Лекция 15. Характеристики АСУ. Надежность и резервирование

15.1. Основные понятия и определения

Основные определения понятий надежности даны в ГОСТ 27.002-89 и МЭК 61508. Далее приводятся основные определения, используемые далее.

Неисправность - состояние объекта, не соответствующее хотя бы одному параметру, указанному в эксплуатационной документации.

Неработоспособность - состояние объекта, не способного выполнять хотя бы одну из своих функций, описанных в эксплуатационной документации. Например, контроллер, у которого отказал один из каналов ввода, является работоспособным, но неисправным, если этот канал не используется.

Дефект - каждое отдельное несоответствие объекта установленным требованиям (ГОСТ 15467-79)

Отказ - событие нарушения работоспособности объекта. Устанавливается на основании некоторых критериев (признаков нарушения работоспособности). Делает объект неисправным.

Причина - применение ненадежных электронных и электротехнических компонентов, разработанных и изготовленных с низкой культурой производства, включая использование быстро стареющих материалов.

Наработка - продолжительность работы объекта, в единицах времени или в количестве циклов (например, циклов срабатывания реле). Различают:

1) наработку до отказа - от начала эксплуатации до 1-го отказа;

2) наработку между отказами (от начала работы после ремонта до очередного отказа).

Используют также средние значения этих величин и среднюю наработку между отказами называют наработкой на отказ.

Безотказность - свойство объекта непрерывно сохранять работоспособность в течение некоторого времени или наработки.

Живучесть - свойство объекта сохранять ограниченную работоспособность при неисправностях или отказе некоторых компонентов. Термин наиболее близок международному термину fault-tolerance - допустимость неисправностей, часто трактуемый как отказоустойчивость.

Вероятность безотказной работы - вероятность отсутствия отказа в пределах заданной наработки.

Коэффициент готовности (КГ) - вероятность работоспособности объекта в произвольный момент рабочего времени. Высокая готовность системы обеспечивается избыточностью, допустимостью сбоев, автоматическим контролем ошибок и диагностированием (ГОСТ Р 51840-2001).

Резервирование - включение в систему дополнительных (резервирующих) средств параллельно работающих с основными (резервируемыми). Может быть:

· общим, когда резервируется система в целом,

· раздельным (поэлементным), когда резервируются отдельные элементы системы.

При наличии в системе множества однотипных элементов (например, модулей ввода сигналов термопар), число резервных элементов может быть в несколько раз меньше, чем резервируемых.

Кратность резерва - отношение числа резервных элементов к числу резервируемых, выражаемя несокращаемой дробью. В соответствии с ГОСТ 27.002-89 кратность резерва 3:2 нельзя представлять как 1.5.

Дублирование - резервирование с кратностью резерва 1:1.

Постоянное резервирование - с нагруженным резервом, при котором все N элементов в резервированной системе выполняют одну и ту функцию и являются равноправными, а выбор одного из N сигналов на их выходе выполняется схемой «голосования». Позволяет получить самый высокий Кг.

Делится на мажоритарное и по методу голосования.

Резервирование замещением - функции основного элемента передаются резервному только после отказа основного элемента. Недостаток - зависит от надежности переключающих устройств.

Может быть:

Нагруженный резерв («горячий резерв») - резервный элемент находится в таком же режиме, как и основой. Недостаток: уменьшение ресурса с течением времени. Преимущество: практически мгновенное переключение на резерв.

Облегченный резерв («теплый резерв») - резервный элемент, находится в менее нагруженном состоянии, чем основной. (например, резервный компьютер в «спящем» режиме).

Ненагруженный резерв («холодный резерв») - резервный элемент, находится в ненагруженном режиме до начала его использования вместо основного элемента. Позволяет получить системы с самой высокой надежностью, но с низким КГ. Эффективен если система некритична к времени простоя величиной в несколько минут.

Основное отличие между указанными видами резервирования с замещением состоит в длительности времени переключения на резерв. При горячем резервировании контроллеров время переключения - от миллисекунд до долей секунды, при теплом - секунды, холодном - минуты. Поэтому время переключения на резерв часто рассматривают как основной классификационный признак такого резервирования.

Надежность - свойство объекта сохранять во времени значения всех параметров и выполнять требуемые функции в заданных условиях применения. Составное понятие, включающее понятия безотказности, долговечности, ремонтопригодности, сохраняемости.

В ПА для количественной оценки надежности чаще всего используется параметр наработка на отказ или интенсивность отказов, а в системах безопасности - вероятность отказа при наличии запроса.

Интенсивность отказов - условная плотность вероятности возникновения отказа объекта, определяемая при условии, что до рассматриваемого момента времени отказ не возник.

При испытаниях на надежность количество исправных элементов n(t) с течением времени t уменьшается за счет того, что часть из них n(t) - n(t + Δt) становятся неисправными через время Δt в результате отказа.

Интенсивность отказа определяется пределом:

(15.1)

Длительность t безотказной работы элемента (от момента включения t = 0 до t ) является случайной величиной, поэтому ее можно характеризовать вероятностью P(t) = n(t)/n(0), где n(0) →∞n(t) число исправных элементов в моменты времени t = 0, и t. соответственно. При конечном числе испытуемых элементов вместо вероятности получают ее точечную статистическую оценку.

Интерпретация вероятности безотказной работы: если в СА используется 100 модулей в/в и каждый имеет вероятность безотказной работы P(t) = 0,99 в течение t =1 год, то через год после начала эксплуатации в среднем один из модулей станет неработоспособным.

Поделив числитель и знаменатель в (15.1) на n(0), получим:

(15.2)

Функцию распределения длительности безотказной работы P(t) можно получить, решив дифференциальное уравнение (15.2) при начальном условии Р(0) = 1:

(15.3)

Интенсивность отказов λ(t) обычно быстро уменьшается в начале эксплуатации изделия (период приработки), затем длительное время остается постоянной (λ(t) = λ = const) и после исчерпания срока службы резко возрастает.

Поскольку для средств ПА как правило, указывают значение λ = const, то (15.3) упрощается:

(15.4)

Таким образом, вероятность безотказной работы устройства P(t) в интервале времени от t = 0 до t экспоненциально уменьшается с течением времени, если устройство прошло этап приработки и не выработало свой ресурс. Она не зависит от того, как долго устройство проработало до начала отсчета времени, т.е. не играет роли, используется бывшее в употреблении устройство или новое. Это кажущееся парадоксальным утверждение справедливо только для экспоненциального распределения и объясняется тем, что (15.4) получено в предположении, что снижение ресурса изделия с течением времени не происходит, а причины отказов распределены во времени в соответствии с моделью белого шума.

Вероятность отказа за время t, по определению: F(t) = 1 - Р(t), а плотность распределения времени до отказа f(t) (частота отказов) равна производной от функции распределения:

(15.5)

и для экспоненциальной функции распределения (15.4) составит:

(15.6)

По плотности распределения (15.6), можно найти среднюю наработку до 1-го отказа Тср, которая, по определению, является математическим ожиданием случайной величины - длительности безотказной работы t, т.е.

(15.7)

Интегрирование в (13.7) выполняется по частям.

Наработка до отказа Тср - основной параметр, указываемый в эксплуатационной документации на электронные средства ПА. Поскольку при t = Tср из (15.7) получается Р(Тср) = 1/е = 0.37, то интерпретация наработки на отказ: если в СА имеется 100 модулей в/в, то через время Тср после начала эксплуатации останется в среднем 37 работоспособных и 63 отказавших модулей. Иногда наработку на отказ неправильно интерпретируют как время, в течение которого устройство почти наверняка будет работоспособно, и только после истечения этого времени наступит отказ.

При анализе надежности систем, связанных с безопасностью, вместо вероятности отказа используется понятие вероятность отказа при наличии запроса, т.е. вероятность отказа при наличии необходимости быть в состоянии готовности. Например, если рассматривается система охраны, то нужно учитывать вероятность отказа системы во время попытки проникновения нарушителей, а не в то время, когда их нет. Следовательно, по надежности охраны нужно рассматривать вероятность несрабатывания датчика охранной сигнализации на интервале времени, когда может появиться нарушитель, и не нужно учитывать вероятность ложного срабатывания системы, поскольку она не влияет на выполнение функции охраны. Классическая же теория надежности учитывает оба вида отказов.

В системах, связанных с безопасностью, наработка до отказа рассматривается отдельно для опасных и безопасных отказов.

Безопасный отказ - не вызывает опасную ситуацию на объекте (например, система аварийного отключения, в которой исчезновение питания приводит к обесточиванию обмотки реле и отключению нагрузки, переводя ее тем самым в безопасное состояние). В такой системе отказ источника питания обмотки реле является безопасным и поэтому не учитывается при расчете вероятности отказа при наличии запроса. Однако отказ такого же источника питания в системе автоматического пожаротушения, когда необходимо, наоборот, подать напряжение на насосы, рассматривается как опасный отказ. Поэтому средняя вероятность отказа при наличии запроса в 2-х рассмотренных системах будет различной несмотря на применение блока питания с одним и тем же значением наработки до отказа.

Учет обычной наработки до отказа при проектировании систем безопасности может привести к неоправданно заниженным показателям надежности и невозможности достижения требуемого уровня безопасности.

Отказ по общей причине (ООП) - происходит одновременно у основного и резервного элементов. Составляют основную долю отказов в СА.

Фактические значения наработки до отказа систем с резервированием оказываются гораздо ниже расчетных из-за ООП. Например, если резервированная система находится в помещении, которое оказалось затопленным водой или охваченным пожаром, то отказ основного и резервного элементов наступит одновременно. Другим примером может быть одновременный обрыв основного и резервного кабеля в результате земляных работ. Третьим примером может быть применение 2-х контроллеров с процессорами из одной и той же партии, которая была изготовлена с применением просроченной паяльной пасты. Следующим примером может быть применение 2-х датчиков давления одной и той же конструкции от одного и того же производителя, которые окислились и разгерметизировались одновременно. Э-м импульс молнии или импульс в сети электропитания может явиться причиной ООП. В приведенных примерах существует сильная корреляция между случайными величинами, вызывающими одновременный отказ основного и резервного элемента.

Для уменьшения коэф-та корреляции (снижения влияния общих причин отказов) нужно по возможности выбирать элементы системы от разных производителей, выполненные на разных физических принципах, с применением различных материалов, различных технологических процессов и с разным ПО. Основное и резервное оборудование, включая кабели, датчики и исполнительные механизмы желательно разносить территориально, а монтаж основной и резервной системы должны выполнять разные люди или разные монтажные организации, чтобы исключить появление одинаковых ошибок монтажа и одинаково ошибочную интерпретацию руководства по эксплуатации монтируемого изделия.

Общие факторы, влияющие на всю систему, учитываются в моделях отказа как последовательно включенное звено со своей наработкой на отказ.

15.2. Резервирование ПЛК и устройств ввода-вывода

Большая доля отказов в СА приходится на ПО. Резервирование является практически единственным и широко используемым методом кординального повышения надежности СА. Оно позволяет создавать системы аварийной сигнализации, ПАЗ, автоматического пожаротушения, контроля и управления взрывоопасными технологическими блоками и другие, относящиеся к уровням безопасности SIL1...SIL3 по стандарту МЭК 61508-5, а также системы, в которых даже короткий простой ведет к большим финансовым потерям (системы распределения электроэнергии, непрерывные ТП). Резервирование позволяет создавать высоконадежные системы из типовых изделий широкого применения.

Составной частью систем с резервированием является подсистема автоматического контроля работоспособности и диагностики неисправностей.

Несмотря на существование большого разнообразия методов резервирования, в ПА получили распространение только 2:

1) горячее резервирование замещением (hot standby);

2) метод голосования (2ооЗ voting, 1оо2 voting и др.).

Реже используется теплый резерв (warm standby).

Целью резервирования может быть обеспечение:

Безотказности

Безопасности.

Для обеспечения безопасности достаточно снизить вероятность только опасных отказов, в то время как для обеспечения безотказности требуется обеспечить работоспособность системы при всевозможных отказах. Поэтому системы, связанные с безопасностью, получаются проще, чем отказоустойчивые системы при условии одинаковой наработки до отказа.