Archiv do 29. června 2010

Autor Příspěvek Signalman_77 Registrovaný uživatel Číslo příspěvku: 787 Registrován: 7-2007 Odesláno Čtvrtek, 24. června 2010 - 17:02:19       Martin2: Ono je třeba rozlišovat základní pracovní režim (u ETCS to je Full Supervision - úplný dohled) a degradované módy. O degradovaných módech nemá cenu diskutovat, podstatný je základní mód. A tam je ETCS téměř dokonalý, diametrálně lepší, než Indusi nebo LS. Zbyněk Registrovaný uživatel Číslo příspěvku: 605 Registrován: 1-2004 Odesláno Čtvrtek, 24. června 2010 - 17:21:32       Marcik: Je pravda, že nejlevnější ETCS zrovna asi není, ale výhodou je, že na jeho rozšíření má zájem také EU. Je tu tedy možnost, že na jeho pořízení bude přispívat, např. náklady na náš pilotní projekt ETCS L2 v ČR jsou ze 75 % hrazeny z fondu EU a zbývajících 25 % hradíme my, resp. SFDI (více např. zde). Typický propagandistický argument. Když už dojdou obecné argumenty, tak se řekne, že to vlastně zaplatí EU, ale to je obrovský omyl. Kdybych tak mohl zveřejnit pravdivé náklady pilotního projektu... Psal jsem tu už několikrát o výši kofinancování v řádů miliard ze zdrojů ČR, které budou chybět jinde a o tom, že stavíme neinteroperabilní verzi 2.3.0d. Navíc ČD opravdu nebudou dávat mobilky za cca 10mil Kč/HV na všechny své prehistorické mašinky. PAUL RED ADAIR Neregistrovaný host Odeslán z: 193.85.188.73 Odesláno Čtvrtek, 24. června 2010 - 17:31:10       ad Signalman_77: ...A tam je ETCS téměř dokonalý, diametrálně lepší, než Indusi nebo LS... Tak jasně, to je logické bo ETCS je jaksi novější věc než INDUSI či LS, tudíž má k dispozici dneska "součástkovou základnu" úplně jiného ražení než byly doby minulé.. Nicméně ať je zabezpečovač jakkoli primitivní - třebas skleněná trubička, kterou rozbíjí vztyčený terčík u návěstidla s návěstí STŮJ při projetí a podobně - mě zajímá jeden důležitý parametr a to je procentuální pokrytí tratí touto - byť třebas primitivní VZ-kou a tady jaksi SŽDC mezi všemi členy UIC dosahuje v pokrytí tratí úctyhodného výsledku = předposledního místo před Srbskem (!!) Takže asi takový nějaký závěr je takový, že je tady vcelku -gh- se o čemkoliv bavit, že... Zbyněk Registrovaný uživatel Číslo příspěvku: 606 Registrován: 1-2004 Odesláno Čtvrtek, 24. června 2010 - 17:46:32       P R A: Až bude ETCS na 1 TŽK, tak to tabulkově hned vylepšíme :-)))) sice to budou využívat 4 mašinky (jo a jedna MUVka :-))))), ale budeme dobří :-) Myslím, že to chce koncepčnější pohled v nasazení vlakového zabezpečovače v ČR a ne propagandistické výkřiky. Mohli bychom se chlubit s GSM-R, kde tabulkově máme hezké pokrytí, ale využití (mimo zmiňované ETCS) je dnes velice slabé a v několika případech dokonce neobsahuje osvědčené funkce TRS. A opět nemluvím o tom, kolik peněz to stálo a ještě bude stát, aby se to nějak začlo používat (viz např. stavba konektivita zapojovačů, atd, atd...). Hajnej Registrovaný uživatel Číslo příspěvku: 3782 Registrován: 5-2002 Odesláno Čtvrtek, 24. června 2010 - 18:14:00       S-77: Žádná ojedinělá náhodná porucha nesmí mít za následek nebezpečný stav. ... To nejsou moje výmysly, ale základní principy moderní zabezpečovací techniky, které jsou shrnuty v normě ČSN EN 50129. Tak to asi máme každej jinou 50129 - já totiž v tý svý čtu toto: Je nutné zajistit, aby systémy SIL 3 a SIL 4 zůstaly bezpečné v případě jakéhokoli druhu ojedinělého náhodného poruchového stavu hardwaru, který je považován za možný. Poruchové stavy, jejichž vlivy byly prokázány jako zanedbatelné, mohou být ignorovány. A to prokázání jako zanedbatelné JE otázka pravděpodobnosti (protože ta pravděpodobnost musí být porovnána s THR), ne že ne !!! Kupříkladu prakticky žádné RZZ nezůstane bezpečné v případě neodpadu nevybuzeného relé první třídy, ale všeobecně se má za to, že taková porucha nenastane. Martin2 Registrovaný uživatel Číslo příspěvku: 2222 Registrován: 8-2005 Odesláno Čtvrtek, 24. června 2010 - 18:30:23       Proč se nechceš bavit o degradovaných módech? Z mého pohledu je úplně jedno zda zmáčknu tlačítko Frei a projedu stůj a nebo se přepnu do degradovaného módu a to stůj také projedu. Z pohledu obsluhy je to skoro to samé. Neznám podrobnosti ani u indusy (třeba omezení rychlosti atd..) ani u ETCS (přepnutí je třeba možné jen za stání). U obou ZZ něco obsloužím a tu červenou projedu. Opět se ptám, jak často se stává, že se nenačte magnet? Nemůžu si pomoct, ale zrovna tohle je právě o té spolehlivosti hraničicí s jistotou. Předpokládám, že příslušné žel. společnosti takovéto analýzy mají zpracované a opravňují je se na toto ZZ spoléhat i při nemalých rychlostech. Jinak 10mega za mašinu je dost šílené číslo, vždyť to je necelá polovina ceny regionohy. Pak takové ZZ podstatně zvýší cenu mašinky. Martin Signalman_77 Registrovaný uživatel Číslo příspěvku: 788 Registrován: 7-2007 Odesláno Čtvrtek, 24. června 2010 - 18:38:56       A to prokázání jako zanedbatelné JE otázka pravděpodobnosti (protože ta pravděpodobnost musí být porovnána s THR), ne že ne !!! Tak to jste na omylu, na velikém omylu!!! Ty vyjmenované konkrétní poruchové stavy, které je třeba v rozborech uvažovat, se vztahují pouze na diskrétní prvky! Jsou uvedeny v příloze C normy 50129. A tato příloha byla stanovena na základě kvalitativních posouzení, nikoli kvantitativních! Z těchto prvků se pak vytváří vyšší celky - obvody s vnitřní bezpečností při poruše, anebo se uvažují samostatně (např. relé I. skupiny bezpečnosti). U obvodů s vnitřní bezpečností při poruše se uvažuje HR = 0 (ačkoliv všichni víme, že ta nula není absolutní). Kde zde máte nějakou pravděpodobnost?!? Pak zde máme druhou kategorii prvků, a to jsou obvody s vysokou hustotou integrace (např. mikroprocesor, hradlové pole nebo jakýkoliv IO). V rozborech bezpečnosti se u této kategorie prvků musí uvažovat, že jakákoliv jejich porucha může být potenciálně nebezpečná - může se projevit jakýmkoliv způsobem (narozdíl od obvodů s diskrétními prvky). Tento stav však NESMÍ způsobit nebezpečí na výstupu systému. Takže je to sichrované ještě jednou funkční jednotkou (kanálem). A znovu se ptám, kde zde máte nějakou pravděpodobnost?!? Pravděpodobnost, resp. četnost nebezpečí (HR), na kterou se pořád odvoláváte, se počítá u vícenásobných poruchových stavů redundantních systémů (např. dvě nezávislé poruchy v obou kanálech systému 2 ze 2)! A ne, že ne! Pokud nevěříte mojí interpretaci, poraďte se s někým z vaší firmy, kdo dělá rozbory bezpečnosti. (Příspěvek byl editován uživatelem Signalman_77.) Signalman_77 Registrovaný uživatel Číslo příspěvku: 789 Registrován: 7-2007 Odesláno Čtvrtek, 24. června 2010 - 19:16:50       Martin2: Proč se nechceš bavit o degradovaných módech? Protože v degradovaném módu jsou si všechny VZ-ty rovny - nefungují, resp. nefungují tak, jak by měly. Je to stejné, jako když budeš tlačit novou Octavii a Trabanta. Víme všichni, že trabant je sice horší auto, ale v danou chvíli ti to bude jedno - budeš ho tlačit úplně stejně, jako tu oktávku. Mmch, i ten degradovaný mód se dá z hlediska bezpečnosti ošetřit tak, že prostě budeš stát, anebo pojedeš jen velmi omezenou rychlostí. Záleží na filozofii konkrétního správce infrastruktury... Opět se ptám, jak často se stává, že se nenačte magnet? A já ti znovu odpovídám, že je mi to šumáč. Prostě zde není splněn základní požadavek technické bezpečnosti, že VZ při poruše musí vyvodit bezpečnou reakci - upozornit strojvedoucího, případně omezit rychlost vlaku nebo vlak zastavit. U LSky a Mirelu tento základní požadavek splněný je. PRA: Myslel jsem, že jste zastáncem ETCS. Už ne? (Příspěvek byl editován uživatelem Signalman_77.) prag Neregistrovaný host Odeslán z: 88.100.223.130 Odesláno Čtvrtek, 24. června 2010 - 20:10:20       No úplně stejně asi ne, Trabanta budu rozhodně tlačit snadnějc a radši, protože je o půlku lehčí. Hajnej Registrovaný uživatel Číslo příspěvku: 3783 Registrován: 5-2002 Odesláno Čtvrtek, 24. června 2010 - 20:43:27       S-77: Tak to jste na omylu, na velikém omylu!!! Ty vyjmenované konkrétní poruchové stavy, které je třeba v rozborech uvažovat, se vztahují pouze na diskrétní prvky! Jsou uvedeny v příloze C normy 50129. A tato příloha byla stanovena na základě kvalitativních posouzení, nikoli kvantitativních! Obávám se, že trpíte fachslepotou. To, že se nějaký druh poruchy do té normy jako vyjmenovaný nenapíše, není dáno tím, že pachatel normy polkl výkal Šalamounův, nýbrž prostě a jedině proto, že někde existuje dostatečně mohutný soubor statistických dat (byť třeba i neformální) zvaný provozní zkušenost. U obvodů s vnitřní bezpečností při poruše se uvažuje HR = 0 (ačkoliv všichni víme, že ta nula není absolutní). Kde zde máte nějakou pravděpodobnost?!? No bodejť bych ji tam měl, když mi ji vzývači vnitřní bezpečnosti zabili přímo před očima - co jiného asi ta formulace "se uvažuje 0, ačkoliv víme, že není absolutní" znamená...?!? Hajnej Registrovaný uživatel Číslo příspěvku: 3784 Registrován: 5-2002 Odesláno Čtvrtek, 24. června 2010 - 20:47:59       prag: No úplně stejně asi ne, Trabanta budu rozhodně tlačit snadnějc a radši, protože je o půlku lehčí. Kolega Signalman ani netuší, jak trefné přirovnání nevědomky vyrobil. Když mi práskne LS90, zpravidla postačí po zastavení vypnou, zapnout a jede se. Když mi práskne ETCS, tak to dost často znamená nový Start od mission s nejméně minutou klofání. A nedejbože když to EVC msím restartovat, to si pak počítá nohy minut několik. Takže občas ne Trabant a Oktávka, ale Trabant a Tatrovka... Petr_Šimral Registrovaný uživatel Číslo příspěvku: 2769 Registrován: 5-2002 Odesláno Čtvrtek, 24. června 2010 - 22:27:46       ad Signalman: A já ti znovu odpovídám, že je mi to šumáč. Prostě zde není splněn základní požadavek technické bezpečnosti, že VZ při poruše musí vyvodit bezpečnou reakci - upozornit strojvedoucího, případně omezit rychlost vlaku nebo vlak zastavit. U LSky a Mirelu tento základní požadavek splněný je. Co to tady povídáte za bludy? Když dojde k poruše traťové části VZ, tak jediné, co budete muset je snížit na 100 km/h a periodicky potvrzovat bdělost. Nenačte - li se magnet Indusi (já to nezaznamenal, ale Mikulda jezdí v Německu o hodně víc), načte se další. Frei vás uvolňuje nad 45 km/h, Befehl vás pouští za červenou. Pro změnu do 40 km/h. A předchozí magnet vám hlídá dojezdovku k návěstidlu na 25 km/h. A hlavně: Němci mají přes 90 procent!!! Zatímco my se pro samé kecy, jaké máme perfektní námi vyvinuté zařízení zmohli na nějakých 23%? A to už vůbec neřeším třeba pomalé jízdy na trati nebo až fakt některý strojvedoucí v Ústí nad Orlicí město směrem k Praze dostane infarkt. Je úplně nádherné, jak se páni zabezpečováci mezi sebou perou, co je lepší. Ale chrání to naší prdel. ECTS je neskutečně drahé a jeho pokrytí jak na tratích či na vozidlech bude mizerné. Indusi mi prostě s vlakem dovolí projet návěstidlo rychlostí nejvýše 25 km/h, to je pro mě důležité. S vysokou pravděpodobností, dopustím - li se fatálního omylu nebudu splácet milióny a nebudy řešit hromady mrtvol mou vinou pořízených. A pro dopravce je důležité, že je tak laciné, že ho fakt může mít každá lokomotiva a pro provozovatele dráhy je tak laciné, že může být magnet i u každého přejezdníku, předvěstníku a i u důležitých ranžírek. Abych jen nehaněl: Mirel se mi docela líbí, ale to pokrytí : -( Velkej Registrovaný uživatel Číslo příspěvku: 93 Registrován: 7-2007 Odesláno Pátek, 25. června 2010 - 00:27:07       Signalman 785: Není zač. 50129 je můj každodenní chleba. Martin2 Registrovaný uživatel Číslo příspěvku: 2223 Registrován: 8-2005 Odesláno Pátek, 25. června 2010 - 08:27:03       ad P.Š. 2769: krásně napsané, snažím se to tu dlouhodobě podávat podobným způsobem, ale bez úspěchu. Prostě někteří nechápou, že na mašinách nepotřebujeme supermoderní zařízení, které stejně nebude na všech tratích, tedy nějakého hlídacího psa, který má spousty rodokmenů a vlastně ani nevíme co je za rasu.. Nám bohatě stačí obyčejný voříšek, který je sice nenápadný, ale když zaváhám, tak je zřetelně nekompromisní. Přeju krásné dohadování a neroztříhejte si občasné průkazy, když budu chodit po kopečkách. Martin Aleš Liesk. Neregistrovaný host Odeslán z: 81.19.47.92 Odesláno Pátek, 25. června 2010 - 08:45:17       Martin2: Nejlépe číslo třeba za OBB, kolikrát se za rok načtou a mají načíst magnety všemi vlaky a z toho počet, kdy díky jakékoliv závadě k načtení nedošlo. No to je přesně ten rozíl mezi "bezpečný" a "spolehlivý". "Bezpečný" řeší, co se má stát, když se magnet nepřečte (a neřeší, jak často se to děje) a naopak "spolehlivý" řeší, kolikrát za rok se nepřečte. když se fíra rozhodne projet stůj, tak co mu v tom zabrání? Základním účelem zabzař je chránit proti lidskému omylu, nikoliv proti zlému úmyslu. Pokud tuto premisu neuvažujeme, je jakákoliv další diskuse z principu nemožná! (neberte to ale osobně, prosím) Sig77: s jedním vaším kolegou, který ETCS vnímá celkem jako bezproblémový projekt. No toho bych chtěl potkat :-) Žádná ojedinělá náhodná porucha nesmí mít za následek nebezpečný stav. Takže relé I. bezp. tř., zdeformovaným plastovým krytem držené v poloze "zpanuto", je podle normy co? Chybí tam ta formulka "náhodná porucha s pravděpodobností větší než zanedbatelnou". že trabant je sice horší auto, ale v danou chvíli ti to bude jedno Nebude. Trabant se tlačí líp než oktávka (či tatrovka). PAUL RED ADAIR Neregistrovaný host Odeslán z: 193.85.188.73 Odesláno Pátek, 25. června 2010 - 08:45:29       ad Petr Šimral: Ohledně národního VZ-tu by zde mohla být docela zajímavá diskuse na téma PROČ JE TO TADY VE SVRABU? Důvodů je myslím hnedle několik: a) Liniový versus bodový VZ = ve vyspělých zemích kde je pokrytí tratí od 70 - 100% je vesměs všude použit bodový systém VZ-ky nikoliv liniový systém (!!) - u liniového systému pokrytí tratí nikdy nedosáhlo ani 50% , spíše max. 40% b) Pochopení rozdílu mezi pojmy vlakový zabezpečovač a zařízení pro kontrolu bdělosti strojvedoucího = to dříve, dneska a ani v budoucnou asi moc lidí "nedává" a nikdy "nedávalo".. c) Naprosto nesmyslná vazba vlakového zabezpečovače na konkrétní druh (typ) traťového zab. zař. = myšlen je pochopitelně automatický blok. d) Celkové naprosto nesmyslné ryze úřednické pojetí dělící nasazení VZ-ky na jednotlivých tratích podle jejich traťové rychlosti do a nad 100 km/h (= uzákoněno v Dopravním řádu drah alias vyhláška č. 173/1995 Sb.) ...pak možná silný vliv měl historický vývoj (...dejme tomu)...ale na to bych se nevymlouval.. Otázka: Může se to někdy změnit k lepšímu ? Odpověď: Nemůže a nidky se to nezmění pokud budou stále aktuální body a), b), c), d).... Otázka: Je nějaká vůle to změnit ? Odpověď: Aktuálně nulová a pravděpodobně nulová i v následujících 50 letech. Doplníte mě ? Zapomněl jsem na něco důležitého ?... RadekŠ Registrovaný uživatel Číslo příspěvku: 3818 Registrován: 4-2003 Odesláno Pátek, 25. června 2010 - 10:03:18       pro dopravce je důležité, že je tak laciné, že ho fakt může mít každá lokomotiva a pro provozovatele dráhy je tak laciné, že může být magnet i u každého přejezdníku No jenomže tady hodnotíme provozní náklady auta jenom podle nákladů na pneumatiky a zapomínáme na to, že si k těmu gumám taky musím pořídit kompaktibilní auto. V tom Německu taky spolu s tím od 20. let minulého století draze a nákladně rekonfigurovali kolejiště a stavěli či předělávali zz - a žijou z toho dodnes a funguje jim to. Samozřejmě to jde i jinak, ale pak je z toho pouhé Indusi ukazovátko http://spz.logout.cz/zabezpec/ch/vz_ch.html, v rádoby bezpečnější podobě na pár % sítě. O nějakém vychvalování domácích liniových systémů jsem tady neslyšel, ale fakt je, že v době, kdy si němečtí soudruzi hráli hráli s Indusi a hradlovými závěry, tak na Pensylvania Railroad chodil reléový autoblok hodný toho jména a 7 pojmový liniový zabezpečovač. Dovedu si proto docela živě představit, že se na Indusi mimo Německo koukali skrz prsty a taky se to nikde nerozšířilo. Bobo Registrovaný uživatel Číslo příspěvku: 9649 Registrován: 5-2002 Odesláno Pátek, 25. června 2010 - 10:48:47       a copa se stane, když ten důležitej magnet někdo ukradne? jsme v čechách..... jinak dolnění naší VZ o balízi a bodovej systém bylo na spadnutí před rokem 89. kolisti = piráti chodníků neosvětlený cyklista = žádný cyklista jsem nucen používat automobil. na chodníku díky kolistům není bezpečno http://www.stopkoureni.cz/ Aleš Liesk. Neregistrovaný host Odeslán z: 81.19.47.92 Odesláno Pátek, 25. června 2010 - 11:58:54       c) Naprosto nesmyslná vazba vlakového zabezpečovače na konkrétní druh (typ) traťového zab. zař. = myšlen je pochopitelně automatický blok. Tím chcete říct, že LVZ nemůže ze svého principu pracovat mimo autoblok??? Já to vidím tak, že LVZ se nasazoval na autoblokové tratě, protože tam má největší užitek (= jedná se o tratě nejvíce vytížené). Jinak doporučuju se sebrat, vyrazit ne do Pelhřimova, ale do Lubochně, a tam popatřit LVZ navázaný na elmech. Když jsme jezdili před 20 lety se 150.021 a četli neexistující magnety, tak jsem zjistil, že v Lubochni se kóduje, i když je tam elmech. Možná je to i někde blíž, nevím. Mikulda Registrovaný uživatel Číslo příspěvku: 1125 Registrován: 3-2006 Odesláno Pátek, 25. června 2010 - 12:30:49       S77: Nenačtení jednoho magnetu se projeví asi takto: Nenačte-li se 1000 Hz, Indusi práskne z plné traťové 250 m před návěstidlem. Nenačte-li se 500 Hz, Indusi práskne z rychlosti do 70 (85) v úrovni návěstidla. Nenačte-li se 2000 Hz, projedeme okolo návěstidla 35 km/h. Ale je to nebezpečné. Nenačte-li se červený kód na VZ, projedeme okolo návěstidla 100 km/h. Ale je to bezpečné. Upozornění: Příspěvek může obsahovat stopy ironie, cynismu a černého humoru. Vyrobeno v závodě, který zpracovává vzdálené vize, bláznivé sny a šílené nápady. Signalman_77 Registrovaný uživatel Číslo příspěvku: 790 Registrován: 7-2007 Odesláno Pátek, 25. června 2010 - 13:05:46       Petr Šimral: Bludy? A jé, je. To jsem asi pohanil vaši hračku, že? Narážel jsem pouze na to, co se stane, když zmizí informace z traťové části. A také na to, že brdit až po projetí návěstidla bývá někdy už pozdě. Mikulda to pochopil celkem správně. Ještě jsem nezmínil jednu věc, která je sice samozřejmá, ale spoustu lidem uniká. Indusi je ryze bodový VZ a s tím souvisí nižší propustnost tratě, než u liniového LS nebo kvaziliniového L2, případně L1 s radiovým in-fill. Navíc se brzdí jen na jeden oddíl => traťová rychlost (u nás) max. 120 km/hod. Takže na koridory Indusi určitě, ne e. Mikulda: Ohledně těch frekvencí magnetů si nejsem jistý, jestli to uvádíte dobře. Podle Wikipedie se magnety 500 Hz umísťují 250 m před návěstidlo a nejsou prý osazeny na všech tratích. A pokud osazeny jsou, určitě se najde situace, kdy si fíra musí popojet až za ně, blíž k návěstidlu, které je na Stůj. Pak může nějakou dobu čekat a následně to projet. Ano, při projetí se spustí nouzové brzdění, ale to už může být ohrožena VC jiného vlaku. Martin2 a ostatní fírové: Nechme už těch hádanic. Určitě se shodneme na tom, že je lepší jakýkoliv VZ s kontrolou rychlosti, než žádný VZ, resp. VZ pouze s kontrolou bdělosti. Indusi však není můj favorit, důvody jsem vyjmenoval. Když zainvestovat, tak do něčeho perspektivního - a nemusí to v celé síti být nutně ETCS L2, podle mého názoru. RadekŠ Registrovaný uživatel Číslo příspěvku: 3819 Registrován: 4-2003 Odesláno Pátek, 25. června 2010 - 13:07:58       Nenačte-li se červený kód na VZ Nenačítá-li se, protože jde o liniový (=furt)přenos. projedeme okolo návěstidla 100 km/h. Jinak nenačte-li se červený kód, taxe nenačte žádný a rozsvítí se modrý. Takže pokud se nepletu, implikace pro obsluhu jsou stejné, jako by svítil ten červený a je nutno začít mačkat button. Signalman_77 Registrovaný uživatel Číslo příspěvku: 791 Registrován: 7-2007 Odesláno Pátek, 25. června 2010 - 13:17:52       Hajnej, AL: Já jsem se kdysi zařekl, že se s nikým tady už hádat nebudu, ale k prznění základních principů technické bezpečnosti nemůžu zůstat lhostejný. HR a SIL se u ojedinělých poruch prostě nepočítá! Ona ještě existuje norma ČSN EN 61508, která se týká bezpečnosti všech zabezpečovacích systémů (dráha, letectví, JE). Tato norma je však pro drážní zabezpečováky v současné podobě prakticky bezcenná. Není zde uveden imperativ, že žádná uvažovaná ojedinělá porucha nesmí být nebezpečná. To je první rozpor. Dále se zde operuje s pojmy "diagnostiké pokrytí" (= účinnost diagnostického testu) a "podíl nebezpečných poruch". Ve vzorcích pro HR v normě 50129 se uvažuje DC = 1 (optimistický předpoklad) a PNP = 1 (pesimistický předpoklad), resp. norma 50129 tyto pojmy vůbec nezná. Velkej: Ještě jednou Vám moc děkuji. Mohl bych Vás požádat o laskavost? Vysvětlil byste kolegům z AVV věci ohledně technické bezpečnosti? Já už vážně nemám sílu... Mikulda Registrovaný uživatel Číslo příspěvku: 1127 Registrován: 3-2006 Odesláno Pátek, 25. června 2010 - 13:23:55       RadekŠ: je nutno začít mačkat button Nebo pohnout kontrolérem. Ten příklad Indusi 2 a 3 ovšem taky předpokládá zmáčknutí buttonu, jinak práskne 4 s za předvěstí. S77: Budťe si jistý, že jsou dobře. Pokud fíra zastaví za 500 Hz, a poté se rozjede, tak až k návěstidlu max 25 km/h bez možnosti osvobození se. 500 Hz nejsou všude, např. na oddílových návěstidlech se nedávají. Při reko zabzař se ale dávají ve stanici všude. Také je pár tratí absolutně bez magnetů, např. Leipzig - Gera nebo Ruhland - Senftenberg, ale to už je jiná kapitola. Určitě se shodneme na tom, že je lepší jakýkoliv VZ s kontrolou rychlosti, než žádný VZ, resp. VZ pouze s kontrolou bdělosti. Tak na tom se shodneme. Neshodneme se pouze na tom, který z těchto dvou označovat za bezpečný. Upozornění: Příspěvek může obsahovat stopy ironie, cynismu a černého humoru. Vyrobeno v závodě, který zpracovává vzdálené vize, bláznivé sny a šílené nápady. Marcik Registrovaný uživatel Číslo příspěvku: 130 Registrován: 9-2007 Odesláno Pátek, 25. června 2010 - 13:32:48       Mikulda: Nenačte-li se 1000 Hz, Indusi práskne z plné traťové 250 m před návěstidlem. A jakpak se o tom návěstidle mobilka Indusi dozví, když ten magnet nenačte?? Princip Indusi je takový, že když vlak jede k omezující návěsti, tak je magnet aktivní, mobilka jej zaregistruje a začne po fírovi vyžadovat příslušné úkony (potvrzení, snižování rychlosti). Pokud jej ale poruchou nenačte, tak po fírovi nic nechce! -- v tom právě spočívá ta nebezpečnost. Mikulda Registrovaný uživatel Číslo příspěvku: 1128 Registrován: 3-2006 Odesláno Pátek, 25. června 2010 - 14:05:45       Marcik: Předpokládal jsem nenačtení jednoho magnetu, ne dvou. Upozornění: Příspěvek může obsahovat stopy ironie, cynismu a černého humoru. Vyrobeno v závodě, který zpracovává vzdálené vize, bláznivé sny a šílené nápady. Aleš Liesk. Neregistrovaný host Odeslán z: 81.19.47.92 Odesláno Pátek, 25. června 2010 - 14:23:34       Sig> Není zde uveden imperativ, že žádná uvažovaná ojedinělá porucha nesmí být nebezpečná. Stačí doplnit jedno slovo a jsem spokojený :-). V tomhle tqěl náš rozpor. Velkej Registrovaný uživatel Číslo příspěvku: 94 Registrován: 7-2007 Odesláno Sobota, 26. června 2010 - 01:33:49       Signalman: Myslím, že záležitosti kolem technické bezpečnosti se nedají vysvětlit, ale musí se zažít. Myslím tím to, že aby člověk začal chápat podstatu technické bezpečnosti, tak se v oboru musí aktivně pohybovat minimálně dva roky, aby ji začal dostávat pod kůži a i tak ji někteří nikdy pod kůži nedostanou. Díky tomuto poznání chápu postoje lidí, kteří pracují v jiných oborech (důraz na spolehlivost) nebo byli přivedeni k zabezpečovačce s jiným náhledem na bezpečnost (kvantitativní posuzování). Rád si jejich názory poslechnu, poučím se, možná jejich zkušenosti použiji, ale pořád budu na HW psát tabulky uvažovaných poruch dle přílohy C (a někdy i nad rámec této přílohy). Malá vsuvka: kdysi jsem četl, že procesor zabezpečovacího zařízení v optimálním stavu provádí z 80% svého strojového času bezpečnostní testy a ten zbytek je na vlastní funkčnost zařízení. Myslím, že to odpovídá realitě. Pro Hajného: Prý v tom kódovém zámku, co se nachází na dveřích u Vás na patře, je také obvod s vlastní bezpečností při poruše. Není se co divit, bastlil ho zabezpečovák. A já se právě chystám bastlit ovládání ventilátoru na toaletě a abych řekl pravdu, trhalo mi to srdce, když jsem ze schématu odmazával ten druhý procesor. Chtěl jsem se cítit bezpečně, ale co je moc, to je moc. Velkej Registrovaný uživatel Číslo příspěvku: 95 Registrován: 7-2007 Odesláno Sobota, 26. června 2010 - 01:47:51       Pánové od AVV jsou velmi chytří, určitě problematiku technické bezpečnosti chápou, jen jim možná chybí ten pohled zabezpečováka. Hajnej Registrovaný uživatel Číslo příspěvku: 3786 Registrován: 5-2002 Odesláno Sobota, 26. června 2010 - 11:30:15       Velkej: Pánové od AVV jsou velmi chytří, určitě problematiku technické bezpečnosti chápou, jen jim možná chybí ten pohled zabezpečováka. Rozdíl mezi námi a zabezpečováky je ten, že my se ve své profesi návrhářů řídicích systémů vozidel snažíme hledat přijatelný kompromis mezi bezpečností, spolehlivostí a cenou - to proto, aby naše zařízení neudělalo ani průser ani neschopnost, ale aby taky bylo za cenu, za kterou si ho bude někdo ochoten koupit. Zabezpečováci nám z našeho pohledu občas připadají, jako kdyby je spolehlivost ani cena vůbec nezajímala (píšu "připadají", jinak samozřejmě víme, že tomu tak není či aspoň nemělo by být). pořád budu na HW psát tabulky uvažovaných poruch dle přílohy C Další, co nemá úctu ke statistice v podobě dlouholeté provozní zkušenosti, na jejímž základě byla ta tabulka sestavena...? P.S. Jinak navrhuji s ohledem na blížící se prázdniny a dovolené tuto debatu přerušit a pokračovat až v září... Signalman_77 Registrovaný uživatel Číslo příspěvku: 793 Registrován: 7-2007 Odesláno Neděle, 27. června 2010 - 14:57:56       Hajnej: Další, co nemá úctu ke statistice v podobě dlouholeté provozní zkušenosti, na jejímž základě byla ta tabulka sestavena...? Nikoliv. Další, co chápe význam slovního spojení "fail-safe" (bezpečné při poruše). A další, co respektuje platnou normu EN 50129, kterou je nucen při své práci používat. Mmch, co vám tedy brání v tom, prokázat vysokou spolehlivost AVV a následně jej schválit jako bezpečný VZ? Jinak si jaksi nedokážu představit ovládání výhybky založené pouze na superspolehlivém polovodičovém spínači, byť testovaném. Připomínám, že norma C vyjmenovává druhy uvažovaných poruch diskrétních součástek a na procesory se nevztahuje. Respektive se musí počítat s tím, že procesor si při poruše může dělat téměř cokoliv. Proto v systému musí být ještě druhá, nezávislá jednotka, která to bude sichrovat. Porucha jednoho kanálu pak musí být včas detekovaná a systém musí přejít do bezpečného havarijního stavu (aby následně nevznikla porucha i ve druhém kanálu, což by už mohlo být nebezpečné). Vysoká dostupnost ZZ systému závisí na spolehlivosti použitých prvků, na kvalitě návrhu HW a SW, na architektuře systému (2 ze 2, 2x 2 ze 2 nebo 2 ze 3). S horkou zálohou není problém dosáhnout dostupnosti vyšší, než 99,9999%. A to je slušné, ne? Vysoká cena je daná následujími faktory: a) uzavřenost trhu (malý počet dodavatelů ZZ), b) malosériová výroba, c) komplikované schvalovací procesy. Myslíte, že ústup od principu fail-safe by automaticky znamenal nižší cenu ZZ? Možná o trochu ano, ale ne o moc. A dřív nebo později by se stala hromada, které by se dalo přístupem fail-safe zabránit. Pak bych chtěl vidět, čí hlavy by padaly... Ad PS) S Vaším návrhem souhlasím. Možná s tím rozdílem, že já už bych tuhle debatu nejraději ukončil. Svoje argumenty jsem přednesl, Vy také, a ať si každý udělá názor sám. Signalman_77 Registrovaný uživatel Číslo příspěvku: 795 Registrován: 7-2007 Odesláno Neděle, 27. června 2010 - 15:38:00       Velkej: Myslím, že záležitosti kolem technické bezpečnosti se nedají vysvětlit, ale musí se zažít. Moje řeč. To, že si někdo jednou, dvakrát přečtě 50129ku, ještě z nikoho odborníka na technickou bezpečnost nedělá. Stejně tak programátor se nikdy nenaučí programovat tím, že si přečte nějakou učebnici o programování. To se musí zažít. Nedělá mi problém vyslechnout si názory lidí z jiných oborů, ale vadí mi, když se mi někdo snaží nekompromisně narvat klíny do hlavy. Mmch, právě jsem četl výstupy projektu Agatha, to mě taky pěkně nadzvedlo. Zářný příklad, jak to může dopadnout, když byť inteligentní a vzdělaný člověk začne bádat mimo obor, ve kterém je kovaný... Obraťme list. Máte nějakou zkušenost s reakčními systémy? Nedávno jsem dostal aplikační příručku ke 129ce, ve které je uveden příklad reakčního systému. Jestli jsem to pochopil správně, podstata spočívá v tom, že jedna jednotka provádí normální zpracování vstup >> výstup, druhá jednotka pak inverzní zpracování výstup >> vstup. Klíčová je pak komparace dat na straně vstupů, nikoliv na straně výstupů, jak jsme na to zvyklí u složené bezpečnosti při poruše. Hazardní stav na výstupu se připouští pouze po dobu kratší, než je reakce ovládaného prvku. Dále se uvádí, že výhodou reakčního systému je jeho vysoká odolnost vůči poruchám se společnou příčinou (CCF), což je logické, protože každý kanál dělá něco úplně jiného. Já si však nějak nedokážu představit, že by reakční bezpečnost bylo možné použít ve všech případech - např. technologický počítač el. stavědla. To by znamenalo zpětně konvertovat návěstní znaky, závěry výhybek, a jiné stavy venkovních prvků na povely k postavení JC. Ok, ale co časové závislosti? Prostě se mi to inverzní zpracování dat v takovém případě zdá moc složité... Jaký na to máte názor? Signalman_77 Registrovaný uživatel Číslo příspěvku: 796 Registrován: 7-2007 Odesláno Neděle, 27. června 2010 - 17:41:23       Zbyněk: Myslím, že to chce koncepčnější pohled v nasazení vlakového zabezpečovače v ČR a ne propagandistické výkřiky. Jestli si dobře vzpomínám, tak doporučení na vybudování ETCS L2 nedělali žádní zalobovaní hlupáci s demagogickým pohledem na věc, ale nezávislí odborníci z VÚŽ. Dráha pak jejich doporučení akceptovala. A jestli jim chce někdo něco vyčítat, tak ať si napřed vzpomene na to heslo: Po bitvě je každý frajtr generál. Zbyněk Registrovaný uživatel Číslo příspěvku: 607 Registrován: 1-2004 Odesláno Neděle, 27. června 2010 - 19:03:46       S-77: Tvojí narážku neberu osobně, protože jsem tento projekt kritizoval již před 10ti lety (tedy před bitvou), i když uznávám že tehdy hlavně z finančních důvodů... Myslím, že to důležité tu zaznělo, nicméně určitě rád budu pokračovat po prázdninách v další debatě. Zdraví Zbyněk Aleš Liesk. Neregistrovaný host Odeslán z: 89.176.101.98 Odesláno Neděle, 27. června 2010 - 21:54:22       Další, co chápe význam slovního spojení "fail-safe" (bezpečné při poruše). Tudíž další, co ještě nedržel v ruce trvale sepnuté relé I. třídy, protože něco takového podle normy prostě neexistuje Velkej Registrovaný uživatel Číslo příspěvku: 97 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 06:15:03       Signalman: S reakčními systémy jsem se nesetkal. Myšlenka je to zajímavá. Pokusím se něco k tomu vyhledat a vytvořit si názor. AL: Sepnuté relé I. bezp. skupiny (dnes je to podle normy TNŽ 365530 relé kategorie N) jsem v ruce ještě nedržel. Pokud bych ho držel, tak by mě rozhodně zajímalo, proč zůstalo sepnuté. Třeba to nebyla chyba toho relé. A uznávám, že za určitých velmi nepravděpodobných situací může zůstat viset (tyhle relé nejsou moje modla). A některé tyto situace (svaření kontaktu) jsou omezovány požadavkem na jištění obvodu dle výše jmenované normy. Ale třeba já osobně mám z pohledu rozboru bezpečnosti veliký problém s poznámkou 2 u článku 3.1.4.2 normy (resp. s částí textu za slovem "nebo"). Signalman_77 Registrovaný uživatel Číslo příspěvku: 797 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 06:48:47       AL: Také jsem se s tím nesetkal, stejně jako jsem se na vlastní oči nesetkal se zaseknutou výsečí DSŠka. Mám to jen z druhé ruky. Ve všech případech, kdy k tomu došlo, byly porušeny technologické postupy = systematická porucha. A na systematickou poruchu se pravděpodobnost nepočítá. U relé NMŠ mě zarazilo, že zde není zajištěn spoluchod kontaktů (jedna z podmínek směrnice UIC 736 kladená na relé kategorie N). Zároveň není zajištěna nesvařitelnost rozpínacích kontaktů (to je u relé N normální). Tyto dvě vlastnosti by mohly vést k tomu, že některé rozpínací kontakty zůstanou sepnuté spolu se zapínacími. Je sice pěkné, že se nesvařitelnost rozpínacích kontaktů sichruje jištěním, ale směrnici UIC 736 relé NMŠ nevyhovuje. Jinak je celkem jedno, jakým způsobem se k příloze C dospělo, zda empiricky nebo kvalitativním posouzením, co je reálné a co reálné není. Podstatný je výsledek: rozdělení na uvažované a neuvažované poruchy. Velkej: Je to sranda, o reakčních systémech se občas něco napíše, ale prakticky o nich pořádně nikdo nic neví (sebe nevyjímaje). Pokud by se Vám podařilo něco zajímavého zjistit, budu jedině rád, když mi písnete na mail. Předem Vám děkuji. Signalman_77 Registrovaný uživatel Číslo příspěvku: 798 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 07:03:02       Zbyněk: Mám ten dojem, že rozhodnutí o vybudování ETCS L2 padlo ještě před rokem 2000. A hlavně si myslím, že pláčeš na špatném hrobě. Od samého počátku byl na českou dráhu vyvíjen dost silný tlak ze strany EK: "Buď budete mít interoperabilní VZ, anebo vás budou Němci objíždět přes Rakousko a Polsko." Tak nějak to bylo prezentováno... Takže jsme si mohli v podstatě vybrat pouze mezi L1 a L2. PRA: Vaše rozhořčení chápu, i pro mě je tristní, že 20 let po revoluci tady nemáme ani kilometr VZ s kontrolou rychlosti (pilot Ko-Po nepočítám). Jenom jsem se chtěl zeptat, kdy u Vás nastal ten zvrat? Ještě loni jste tu psal, že budovat ETCS L2 bylo to nejlepší možné rozhodnutí. Co se týká ceny, mobilka ETCS není zrovna levná (6 - 10 mil. Kč), ale není to ani desetina z ceny lokomotivy. Betonová loby v tomto státě ročně utopí desítky miliard a my se tady budeme nimrat v miliónech... Jinak doufám, že ta cena mobilky půjde ještě dolů, a když ne, tak ať to EU dopravcům zadotuje, když na tom má takový interest. Zbyněk Registrovaný uživatel Číslo příspěvku: 608 Registrován: 1-2004 Odesláno Pondělí, 28. června 2010 - 07:35:42       S-77: A hlavně si myslím, že pláčeš na špatném hrobě Nepamatuji se, že bych tady na kčku za tento stav někoho konkrétního obvinil, nechť si každý zamete před vlastním prahem, kdo pro to co udělal nebo neudělal a přispělo to k situaci ve které jsme... Chce to trochu objektivity a hlavně reality... Aleš Liesk. Neregistrovaný host Odeslán z: 81.19.47.92 Odesláno Pondělí, 28. června 2010 - 08:44:37       Sig, Vel: už jsem to tu psal (ale tady se psalo věcí... ): šlo o roztavený plexisklový kryt, který zafixoval kontakty v poloze "sepnuto". uznávám, že za určitých velmi nepravděpodobných situací může zůstat viset No a o tom se tu celou dobu bavíme, Mlho... . Že mohou existovat situace velmi málo pravděpodobné, se kterými se prostě nepočítá. Ale norma by měla připouštět jejich existenci (aspoň obecně, tou formulkou "...všechny poruchy s pravděpodobností větší než...", "...všechny uvažované poruchy..." či podobně) Hajnej Registrovaný uživatel Číslo příspěvku: 3787 Registrován: 5-2002 Odesláno Pondělí, 28. června 2010 - 09:42:35       Jejda, to zas byla smršť... S-77: Mmch, co vám tedy brání v tom, prokázat vysokou spolehlivost AVV a následně jej schválit jako bezpečný VZ? Co nám brání? * Sám fakt, že zařízení je od samého počátku určeno k něčemu jinému - to jsme o tom popsali málo papíru (stačí zagooglit)...? * To, že AVV jako jednokanálové zařízení má šanci dosáhnout nejvíc na SIL 2 (přičemž řádově miliony provozních hodin bez průseru tomu celkem odpovídají) a dvoukanálové si nikdo neobjedná (leda jako 100% zálohu pro zvýšení spolehlivosti, nikoliv bezpečnosti), přičemž pro zabezpečovač nic horšího než SIL 4 není dost dobré (s čímž u hlavních tratí souhlasím, ale u vedlejších tratí v tom vidím past vedoucí ke stavu naprosté nevybavenosti ničím kromě kontroly bdělosti). * To, že se ČD (volně citováno) zavázaly směřovat k ETCS a nikdy jinak, čímž pro Vámi naznačované zařízení zmizelo odbytiště. Zajímavé v této souvislosti je to, že ještě někdy v roce 1994 tomu bylo jinak (viz TZ SaZT 3/94), ale pak jak když utne... Jinak si jaksi nedokážu představit ovládání výhybky založené pouze na superspolehlivém polovodičovém spínači, byť testovaném. Tvrdíme snad něco takového? Škoda, že neznáte některá naše zařízení trochu detailněji - pak byste totiž zjistil, že my si to nedokážeme představit ani u ventilů brzdiče nebo u linkových či startovacích stykačů, takže za tím polovodičovým spínačem zvykneme mít ještě odpojovací relé, které odpojuje výstupy jak při zhroucení SW, tak při detekci průrazu spínače (neříká se tomu náhodou reaktivní bezpečnost...?). Má to jednu výhodu a jednu nevýhodu: výhodu v tom, že se nám líp usíná, a nevýhodu v tom, že máme kvůli dalšímu HW vyšší náklady než ta konkurence, která na to dlabe. Jinak je celkem jedno, jakým způsobem se k příloze C dospělo, zda empiricky nebo kvalitativním posouzením, co je reálné a co reálné není. Podstatný je výsledek: rozdělení na uvažované a neuvažované poruchy. Já myslím, že se na účelnosti Přílohy C shodneme - je to mimořádně pragmatický krok, díky kterému odpadá nutnost neustále prokazovat již prokázané. Legislativně požehnanou fikcí prvku definičně nemajícího nebezpečné poruchy plně uznávám jako prostředek k úspoře i tak velkých nákladů na vývoj a schvalování ZZ. Jediné, na čem se neshodneme, je role pravděpodobnosti při jejím vzniku, já ji tam prostě vidím, a pokud Vy tento můj "pohled z boční tribuny" považujete za "nekompromisní rvaní klínů do hlavy", je to spíš Váš problém než můj... Zajímavé je podívat se v této souvislosti do TNŽ 34 2683 (která je překladem UIC 738). Ta o fail-safe chování uvádí to, že je to schopnost v případě poruchy vyskytující se s pravděpodobností nad danou úroveň uvést výstupy dostatečně včas do bezpečného stavu. Zkuste si představit, že byste měl tezi vnitřní bezpečnosti obhájit. Co myslíte, že bude - řekněme právě u relé I. bezpečnostní třídy jako u typického zástupce - vypadat přesvědčivěji: * toto relé bylo zkonstruováno na základě zkušeností X generací zabezpečováků (kvalitativní hledisko) a následně vzorek 100 relé podstoupil 10 miliónů spínacích cyklů při 300% zátěži, aniž by došlo k neodpadu (kvantitativní hledisko), nebo * vzorek tohoto relé dostala do rukou smečka zabezpečováků odkojených samotným prof.Ing. Vendelínem Chytrákem DrSc., dvě hodiny ho obracela jak ta příslovečná opice ořech a pak se jednomyslně shodla na závěru "má vlastní bezpečnost" (odkaz na "je to tak v normě")...? Zbyněk Registrovaný uživatel Číslo příspěvku: 609 Registrován: 1-2004 Odesláno Pondělí, 28. června 2010 - 10:28:57       To, že se ČD (volně citováno) zavázaly směřovat k ETCS a nikdy jinak A to je přesně to špatné a to pověstné vystavení bianco šeku...směřovat se mělo definitivně až po úspěšném provozním ověření... Pánové od AVV: Mohu se zeptat, zda pod Vás také spadá projekt "výstraha při nedovoleném projetí návěstidla". Máme na to téma ve čtvrtek nějakou prezentaci... Asdf Registrovaný uživatel Číslo příspěvku: 1248 Registrován: 5-2007 Odesláno Pondělí, 28. června 2010 - 11:34:02       Zbyněk: "VNPN" je snáď záležitosť ESA. Čo som čítal, tak celé by to malo spočívať v tom, že akonáhle sa za koľajou na ktorú bola postavená vlaková cesta niečo obsadí, tak to začne húkať na obsluhu a cez TRS broadcastiť general stop. Hajnej Registrovaný uživatel Číslo příspěvku: 3791 Registrován: 5-2002 Odesláno Pondělí, 28. června 2010 - 11:57:47       Zbyněk: Mohu se zeptat, zda pod Vás také spadá projekt "výstraha při nedovoleném projetí návěstidla". Nikoliv. Signalman_77 Registrovaný uživatel Číslo příspěvku: 799 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 11:58:36       Hajnej: To, že se ČD (volně citováno) zavázaly směřovat k ETCS a nikdy jinak, čímž pro Vámi naznačované zařízení zmizelo odbytiště. K tomu jednom podotýkám, že jste nebyli jediní, kdo chtěl situaci změnit k lepšímu. Nějaké studie o doplnění bodového přenosu do LS vznikly i na VÚŽ někdy kolem roku 89. Pak se všechno vzdalo kvůli ETCS. Že to házení flinty do žita bylo unáhlené, na tom se jistě shodneme. Jinak si říkám, jestli by nebylo dobré upravit LS-06 a STM-N modul po vzoru Mirelu. Fírové by byli spokojení a nestálo by to mnoho . v případě poruchy vyskytující se s pravděpodobností nad danou úroveň Definic bezpečnosti už jsem četl mnoho. Toto je jedna z nich. Kdybychom ji vzali do důsledku bez dalších souvislostí, tak by to znamenalo, že procesor s MTBF <= 1e-08 [1/h] může být použit jako ZZ se SIL 4. A to není pravda, protože u procesoru se každá porucha bere jako potenciálně nebezpečná, a naopak pojem "neuvažovaná porucha" zde vůbec neexistuje. Ale pomalu ten Váš pohled na věc začínám chápat. následně vzorek 100 relé podstoupil 10 miliónů spínacích cyklů při 300% zátěži, aniž by došlo k neodpadu (kvantitativní hledisko) Ano, tato teze vypadá mnohem věrohodněji . Týká se to však pouze vnitřní bezpečnosti, čili ne procesorů, hradlových polí, apod. Mimo toto téma jsem se Vás chtěl zeptat, zda do budoucna plánujete načítat data přímo z balíz, když už to umíte z EVC? (Příspěvek byl editován uživatelem Signalman_77.) Signalman_77 Registrovaný uživatel Číslo příspěvku: 800 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 12:04:23       výstraha při nedovoleném projetí návěstidla A sakra. Už se vám někdy stalo, že vás něco chytrého napadlo, ale někdo jiný vás předběhl? No nic, skusím to zas s něčím jiným a někdy jindy. Jenom mám jisté obavy, že u KO bude fůra falešných poplachů (jsme zase u toho "bezpečného" obsazení). S PN by to šlo mnohem snáz. (Příspěvek byl editován uživatelem Signalman_77.) Veverka Registrovaný uživatel Číslo příspěvku: 634 Registrován: 5-2004 Odesláno Pondělí, 28. června 2010 - 12:18:46       S_77, Velkej: Kdybyste zjistili něco zajímavého o reakčních systémech, tak si to nenechávejte jen pro sebe Já si to taky moc nedokážu v praxi představit, hlavně u těch složitějších zařízení. Nikdy jsem se po tom důsledně nepídila, ale existuje nějaké ZZ (nebo jeho část), které na tomhle principu funguje? Hajnej Registrovaný uživatel Číslo příspěvku: 3793 Registrován: 5-2002 Odesláno Pondělí, 28. června 2010 - 13:28:33       S-77: Kdybychom ji vzali do důsledku bez dalších souvislostí, tak by to znamenalo, že procesor s MTBF <= 1e-08 [1/h] může být použit jako ZZ se SIL 4. Asi jste chtěl napsat "s MTBF >= 1e08 [h]...? A to není pravda, protože u procesoru se každá porucha bere jako potenciálně nebezpečná, a naopak pojem "neuvažovaná porucha" zde vůbec neexistuje. Nicméně pokud by byla HR tohoto hypotetického*) procesoru skutečně menší než 1e-08 [1/h], tak by tyto byť potenciálně nebezpečné poruchy byly pod mezní pravděpodobností a tudíž nemusí být uvažovány právě tak, jako ty, co nejsou uvedené v příloze C. Bezpečnost je prostě z definice vždy nejméně taková, jako spolehlivost, protože ne každá porucha je nutně nebezpečná. Ale pomalu ten Váš pohled na věc začínám chápat. Jak kdysi poznamenal jeden kolega, ono jde o to se vnitřně smířit s teorií THR... *) Tak velké MTBF si dnes neumíme ani představit, proto nemá smysl pozastavovat se nad závěry plynoucími z předpokladu existence takto vysoce spolehlivého procesoru. PAUL RED ADAIR Neregistrovaný host Odeslán z: 193.85.188.73 Odesláno Pondělí, 28. června 2010 - 15:05:48       ad Signalman_77: PRA: Vaše rozhořčení chápu, i pro mě je tristní, že 20 let po revoluci tady nemáme ani kilometr VZ s kontrolou rychlosti (pilot Ko-Po nepočítám). Jenom jsem se chtěl zeptat, kdy u Vás nastal ten zvrat? Ještě loni jste tu psal, že budovat ETCS L2 bylo to nejlepší možné rozhodnutí. Ano, to pořád platí, když něco instalovat v rámci novostavby nebo přestavby tratě tak jedině perspektivní interoperabilní systém, kterým ETCS bezpochyby je - někdy mám pocit, že se zapomíná na jeho mimoevropské nasazení v Číně, Austrálii či Tunisku...čili nejde jenom o jeden kontinent.. Signalman_77 Registrovaný uživatel Číslo příspěvku: 801 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 15:12:00       Asi jste chtěl napsat "s MTBF >= 1e08 [h]...? Ano, vlastně jsem chtěl napsat, že četnost poruch FR <= 1e-08. Díky za opravu. Nicméně pokud by byla HR tohoto hypotetického*) procesoru skutečně menší než 1e-08 [1/h], tak by tyto byť potenciálně nebezpečné poruchy byly pod mezní pravděpodobností a tudíž nemusí být uvažovány právě tak, jako ty, co nejsou uvedené v příloze C. Hypoteticky by se pak uvažovat nemusely, ale vůbec nic se nezkazí, když uvažovány budou. Ony ty deklarace vysokých MTBF procesorů někdy zavání věštěním z křišťálové koule a kávové sedliny... . Nehledě na to, že existují i vnější vlivy (např. EMI), se kterými výrobce při spolehlivostních testech vůbec nepočítal. Jeden pan profesor dával k dobru historku, jak si u něj jedna firma nechala schválit bezpečný průmyslový automat. Ten se měl v případě nebezpečí odstavovat vybuzením vstupu na log. 1. Že by se taky mohl drát poruchou nebo cizím vlivem přerušit, nějak pánové nemohli pochopit... Tak velké MTBF si dnes neumíme ani představit, proto nemá smysl pozastavovat se nad závěry plynoucími z předpokladu existence takto vysoce spolehlivého procesoru. Paradoxně si tím nejsem jistý zrovna já. Onehdy jsem zjišťoval spolehlivost šestnáctibitu C167. Výrobce mě opakovaně ujišťoval o hodnotě MTBF 500 milionů hodin. Velkej Registrovaný uživatel Číslo příspěvku: 99 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 15:48:16       Signalman 800: Co takhle trojdílné plavky Signalman_77 Registrovaný uživatel Číslo příspěvku: 803 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 15:52:23       Velkej: Myslíte, že je ta funkce nesmyslná? Asdf Registrovaný uživatel Číslo příspěvku: 1249 Registrován: 5-2007 Odesláno Pondělí, 28. června 2010 - 16:22:37       S_77: Ak vezmeme reaktívnu bezpečnosť ako obvod, ktorý nejako funguje, pričom k nemu máme druhý (iný) obvod, ktorý nejakým iným spôsobom kontroluje či prvý obvod nerobí nejaké neprístojnosti a ak také zistí, tak to celé utne, pričom sa sám ale nepodieľa na rozhodovaní, tak dôjdeme skôr k veciam typu poistky a hajného odpínacie relátka, než k tomu, aby sme reaktívne vedeli sichrovať nejaký rozhodovací proces. Signalman_77 Registrovaný uživatel Číslo příspěvku: 805 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 18:26:37       Asdf: Ta reakční bezpečnost je celá trochu složitější. Chudáček ve svých skriptech popisuje dva způsoby, jak ji realizovat: kódováním nebo spojitým testováním. Ale takový popis je dost strohý, pro mě to jsou téměř prázdné pojmy, pokud není uveden příklad. Velmi zajímavý dokument je technická zpráva "PD CLC/TR 50506-2:2009, Railway applications. Communication, signalling and processing systems. Application guide for EN 50129. Safety assurance". Tam je pro změnu reakční bezpečnost popsaná jako dvě jednotky, kde jedna dělá přímé zpracování dat, druhá reverzní (takže ani kódování dat, ani spojité testování). Pak je směrodatná komparace dat na vstupech, nikoliv na výstupech. V každém případě platí, že hazardní stav na výstupu může trvat jen velmi krátkou dobu - kratší, než je reakce ovládaného objektu. Proto tvému příspěvku moc nerozumím... Ono jde také o to, jestli to Hajného odpojovací relátko je v základu přitažené či odpadlé, a zda má atributy prvku s vnitřní bezpečností (čili relé kategorie N). (Příspěvek byl editován uživatelem Signalman_77.) Signalman_77 Registrovaný uživatel Číslo příspěvku: 807 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 18:34:40       Veverka: Hlavně prokazovat bezpečnost takového systému musí být docela mazec... Jestli na něco zajímavého ohledně reakčních systémů narazím, tak Vám dám určitě vědět. Každopádně ta vysoká odolnost reakčních systémů proti poruchám se společnou příčinou, ta je velmi lákavá. Signalman_77 Registrovaný uživatel Číslo příspěvku: 809 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 21:00:53       Veverka: Tak jsem strávil na Googlu něco přes dvě hodiny. Nejlepší materiál, který jsem našel, je tento: Fault injection for quantitative safety validation of software based reactive systems Má to jen malou chybku, je třeba vypláznout 30,- USD. Velkej Registrovaný uživatel Číslo příspěvku: 100 Registrován: 7-2007 Odesláno Pondělí, 28. června 2010 - 21:22:08       Signalman: Ty trojdílné plavky souvisely s větou "A sakra. Už se vám někdy stalo, že vás něco chytrého napadlo, ale někdo jiný vás předběhl? No nic, skusím to zas s něčím jiným a někdy jindy.". Jen jsem si představil Járu Cimrmana (Zdeňka Svěráka ve filmu JC ležící, spící) jak stojí na patentovém úřadě a jediné, co ještě nikdo nevymyslel, byly dvojdílné plavky. Tak jsem navrhl trojdílné. Doufám,že Vás to neurazilo, to nebyl účel. Jako malý kluk jsem neměl při koupání ve vaně žlutou plastovou kačenku na hraní (byl jsem z chudších vesnických poměrů, ale úplně chudí jsme nebyli, měli jsme vanu) a tak jsem tyhle plavající hračky nahradil pingpongovými míčky. A jednou jsem jeden při vypouštění vany vložil do odtoku. Míček se začal točit a dělal šílený kravál. Zaujalo mě to a přemýšlel jsem, k čemu by se to dalo použít. Jediný nápad byl generátor kraválu. A ejhle, po letech jsem na netu narazil na čerpadlo SETUR. Hajnej Registrovaný uživatel Číslo příspěvku: 3796 Registrován: 5-2002 Odesláno Pondělí, 28. června 2010 - 21:31:13       S-77: Ono jde také o to, jestli to Hajného odpojovací relátko je v základu přitažené či odpadlé... Máte nás za rohatá zvířata...?!? ...a zda má atributy prvku s vnitřní bezpečností Je to relé dimenzované na vyšší proud, než spínač, které za normálních okolností spíná a vypíná bez zátěže, takže nemá důvod mít napálené kontakty. Na druhou stranu jsme omezeni nejen cenou (jak už jsem řekl, konkurence na to dlabe úplně), ale i rozměry - ono je na mašině krapet míň místa, než na stavědle... V každém případě to relé snižuje pravděpodobnost nežádoucího výstupu o nějaký ten řád, čehož jest docíliti... Asdf Registrovaný uživatel Číslo příspěvku: 1250 Registrován: 5-2007 Odesláno Úterý, 29. června 2010 - 01:47:24       Hajnej: Keď tak spomínate tú konkurenciu, on to AVV už niekto mimo ČR aj kúpil? Za impertinenciu sa ospravedlňujem ... Hajnej Registrovaný uživatel Číslo příspěvku: 3800 Registrován: 5-2002 Odesláno Úterý, 29. června 2010 - 06:44:23       Asdf: fyzické výstupy má CRV a to už jezdí i ve Finsku a v Litvě a chystá se na Slovensko. Ovšem tou konkurencí byla míněna ta tuzemská.