Лекция 15. Характеристики АСУ. Надежность и резервирование

15.1. Основные понятия и определения

Основные определения понятий надежности даны в ГОСТ 27.002-89 и МЭК 61508. Далее приводятся основные определения, используемые далее.

Неисправность - состояние объекта, не соответствующее хотя бы одному параметру, указанному в эксплуатационной документации.

Неработоспособность - состояние объекта, не способного выполнять хотя бы одну из своих функций, описанных в эксплуатационной документации. Например, контроллер, у которого отказал один из каналов ввода, является работоспособным, но неисправным, если этот канал не используется.

Дефект - каждое отдельное несоответствие объекта установленным требованиям (ГОСТ 15467-79)

Отказ - событие нарушения работоспособности объекта. Устанавливается на основании некоторых критериев (признаков нарушения работоспособности). Делает объект неисправным.

Причина - применение ненадежных электронных и электротехнических компонентов, разработанных и изготовленных с низкой культурой производства, включая использование быстро стареющих материалов.

Наработка - продолжительность работы объекта, в единицах времени или в количестве циклов (например, циклов срабатывания реле). Различают:

1) наработку до отказа - от начала эксплуатации до 1-го отказа;

2) наработку между отказами(от начала работы после ремонта до очередного отказа).

Используют также средние значения этих величин и среднюю наработку между отказами называют наработкой на отказ.

Безотказность - свойство объекта непрерывно сохранять работоспособность в течение некоторого времени или наработки.

Живучесть - свойство объекта сохранять ограниченную работоспособность при неисправностях или отказе некоторых компонентов. Термин наиболее близок международному термину fault-tolerance - допустимость неисправностей, часто трактуемый как отказоустойчивость.

Вероятность безотказной работы - вероятность отсутствия отказа в пределах заданной наработки.

Коэффициент готовности (КГ) - вероятность работоспособности объекта в произвольный момент рабочего времени. Высокая готовность системы обеспечивается избыточностью, допустимостью сбоев, автоматическим контролем ошибок и диагностированием (ГОСТ Р 51840-2001).

Резервирование - включение в систему дополнительных (резервирующих) средств параллельно работающих с основными (резервируемыми). Может быть:

· общим, когда резервируется система в целом,

· раздельным (поэлементным), когда резервируются отдельные элементы системы.

При наличии в системе множества однотипных элементов (например, модулей ввода сигналов термопар), число резервных элементов может быть в несколько раз меньше, чем резервируемых.

Кратность резерва - отношение числа резервных элементов к числу резервируемых, выражаемя несокращаемой дробью. В соответствии с ГОСТ 27.002-89 кратность резерва 3:2 нельзя представлять как 1.5.

Дублирование - резервирование с кратностью резерва 1:1.

Постоянное резервирование - с нагруженным резервом, при котором все Nэлементов в резервированной системе выполняют одну и ту функцию и являются равноправными, а выбор одного из Nсигналов на их выходе выполняется схемой «голосования». Позволяет получить самый высокий Кг.

Делится на мажоритарное и по методу голосования.

Резервирование замещением - функции основного элемента передаются резервному только после отказа основного элемента. Недостаток - зависит от надежности переключающих устройств.

Может быть:

Нагруженный резерв («горячий резерв») - резервный элемент находится в таком же режиме, как и основой. Недостаток: уменьшение ресурса с течением времени. Преимущество: практически мгновенное переключение на резерв.

Облегченный резерв («теплый резерв») - резервный элемент, находится в менее нагруженном состоянии, чем основной. (например, резервный компьютер в «спящем» режиме).

Ненагруженный резерв («холодный резерв») - резервный элемент, находится в ненагруженном режиме до начала его использования вместо основного элемента. Позволяет получить системы с самой высокой надежностью, но с низким КГ. Эффективен если система некритична к времени простоя величиной в несколько минут.

Основное отличие между указанными видами резервирования с замещением состоит в длительности времени переключения на резерв. При горячем резервировании контроллеров время переключения - от миллисекунд до долей секунды, при теплом - секунды, холодном - минуты. Поэтому время переключения на резерв часто рассматривают как основной классификационный признак такого резервирования.

Надежность - свойство объекта сохранять во времени значения всех параметров и выполнять требуемые функции в заданных условиях применения. Составное понятие, включающее понятия безотказности, долговечности, ремонтопригодности, сохраняемости.

В ПА для количественной оценки надежности чаще всего используется параметр наработка на отказ или интенсивность отказов, а в системах безопасности - вероятность отказа при наличии запроса.

Интенсивность отказов- условная плотность вероятности возникновения отказа объекта, определяемая при условии, что до рассматриваемого момента времени отказ не возник.

При испытаниях на надежность количество исправных элементов n(t)с течением времени tуменьшается за счет того, что часть из них n(t) - n(t + Δt) становятся неисправными через время Δtв результате отказа.

Интенсивность отказа определяется пределом:

(15.1)

Длительность tбезотказной работы элемента (от момента включения t = 0 до t) является случайной величиной, поэтому ее можно характеризовать вероятностью P(t) = n(t)/n(0), где n(0) →∞n(t)число исправных элементов в моменты времени t = 0, и t. соответственно. При конечном числе испытуемых элементов вместо вероятности получают ее точечную статистическую оценку.

Интерпретация вероятности безотказной работы: если в СА используется 100 модулей в/в и каждый имеет вероятность безотказной работы P(t) = 0,99в течение t =1 год, то через год после начала эксплуатации в среднем один из модулей станет неработоспособным.

Поделив числитель и знаменатель в (15.1) на n(0), получим:

(15.2)

Функцию распределения длительности безотказной работы P(t) можно получить, решив дифференциальное уравнение (15.2) при начальном условии Р(0) = 1:

(15.3)

Интенсивность отказов λ(t) обычно быстро уменьшается в начале эксплуатации изделия (период приработки), затем длительное время остается постоянной (λ(t) = λ = const) и после исчерпания срока службы резко возрастает.

Поскольку для средств ПА как правило, указывают значение λ = const, то (15.3) упрощается:

(15.4)

Таким образом, вероятность безотказной работы устройства P(t) в интервале времени от t = 0 до t экспоненциально уменьшается с течением времени, если устройство прошло этап приработки и не выработало свой ресурс. Она не зависит от того, как долго устройство проработало до начала отсчета времени, т.е. не играет роли, используется бывшее в употреблении устройство или новое. Это кажущееся парадоксальным утверждение справедливо только для экспоненциального распределения и объясняется тем, что (15.4) получено в предположении, что снижение ресурса изделия с течением времени не происходит, а причины отказов распределены во времени в соответствии с моделью белого шума.

Вероятность отказа за время t, по определению: F(t) = 1 - Р(t), а плотность распределения времени до отказа f(t) (частота отказов) равна производной от функции распределения:

(15.5)

и для экспоненциальной функции распределения (15.4) составит:

(15.6)

По плотности распределения (15.6), можно найти среднюю наработку до 1-го отказа Тср, которая, по определению, является математическим ожиданием случайной величины - длительности безотказной работы t, т.е.

(15.7)

Интегрирование в (13.7) выполняется по частям.

Наработка до отказа Тср - основной параметр, указываемый в эксплуатационной документации на электронные средства ПА. Поскольку при t = Tср из (15.7) получается Р(Тср) = 1/е = 0.37, то интерпретация наработки на отказ: если в СА имеется 100 модулей в/в, то через время Тср после начала эксплуатации останется в среднем 37 работоспособных и 63 отказавших модулей. Иногда наработку на отказ неправильно интерпретируют как время, в течение которого устройство почти наверняка будет работоспособно, и только после истечения этого времени наступит отказ.

При анализе надежности систем, связанных с безопасностью, вместо вероятности отказа используется понятие вероятность отказа при наличии запроса, т.е. вероятность отказа при наличии необходимости быть в состоянии готовности. Например, если рассматривается система охраны, то нужно учитывать вероятность отказа системы во время попытки проникновения нарушителей, а не в то время, когда их нет. Следовательно, по надежности охраны нужно рассматривать вероятность несрабатывания датчика охранной сигнализации на интервале времени, когда может появиться нарушитель, и не нужно учитывать вероятность ложного срабатывания системы, поскольку она не влияет на выполнение функции охраны. Классическая же теория надежности учитывает оба вида отказов.

В системах, связанных с безопасностью, наработка до отказа рассматривается отдельно для опасных и безопасных отказов.

Безопасный отказ - не вызывает опасную ситуацию на объекте (например, система аварийного отключения, в которой исчезновение питания приводит к обесточиванию обмотки реле и отключению нагрузки, переводя ее тем самым в безопасное состояние). В такой системе отказ источника питания обмотки реле является безопасным и поэтому не учитывается при расчете вероятности отказа при наличии запроса. Однако отказ такого же источника питания в системе автоматического пожаротушения, когда необходимо, наоборот, подать напряжение на насосы, рассматривается как опасный отказ. Поэтому средняя вероятность отказа при наличии запроса в 2-х рассмотренных системах будет различной несмотря на применение блока питания с одним и тем же значением наработки до отказа.

Учет обычной наработки до отказа при проектировании систем безопасности может привести к неоправданно заниженным показателям надежности и невозможности достижения требуемого уровня безопасности.

Отказ по общей причине (ООП) - происходит одновременно у основного и резервного элементов. Составляют основную долю отказов в СА.

Фактические значения наработки до отказа систем с резервированием оказываются гораздо ниже расчетных из-за ООП. Например, если резервированная система находится в помещении, которое оказалось затопленным водой или охваченным пожаром, то отказ основного и резервного элементов наступит одновременно. Другим примером может быть одновременный обрыв основного и резервного кабеля в результате земляных работ. Третьим примером может быть применение 2-х контроллеров с процессорами из одной и той же партии, которая была изготовлена с применением просроченной паяльной пасты. Следующим примером может быть применение 2-х датчиков давления одной и той же конструкции от одного и того же производителя, которые окислились и разгерметизировались одновременно. Э-м импульс молнии или импульс в сети электропитания может явиться причиной ООП. В приведенных примерах существует сильная корреляция между случайными величинами, вызывающими одновременный отказ основного и резервного элемента.

Для уменьшения коэф-та корреляции (снижения влияния общих причин отказов) нужно по возможности выбирать элементы системы от разных производителей, выполненные на разных физических принципах, с применением различных материалов, различных технологических процессов и с разным ПО. Основное и резервное оборудование, включая кабели, датчики и исполнительные механизмы желательно разносить территориально, а монтаж основной и резервной системы должны выполнять разные люди или разные монтажные организации, чтобы исключить появление одинаковых ошибок монтажа и одинаково ошибочную интерпретацию руководства по эксплуатации монтируемого изделия.

Общие факторы, влияющие на всю систему, учитываются в моделях отказа как последовательно включенное звено со своей наработкой на отказ.

15.2. Резервирование ПЛК и устройств ввода-вывода

Большая доля отказов в СА приходится на ПО. Резервирование является практически единственным и широко используемым методом кординального повышения надежности СА. Оно позволяет создавать системы аварийной сигнализации, ПАЗ, автоматического пожаротушения, контроля и управления взрывоопасными технологическими блоками и другие, относящиеся к уровням безопасности SIL1...SIL3 по стандарту МЭК 61508-5, а также системы, в которых даже короткий простой ведет к большим финансовым потерям (системы распределения электроэнергии, непрерывные ТП). Резервирование позволяет создавать высоконадежные системы из типовых изделий широкого применения.

Составной частью систем с резервированием является подсистема автоматического контроля работоспособности и диагностики неисправностей.

Несмотря на существование большого разнообразия методов резервирования, в ПА получили распространение только 2:

1) горячее резервирование замещением (hot standby);

2) метод голосования (2ооЗ voting, 1оо2 voting и др.).

Реже используется теплый резерв (warm standby).

Целью резервирования может быть обеспечение:

Безотказности

Безопасности.

Для обеспечения безопасности достаточно снизить вероятность только опасных отказов, в то время как для обеспечения безотказности требуется обеспечить работоспособность системы при всевозможных отказах. Поэтому системы, связанные с безопасностью, получаются проще, чем отказоустойчивые системы при условии одинаковой наработки до отказа.