|
8.4. Оценка надежности резервированных системНадежность автоматизированной системы является комплексной характеристикой системы и состоит из нескольких показателей, основными из которых являются безотказность и ремонтопригодность. Безотказность численно характеризуется средней наработкой до отказа (MTTF - "Mean Time to Failure"), обозначается буквой , или интенсивностью отказов ("Average probability of failure per hour"), а также вероятностью безотказной работы в течение заданного времени . Ремонтопригодность характеризуется средним временем восстановления после отказа (MTTR - "Mean Time To Repair") или вероятностью восстановления в течение заданного времени. Для расчета показателей надежности сложных систем, состоящих из большого количества элементов, используют метод декомпозиции (расчет надежности по частям). Если показатели надежности отдельных элементов (в том числе резервированных) заданы или рассчитаны, то вероятность безотказной работы системы рассчитывают следующим образом. Событие, состоящее в безотказной работе -того элемента системы, обозначают символами , а противоположное событие (отказ элемента) обозначают как . Отказ системы без резервирования наступает при отказе хотя бы одного элемента. Поэтому событие, состоящее в безотказной работе системы , равно произведению событий , т. е. , где - количество элементов в системе. Вероятность произведения независимых событий равна произведению вероятностей событий. Поэтому вероятность работоспособного состояния системы равна
Учитывая зависимость вероятности безотказной работы элементов от времени (8.5) для каждого -того элемента, предыдущее выражение можно записать в виде
где
- интенсивность отказа всей системы; - интенсивность отказа -того элемента.
Поскольку в эксплуатационной документации обычно указывают среднюю наработку до отказа, которая связана с интенсивностью отказов соотношением (8.8), то, пользуясь выражением (8.11), наработку до отказа всей системы можно представить в виде
где - наработка до отказа -того элемента.
В частности, для системы из одинаковых элементов с наработкой =
т. е. наработка на отказ системы обратно пропорциональна количеству ее элементов.
Резервированный элемент (контроллер, датчик и др.) при расчете надежности можно рассматривать как один элемент системы, если для него найдены показатели надежности. Поскольку в системах автоматизации используются, как правило, только два вида резервирования: горячее резервирование замещением и резервирование методом голосования, то при расчете их показателей безотказности можно обойтись без аппарата цепей Маркова [Александровская], ограничившись алгеброй случайных событий и теорией вероятностей. При расчете вероятности отказа "теплое" резервирование не отличается от горячего. В случае горячего резервирования два элемента (например, два ПЛК) находятся постоянно во включенном состоянии и при отказе одного из них в работу включается второй. Если считать, что общие элементы, обеспечивающие процесс резервирования, абсолютно надежны, то безотказная работа резервированной системы , состоящей из двух ПЛК, будет обеспечена, если работоспособен хотя бы один из них. Обозначим событие, состоящее в безотказной работе 1-го элемента как , 2-го как , а противоположные им события (отказы элементов) как и . Тогда событие, состоящее в работоспособности резервированной системы (в данном примере система состоит из двух ПЛК), будет иметь место, если работоспособен первый ПЛК и одновременно работоспособен второй () ИЛИ работоспособен первый и отказал второй () ИЛИ отказал первый и работоспособен второй: (), т.е.
Найдем теперь вероятность работоспособности системы , пользуясь тем, что события , и несовместны (т.е. не могут иметь место в одно и то же время), следовательно, вероятность суммы событий равна сумме вероятностей каждого из них, а вероятность произведения событий равна произведению вероятностей:
Здесь использовано также свойство .
Поскольку элементы в резервированной системе идентичны, то и, обозначая , получим
Подставляя сюда вместо его зависимость от времени (8.5), получим вероятность безотказной работы системы при горячем резервировании в виде
где - интенсивность отказов элемента без резервирования.
Плотность распределения времени до отказа (частота отказов) согласно (8.6) равна
а среднее время наработки до отказа
где - средняя наработка на отказ одного контроллера. Интеграл в (8.19) берется по частям.
Рассуждая аналогично, можно получить вероятность безотказной работы системы из трех элементов, например, трех контроллеров, в схеме голосования 2оо3. Обозначим события, состоящие в работоспособности трех элементов соответственно и , а противоположные им события (отказы) - как и . Тогда резервированная система будет работоспособной, если работоспособны первый И второй И отказал третий контроллер ИЛИ работоспособен первый И третий И отказал второй контроллер ИЛИ работоспособен второй И третий И отказал первый контроллер ИЛИ работоспособны все три контроллера одновременно, т.е.
Переходя от событий к их вероятностям и учитывая, что слагаемые в (8.20) являются событиями несовместными, а также считая, что все контроллеры идентичны, т.е. , получим:
поэтому
Графики зависимостей (8.17) и (8.22) показаны на (рис. 8.21-а).
Плотность распределения времени до отказа (частота отказов) согласно (8.6) равна
а среднее время наработки до отказа
где - средняя наработка на отказ одного контроллера.
Обратим внимание, что средняя наработка до отказа у системы с голосованием получилась ниже, чем у нерезервированной системы. Это объясняется тем, что система с тремя контроллерами и голосованием по схеме 2оо3 не является троированной, а имеет дробную кратность резервирования 1:2, т.е. в ней резервный элемент - один, а резервируемых - два, поскольку в схеме голосования только наличие двух работоспособных контроллеров обеспечивает работоспособность системы. Поэтому эффект снижения безотказности вследствие нарастания числа элементов в системе (8.13) при больших наработках оказывается сильнее эффекта резервирования. График вероятности безотказной работы для системы с голосованием (рис. 8.21-б) идет ниже, чем у системы без резервирования, начиная с некоторого значения наработки, а средняя наработка до отказа получается меньше.
Сравнение систем только по средней наработке до отказа может вводить в заблуждение так же, как "средняя температура по больнице". Такое сравнение эффективно только для случаев, когда функциональные зависимости элементов имеют одинаковый вид. Для систем с резервированием это условие не выполняется. Поэтому следует делать сравнение по более информативному показателю - вероятности безотказной работы, которая у системы с голосованием в течение практически всего времени эксплуатации значительно больше, чем у системы без резервирования (рис. 8.21-а и -б). Графики, приведенные на рис. 8.21, иллюстрируют вероятность безотказной работы системы, в которой после отказа одного из элементов не выполняется его замена или ремонт. Если же замена элемента производится сразу, то понятие вероятности безотказной работы теряет значение, поскольку после замены вероятность отказа без замены элемента реализоваться не может. Актуальной становится длительность перехода на резерв, а также продолжительность выполнения горячей замены или восстановления после отказа. Поэтому для обслуживаемых систем автоматизации целью резервирования является обеспечение непрерывности процесса управления или увеличение коэффициента готовности, но не увеличение вероятности безотказной работы. По этим же характеристикам система с голосованием превосходит все остальные. Проделанный выше сравнительный анализ двух методов резервирования не может быть использован для систем безопасности, в которых вероятности опасного и безопасного отказов различны. Если в системах 2оо3, где требуется безотказность, после отказа двух элементов наступает отказ всей системы, то в системах безопасности опасный отказ наступает только после того, как исчерпаны все варианты деградации (например, 2оо3 - 1оо2 - 1001 - 0). Таким образом, для анализа вероятности опасного отказа система 2оо3 имеет кратность резерва не 2:1, а 1:2, т.е. она является троированной; после отказа одного элемента становится дублированной, после отказа двух элементов становится не резервированной и только после отказа всех трех элементов наступает отказ системы. Кроме того, для анализа систем, связанных с безопасностью, важна не вероятность отказа, а вероятность отказа при наличии запроса [МЭК] которая рассчитывается иным путем. Поскольку автоматизированная система выполняет множество самостоятельных задач (функций), то параметры надежности по ГОСТ 24.701-86 [ГОСТ] оцениваются не для всей системы, а для каждой выполняемой функции отдельно. При количественных оценках параметров надежности, а также при интерпретации полученных результатов следует учитывать достоверность исходных данных. Существующие методы экспериментальной оценки показателей надежности [ГОСТ, ГОСТ] были разработаны во времена, когда наработка на отказ вычислительных машин (EC-1061, "Электроника Д3-28" и др.) составляла от нескольких часов до нескольких суток. Экспериментальный материал по отказам, собранный в течение месяца, был достаточен не только для оценки наработки на отказ, но даже для построения функций распределения, изучения зависимостей параметров надежности от условий эксплуатации (температуры, вибрации, влажности и т. п.). С тех пор ситуация изменилась коренным образом. Появилась технология поверхностного монтажа, увеличилась степень интеграции микросхем, были разработаны новые материалы для монтажа и изготовления печатных плат. Надежность электронных изделий возросла настолько, что экспериментальные данные невозможно накопить в достаточном количестве не только при стендовых испытаниях у изготовителя, но даже путем анализа отказов изделий, возвращенных потребителями в течение гарантийного срока (такая методика используется фирмой GE Fanuc [Programmable]). Так, из 30 тыс. модулей ввода-вывода RealLab! серии NL [Денисенко], проданных фирмой RealLab!, в течение гарантийного срока не было ни одного возврата по причине аппаратного отказа. Кроме того, ПЛК не относятся к изделиям массового производства и поэтому за период между сменой их поколений количество отказавших изделий может оказаться недостаточным для расчета наработки на отказ. Получить же зависимость показателей надежности от условий эксплуатации еще более проблематично. Ускоренные испытания [Федоров], широко применяемые в полупроводниковом производстве, неприменимы к ПЛК из-за невозможности экспериментального или расчетного определения коэффициентов подобия. В то же время органы сертификации, в соответствии с существующими стандартами, требуют обязательного указания параметров надежности в ТУ и эксплуатационной документации на изделие. Одним из реально осуществимых методов оценки показателей надежности является использование статистических данных объектов-аналогов по ГОСТ 27.301-95 [ГОСТ]. Поскольку аналоги, как правило, являются изделиями, изготовленными по устаревшей технологии, показатели надежности оказываются заниженными, по крайне мере, на порядок. Рассмотрим, например, вероятность безотказной работы процессора CPU 313C-2DP фирмы Siemens, на который изготовителем указывается наработка на отказ (MTBF) =16,9 лет [Product]. В соответствии с (8.4) и (8.5), вероятность отказа процессора в течение гарантийного срока 18 мес. будет равна =0,08. Поскольку оценка вероятности отказа рассчитывается как доля отказавших изделий в испытуемой партии, то, например, из 1000 находящихся в эксплуатации процессоров в течение гарантийного срока должны отказать в среднем 80 шт. и только 920 шт. остаться исправными. Однако любой пользователь продукции Siemens скажет, что эта цифра отличается от реальной, по крайней мере, на порядок. Можно было бы предположить, что наработка на отказ занижена потому, что при ее экспериментальном определении условия испытаний были выбраны предельными. Однако документ "Reliability Consulting" ("Консультация по надежности"), расположенный рядом с таблицей наработок на отказ [Reliability] указывает только одно условие: температура при испытаниях составляет 40 °С, и не дает методики пересчета для других условий эксплуатации. Выглядит странным также указание наработки на отказ тремя значащими цифрами, что по теории погрешностей должно означать, что приведенные данные отличаются от действительных не более чем на 1%. Наличие большого числа парадоксов наводит на мысль, что показатели надежности, указываемые производителями электронных средств автоматизации, определяются политическими, а не техническими факторами, и по мере совершенствования технологии производства мы будем наблюдать только снижение достоверности этих показателей. В этих условиях о надежности изделий лучше судить по общей репутации фирмы и наличии системы управления качеством на базе стандартов ISO 9001 или ISO 9014, но не по наработке на отказ.
|
Располагается на площади 8900 м², оснащено самым современным технологическим оборудованием, имеет научно-исследовательское и конструкторское подразделение, использующие передовые средства автоматизации проектирования. |
|
КОНТАКТЫ
|
© НИЛ АП, ООО, 1989-2024 |
|