Dependent failures in multifunctional ACS


Cite item

Full Text

Abstract

The article discusses theinterference ofelements of the automatedcontrol system.We study thesafety and survivability. Gradationfailure is given. The consequences of failurecells and modulesof the system, causingfailures of other cells and modules, the possibility of preventing thesefailures are highlighted.A range of possibledependent failures is provided. It is shown thata possible source ofdanger can be asmodule failure, and failureof backupelements in these modules. It is postulated that the increase in the number of redundantelements at least does not reduce to zerothe potential danger. The variouslogicalstructures of the compoundelements in ACS are discussed. A typical structureof reliabilityof automated control systemthat performsseveral functions, the tree structure is shown. It is deducedthat one systemAPCS performs several functions. Onespacecraftoften performsseveral functions.Also there are functions of the ACS which do notaffect theoperation. Andto determine the reliabilityof the system wemust determine which elementsinvolved in performing anyfunctions. It is necessary to determine thesequence of elements to perform a functional task. It is illustrated by the development of failures in multi-functionalsystems, the mutual influence of elements in them in case of simple linear andbranchedredundantstructures. We consider the negative effects of redundancy.An example ofcalculating thereliability of the systemwith a parallelconnection of elementsinto accountand dependent failures caused by the elements is given. The conclusion of necessity of non-redundant methodsto improve reliabilityand hazard prevention was made.

Full Text

Введение. Надёжность систем автоматизированного сбора данных и управления является одним из важнейших показателей. От их правильной работы зависит успешность выполнения аппаратом своей миссии. Организация IEEE определяет надежность как «способность системы или компонента выполнять требуемые функции при определенных условиях за определенный период времени». Это определение дал А. Н. Авиженис, и оно считается классическим [1; 2]. Безотказностью называется свойство системы сохранять работоспособность в течение определённого времени при нормальных условиях. Живучесть - способность технического устройства, сооружения, средства или системы выполнять основные свои функции, несмотря на полученные повреждения. Ввиду расплывчатости понятия неисправности и ущерба, их конкретизация привела к выделению двух подмножеств их состояний: «большая» неисправность - отказ, «допустимая» неисправность - дефект. Уровень тестируемости дефекта определяется как вероятность обнаружения сбоя на случайно выбранном выходе [3]. Безопасностью же называется способность системы не переходить в опасное состояние, в состояние, при котором возникает ущерб «большого масштаба». Именно для сложных систем характерной является возможность весьма сложных, многократных комбинаций отказов, каждая из которых невероятно мала, а в сумме таких невероятных состояний накапливается достаточно, чтобы система попала в опасное состояние [4-6]. Подобными последствиями отказа может быть возникновение аварии, выброс энергии или материи, причиняющей вред окружающим объектам и персоналу. Переход системы в опасное состояние вызывается отказами её функциональных модулей или их резервных элементов. Выход из строя как всего модуля, так и его элемента может привести к возникновению опасного воздействия [7]. Вероятность выхода систем, а значит, и их модулей из строя, следует уменьшать. Для создания систем с высокой надежностью применяют множество принципов: принцип упрощения, принцип контроля, принцип резервирования. Последний принцип рассмотрим более подробно. Под резервированием понимается применение определённых технических средств с целью обеспечения работоспособности объекта при отказе. В системах с резервированием выделяют основной и резервный элементы [8]. Отказ может произойти как в модуле, так и в отдельном резервном элементе. И аналогично, за неисправностью элемента может последовать выброс энергии или материи, авария. Следовательно, опасность несёт как модуль, так и его резервные элементы. Данные опасности следует разделять на опасности, возникающие из-за выхода из строя модуля и выхода из строя элемента. В случае горячего резервирования количество отказов элементов увеличивается соответственно самому количеству элементов. В случае холодного - число отказов элементов остаётся не меньшим, чем без резервирования, в то время как число отказов модуля уменьшается. Таким образом, повышение числа резервных элементов, как минимум, не понижает до нуля потенциальную опасность. Опасные воздействия могут быть направлены на персонал и инфраструктуру предприя-тия, в рамках которого действует АСУ ТП, и в таком случае данными воздействиями будет причиняться ущерб [9; 10]. Зависимые отказы в однофункциональных системах. Наряду с воздействием на персонал и инфраструктуру, опасное воздействие, возникшее в результате отказа одного модуля системы, может повлиять на другие модули системы и вызвать их отказ - так называемый зависимый отказ [11-13]. АСУ имеют различную логическую структуру. В случае, когда все модули системы связаны последовательно, отказ хотя бы одного модуля приводит к отказу всей системы и зависимые отказы никак не изменяют её состояние (рис. 1). В приведённой на рис.1 системе отказ модуля 2 вызывает зависимый отказ модуля 3, но вне зависимости от этого система будет неисправна из-за отказа модуля 2. Более сложный случай возникает, когда система имеет разветвленную структуру, в случае, когда система выполняет несколько функций, но не все элементы участвуют в выполнении любой из функций. Тогда выход из строя одного модуля приведёт к неисправности только тех функций, в выполнении которых он участвует. Зависимые отказы в многофункциональных системах. Как правило, одна система АСУ ТП выполняет несколько функций. Один и тот же технологический процесс (ТП), хоть и рассматривается как единое целое, зачастую исполняет несколько функций. Также у самой АСУ имеются функции, не влияющие на процесс. И для определения надежности системы необходимо определять, какие элементы участвуют в выполнении каких функций. Необходимо определять последовательности элементов, выполняющие ту или иную функциональную задачу. Данная процедура разделения имеющейся системы на подсистемы (компоненты) называется декомпозицией [14]. Рис. 1. Зависимый отказ в системе последовательно соединённых модулей Декомпозиция как процесс расчленения позволяет рассматривать любую исследуемую систему как сложную, состоящую из отдельных взаимосвязанных подсистем, которые, в свою очередь, также могут быть расчленены на части. При декомпозиции каждое расчленение образует свой уровень. На этапе декомпозиции, обеспечивающем общее представление системы, осуществляются определение и декомпозиция общей цели исследования и основной функции системы как ограничение траектории в пространстве состояний системы или в области допустимых ситуаций. Наиболее часто декомпозиция проводится путем построения дерева целей и дерева функций. Глубина декомпозиции ограничивается [15]. Декомпозиция должна прекращаться, если необходимо изменить уровень абстракции - представить элемент как подсистему. Если при декомпозиции выясняется, что модель начинает описывать внутренний алгоритм функционирования элемента вместо закона его функционирования в виде «черного ящика», то в этом случае произошло изменение уровня абстракции. Это означает выход за пределы цели исследования системы и, следовательно, вызывает прекращение декомпозиции. Функциональная декомпозиция базируется на анализе функций системы. При этом ставится вопрос, что делает система, независимо от того, как она работает. Основанием разбиения на функциональные подсистемы служит общность функций, выполняемых группами элементов. С целью получения более полного представления о системе и её связях в структуру включают надсистему и составляющие её части [14; 15]. Чаще всего АСУ имеет древовидную структуру, когда из одной функциональной последовательности, выполняющей функцию получения конечного продукта, ответвляются иные функции, преимущественно функции контроля параметров системы [16]. В некоторых ситуациях выход из строя элемента, находящегося в горячем резерве, может повлиять на основной элемент. Многократно зарезервированный «коренной» модуль при выходе из строя его элемента может как выводить из строя надёжностно, логически не связанную с ним последовательность, так и нести повышенную опасность в общем. Рис. 2 иллюстрирует вышесказанное. Имеется система, выполняющая две функции. Первую функцию выполняют модули 1 и 2, вторую - 1 и 3. Причём модуль 2 дублирован. Собственный отказ резервного элемента 2.2 модуля 2 не приводит к прекращению выполнения первой функции. Но этот отказ вызывает зависимый отказ модуля 3, и из-за него прекращается выполнение второй функции. Таким образом, избыточность одного модуля предотвращает его отказ, но одновременно вызывает отказ других модулей системы и, следовательно, выводит другие функции из строя. Следовательно, при расчёте безотказности необходимо учитывать вероятность выхода системы из строя из-за зависимых отказов. Расчёт надежности с учётом зависимых отказов. Учёт зависимых отказов весьма серьёзно изменяет модель надежности системы. К примеру, если учитывать возможность вызова зависимого отказа элементом модуля, в том числе и резервным, у нас появляется способ учесть вероятность того, что повышение степени резервирования будет уменьшать надежность системы, с определённой вероятностью при отказе разрушая другие модули. Рассмотрим иллюстрирующий это пример (рис. 3). Возьмём систему, состоящую из двух последовательно соединённых модулей, причём второй модуль имеет n-кратное резервирование. Положим, что Р1 - вероятность безотказной работы элемента первого модуля; Р2 - вероятность безотказной работы элемента второго модуля. Без учета зависимых отказов вероятность безотказной работы Р = Р1(1 - (1 - Р2)n). Теперь предположим, что каждый элемент второго модуля имеет вероятность вызвать отказ первого модуля. Положим, что Рd - вероятность вызова отказом второго модуля отказа первого. Система будет исправна при следующих событиях: S1 - первый модуль собственно исправен; S2 - исправен хотя бы один из элементов второго модуля; S3 - не произошёл зависимый отказ первого модуля, вызванный элементом второго. Следовательно, для безотказности системы должно быть верным следующее выражение: . Рис. 2. Зависимый отказ в многофункциональной АСУ Рис. 3. Система с избыточностью и зависимыми отказами Вероятность S1 равна Р1, а вероятность события S2 определяется по формуле Рs2 = 1 - (1 - P2)n. Вероятность события S3 находится как обратная вероятность наступления двух событий одновременно (отказ элемента второго модуля и вызов им зависимого отказа): Ps3 = 1 - (1 - P2n)Pd. Вероятность безотказной работы с учетом этого вычисляется как Р = Р1(1 - (1 - P2)n)·(1 - (1 - P2n) Pd). (1) Заключение. Выражение (1) показывает, что при увеличении избыточности резервирования надежность системы с учётом зависимых отказов одновременно и растёт из-за резервирования, и убывает из-за наличия зависимых отказов. Следовательно, для повышения надежности систем следует применять иные, чем введение избыточных элементов, методы повышения надежности и вводить меры предотвращения опасных воздействий. Таким образом, представленная формализация подхода к оценке надежности АСУ с зависимыми отказами позволяет построить модель, которая будет обладать большей гибкостью, учитывать влияние опасных ситуаций на безотказность многофункциональных АСУ.
×

About the authors

P. A. Kuznetsov

Siberian State Technological University

Email: forubox@yandex.ru
82, Mira Av., Krasnoyarsk, 660049, Russian Federation

References

  1. Авиженис А. Н., Лапри Ж. К. Гарантоспособные вычисления: от идей до реализации в проектах // ТИИЭР. 1986. Т. 74, № 5. С. 8-21
  2. Курочкин Ю. А., Смирнов А. С., Степанов В. А. Надежность и диагностирование цифровых устройств и систем. СПб. : Изд-во Санкт-Петербургского ун-та, 1993. 320 с
  3. Ковалев И. В. Анализ проблем в области исследования надежности программного обеспечения: многоэтапность и архитектурный аспект // Вестник СибГАУ. 2014. № 3 (55). С. 78-92
  4. Рябинин И. А. Надежность и безопасность структурно-сложных систем. СПб. : Изд-во Санкт-Петербургского ун-та, 2007. 276 с
  5. Надежность технических систем : учеб. пособие / под общ. ред. Е. В. Сугака и Н. В. Василенко. Красноярск : НИИ СУВПТ, 2000. 608 с
  6. Охтилев М. Ю., Соколов Б. В. Интеллектуальные технологии мониторинга и управления структурной динамикой сложных технических объектов. М. : Наука, 2006. 410 с
  7. К вопросу оценки надежности АСУсблокирующими модулями защиты / И. В. Ковалев [и др.] // Приборы. 2013. Вып. 6. С. 20-24
  8. Кузнецов П. А., Бесчастная Н. А., Бахмарева К. К. Модификация метода Волковича-Михалевича с целью оптимизации затрат при синтезе отказоустойчивых информационно-вычислительных систем // Вестник СибГАУ. 2012. № 6(46). С. 97-100
  9. ГОСТ Р 22.10.01-2001. Безопасность в чрезвычайных ситуациях. Оценка ущерба. Термины и определения [Электронный ресурс]. URL: http://vsegost.com/ Catalog/64/6474.shtml (дата обращения: 12.02.2015)
  10. Безопасность и надежность технических систем : учеб. пособие / Л. Н. Александровская [и др.] М. : Логос, 2004. 280 с
  11. ГОСТ 27.002-89. Надежность в технике. Основные понятия. Термины и определения [Электронный ресурс]. URL: http://vsegost.com/Catalog/11/ 11290.shtml (дата обращения: 12.02.2015)
  12. Общие положения обеспечения безопасности ядерных энергетических установок судов : федер. нормы и правила в области использования атомной энергии НП-022-2000 (утв. постановлением Госатомнадзора РФ от 27 сентября 2000 г. № 5)
  13. IAEA-TECDOC-probabilistic safety assessment [Электронный ресурс]. Vienna, Austria, 1992, 36 p. URL: http://www-pub.iaea.org/books/IAEABooks/908/ Procedures-for-Conducting-Common-Cause-Failure-Analysis-in-Probabilistic-Safety-Assessment (дата обращения: 12.02.2015)
  14. Родионов М. Г. Информационно-измеритель-ные системы: теория систем и системный анализ : учеб. пособие. Омск : Изд-во ОмГТУ, 2011. 83 c
  15. Хорошев А. Н. Введение в управление проектированием механических систем : учеб. пособие. Белгород, 1999. 372 с
  16. Васильев А. А. Электрическая часть станций и подстанций : учебник для вузов / под ред. А. А. Васильева. 2-е изд. М. : Энергоатомиздат, 1991. 600 с

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Copyright (c) 2015 Kuznetsov P.A.

Creative Commons License
This work is licensed under a Creative Commons Attribution 4.0 International License.

This website uses cookies

You consent to our cookies if you continue to use our website.

About Cookies