoe dient een risk graph ?

Answer 27

Een risk-graph dient om het vereiste SIL-niveau te bepalen.

Question 28

Welke factoren bepalen het SIL-niveau ?

Answer 28

• De demand rate (freq. voorkomen gevaarlijke situatie zonder SIS)
• De consequenties van een ongeval.
• Het blootstellingspercentage.
• De kans dat de consequenties van een ongeval afgewend kunnen worden door adequaat in te grijpen.

Question 29

Voor een 1-00-2 architectuur geldt bij een β van 0:
PFDavg = 1/3 λa λb T^2
Waar komt de factor 1/3 vandaan ?

Answer 29

De factor 1/3 ontstaat door de kans te middelen over de test periode [0, T].

Question 30

Voor een 1-00-2 architectuur is gegeven:
λ1=λ2=5.10^-7 /uur Testperiode = 1,5 jaar.

Bereken de PFDavg in geval:

a) er is sprake van onafhankelijkheid
b) de B-factor gelijk is aan 0,5

Answer 30

a) PFDavg = 1/3 λ^2 T^2

b) PFDavg =
1/2 β x λT + 1/3(1- β)^2 λ^2 T^2

Question 31

Geef de definitie van DC (dianostic coverage) fractie.

Answer 31

DC = λdd / λd

Question 32

Geef de definitie van de SFF (safe failure fraction).

Answer 32

SFF = (λsd + λsu + λdd) / λtot

Question 33

Wat is de HFT van een 2-00-3 architectuur ?

Answer 33

HFT =1

Question 34

Wat is het verschil tussen een “fault” en een “failure”?

Answer 34

Een fault (bijvoorbeeld programmeerfout) hoeft niet te leiden tot een situatie waar het systeem niet meer volgens de specificaties functioneert.

Question 35

Geef drie voorbeelden van C-codering die in MISRA-C niet toegestaan zijn.

Answer 35

int x;

if(x++ > 8)…..; else ….

for(F=0.0; F

Question 36

Wat wordt er bedoeld met multiple condition decision coverage (MC/DC) ?

Answer 36

Voor elke samengestelde booleaanse uitdrukking moeten alle true/false combinaties getest worden.

Question 37

Leg uit dat statement-coverage geen path-coverage impliceert.

Answer 37

Tekening 2.

Question 38

Wat is decision coverage ?

Answer 38

Bij het testen wordt voor elke beslissing (if then else) de then (true) en else (false) getest.

Question 39

Gegeven zijn 8 databits: 11110010. Bereken de pariteitsbits volgens de Hamming-codering.

Answer 39

geen antwoord

Question 40

Wat wordt er bedoeld met level A in DO178B/C

Answer 40

Level A is het allerhoogste niveau aangaande de consequenties van een ongeval Bij level A gaat het om een catastrofale ramp.

Question 41

Teken het V-model voor software development volgens IEC61508

Answer 41

Tekening 3.

Question 42

Op het gebied van functionele machineveiligheid zijn er twee belangrijke normen. Noem een belangrijk verschil tussen deze twee normen.

Answer 42

De iso norm (iso 13849) werkt met performance levels (PL) en de IEC norm (IEC 62061) werkt met SIL levels.

Question 43

Wat is het verschil tussen een norm en een richtlijn?

Answer 43

Richtlijn moet verplicht aan worden voldaan. Normen zijn niet verplicht. Normen geven aan hoe aan een richtlijn voldaan kan worden.

Question 44

Bereken het testinterval voor een SIL 1 safety-toepassing met:
een sensor met MTBF=60 jaar,
en veiligheidsklep met MTBF=30 jaar,
een veiligheidsplc met een PFD van 10^-6; testperiode 10 jaar,
alle equipment is proven in use.

Answer 44

T

Question 45

Wat houdt de lock-step technologie voor safety microcontrollers in?

Answer 45

Elke instructie wordt in twee CPU-cores gelijktijdig uitgevoerd. Na afloop van elke instructie vindt er een controle plaats of de resultaten van beide cores gelijk zijn.

Question 46

Beschrijf in het kort wat de standaard DO178C inhoudt.

Answer 46

DO178C is een norm voor het ontwikkelen van safety critical software voor de luchtvaart-branche.

Question 47

Geef een beknopte beschrijving van FMEA.

Answer 47

Failure Modes and Effects Analysis. Men onderzoekt alle mogelijkheden waarop componenten kunnen falen en per daalwijze wordt onderzocht wat de mogelijke gevolgen kunnen zijn..

Question 48

Hoe ontstaan soft errors in het geheugen?

Answer 48

Kosmische straling.

Question 49

Bij welk type geheugen treden er nauwelijks soft errors op ?

Answer 49

MRAM geheugen.

Question 50

In welke gevallen wordt het SIL-niveau gedefinieerd in termen van PFH (probability of failure per hour) in plaats van pfd (probability of failure on demand).

Answer 50

High demand rate en continuous mode of the safety function.