|
8.4. Оценка надежности резервированных системНадежность автоматизированной системы является комплексной характеристикой системы и состоит из нескольких показателей, основными из которых являются безотказность и ремонтопригодность. Безотказность численно характеризуется средней наработкой до отказа (MTTF - "Mean Time to Failure"), обозначается буквой Ремонтопригодность характеризуется средним временем восстановления после отказа Для расчета показателей надежности сложных систем, состоящих из большого количества элементов, используют метод декомпозиции (расчет надежности по частям). Если показатели надежности отдельных элементов (в том числе резервированных) заданы или рассчитаны, то вероятность безотказной работы системы рассчитывают следующим образом. Событие, состоящее в безотказной работе
Учитывая зависимость вероятности безотказной работы элементов от времени (8.5) для каждого
где
Поскольку в эксплуатационной документации обычно указывают среднюю наработку до отказа, которая связана с интенсивностью отказов соотношением (8.8), то, пользуясь выражением (8.11), наработку до отказа всей системы
где
В частности, для системы из
т. е. наработка на отказ системы обратно пропорциональна количеству ее элементов.
Резервированный элемент (контроллер, датчик и др.) при расчете надежности можно рассматривать как один элемент системы, если для него найдены показатели надежности. Поскольку в системах автоматизации используются, как правило, только два вида резервирования: горячее резервирование замещением и резервирование методом голосования, то при расчете их показателей безотказности можно обойтись без аппарата цепей Маркова [Александровская], ограничившись алгеброй случайных событий и теорией вероятностей. При расчете вероятности отказа "теплое" резервирование не отличается от горячего. В случае горячего резервирования два элемента (например, два ПЛК) находятся постоянно во включенном состоянии и при отказе одного из них в работу включается второй. Если считать, что общие элементы, обеспечивающие процесс резервирования, абсолютно надежны, то безотказная работа резервированной системы
Найдем теперь вероятность работоспособности системы
Здесь использовано также свойство
Поскольку элементы в резервированной системе идентичны, то
Подставляя сюда вместо
где
Плотность распределения времени до отказа (частота отказов) согласно (8.6) равна
а среднее время наработки до отказа
где
Рассуждая аналогично, можно получить вероятность безотказной работы системы из трех элементов, например, трех контроллеров, в схеме голосования 2оо3. Обозначим события, состоящие в работоспособности трех элементов соответственно
Переходя от событий к их вероятностям и учитывая, что слагаемые в (8.20) являются событиями несовместными, а также считая, что все контроллеры идентичны, т.е.
поэтому
Графики зависимостей (8.17) и (8.22) показаны на (рис. 8.21-а).
Плотность распределения времени до отказа (частота отказов) согласно (8.6) равна
а среднее время наработки до отказа
где
Обратим внимание, что средняя наработка до отказа у системы с голосованием получилась ниже, чем у нерезервированной системы. Это объясняется тем, что система с тремя контроллерами и голосованием по схеме 2оо3 не является троированной, а имеет дробную кратность резервирования 1:2, т.е. в ней резервный элемент - один, а резервируемых - два, поскольку в схеме голосования только наличие двух работоспособных контроллеров обеспечивает работоспособность системы. Поэтому эффект снижения безотказности вследствие нарастания числа элементов в системе (8.13) при больших наработках оказывается сильнее эффекта резервирования. График вероятности безотказной работы для системы с голосованием (рис. 8.21-б) идет ниже, чем у системы без резервирования, начиная с некоторого значения наработки, а средняя наработка до отказа получается меньше.
Сравнение систем только по средней наработке до отказа может вводить в заблуждение так же, как "средняя температура по больнице". Такое сравнение эффективно только для случаев, когда функциональные зависимости Графики, приведенные на рис. 8.21, иллюстрируют вероятность безотказной работы системы, в которой после отказа одного из элементов не выполняется его замена или ремонт. Если же замена элемента производится сразу, то понятие вероятности безотказной работы теряет значение, поскольку после замены вероятность отказа без замены элемента реализоваться не может. Актуальной становится длительность перехода на резерв, а также продолжительность выполнения горячей замены или восстановления после отказа. Поэтому для обслуживаемых систем автоматизации целью резервирования является обеспечение непрерывности процесса управления или увеличение коэффициента готовности, но не увеличение вероятности безотказной работы. По этим же характеристикам система с голосованием превосходит все остальные. Проделанный выше сравнительный анализ двух методов резервирования не может быть использован для систем безопасности, в которых вероятности опасного и безопасного отказов различны. Если в системах 2оо3, где требуется безотказность, после отказа двух элементов наступает отказ всей системы, то в системах безопасности опасный отказ наступает только после того, как исчерпаны все варианты деградации (например, 2оо3 - 1оо2 - 1001 - 0). Таким образом, для анализа вероятности опасного отказа система 2оо3 имеет кратность резерва не 2:1, а 1:2, т.е. она является троированной; после отказа одного элемента становится дублированной, после отказа двух элементов становится не резервированной и только после отказа всех трех элементов наступает отказ системы. Кроме того, для анализа систем, связанных с безопасностью, важна не вероятность отказа, а вероятность отказа при наличии запроса [МЭК] которая рассчитывается иным путем. Поскольку автоматизированная система выполняет множество самостоятельных задач (функций), то параметры надежности по ГОСТ 24.701-86 [ГОСТ] оцениваются не для всей системы, а для каждой выполняемой функции отдельно. При количественных оценках параметров надежности, а также при интерпретации полученных результатов следует учитывать достоверность исходных данных. Существующие методы экспериментальной оценки показателей надежности [ГОСТ, ГОСТ] были разработаны во времена, когда наработка на отказ вычислительных машин (EC-1061, "Электроника Д3-28" и др.) составляла от нескольких часов до нескольких суток. Экспериментальный материал по отказам, собранный в течение месяца, был достаточен не только для оценки наработки на отказ, но даже для построения функций распределения, изучения зависимостей параметров надежности от условий эксплуатации (температуры, вибрации, влажности и т. п.). С тех пор ситуация изменилась коренным образом. Появилась технология поверхностного монтажа, увеличилась степень интеграции микросхем, были разработаны новые материалы для монтажа и изготовления печатных плат. Надежность электронных изделий возросла настолько, что экспериментальные данные невозможно накопить в достаточном количестве не только при стендовых испытаниях у изготовителя, но даже путем анализа отказов изделий, возвращенных потребителями в течение гарантийного срока (такая методика используется фирмой GE Fanuc [Programmable]). Так, из 30 тыс. модулей ввода-вывода RealLab! серии NL [Денисенко], проданных фирмой RealLab!, в течение гарантийного срока не было ни одного возврата по причине аппаратного отказа. Кроме того, ПЛК не относятся к изделиям массового производства и поэтому за период между сменой их поколений количество отказавших изделий может оказаться недостаточным для расчета наработки на отказ. Получить же зависимость показателей надежности от условий эксплуатации еще более проблематично. Ускоренные испытания [Федоров], широко применяемые в полупроводниковом производстве, неприменимы к ПЛК из-за невозможности экспериментального или расчетного определения коэффициентов подобия. В то же время органы сертификации, в соответствии с существующими стандартами, требуют обязательного указания параметров надежности в ТУ и эксплуатационной документации на изделие. Одним из реально осуществимых методов оценки показателей надежности является использование статистических данных объектов-аналогов по ГОСТ 27.301-95 [ГОСТ]. Поскольку аналоги, как правило, являются изделиями, изготовленными по устаревшей технологии, показатели надежности оказываются заниженными, по крайне мере, на порядок. Рассмотрим, например, вероятность безотказной работы процессора CPU 313C-2DP фирмы Siemens, на который изготовителем указывается наработка на отказ (MTBF) Наличие большого числа парадоксов наводит на мысль, что показатели надежности, указываемые производителями электронных средств автоматизации, определяются политическими, а не техническими факторами, и по мере совершенствования технологии производства мы будем наблюдать только снижение достоверности этих показателей. В этих условиях о надежности изделий лучше судить по общей репутации фирмы и наличии системы управления качеством на базе стандартов ISO 9001 или ISO 9014, но не по наработке на отказ.
|
Располагается на площади 8900 м², оснащено самым современным технологическим оборудованием, имеет научно-исследовательское и конструкторское подразделение, использующие передовые средства автоматизации проектирования. |
|
КОНТАКТЫ
|
© НИЛ АП, ООО, 1989-2025 |
|