Национальный стандарт РФ ГОСТ Р МЭК 61078-2021
"Надежность в технике. Структурная схема надежности"
(утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 сентября 2021 г. N 989-ст)
Dependability in technics. Reliability block diagrams
УДК 362:621.001:658.382.3:006.354
ОКС 03.120.01;
03.120.99
Дата введения - 1 января 2022 г.
Взамен ГОСТ Р 51901.14-2007 (МЭК 61078:2006)
Предисловие
1 Подготовлен Закрытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ЗАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 Внесен Техническим комитетом по стандартизации ТК 119 "Надежность в технике"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 21 сентября 2021 г. N 989-ст
4 Настоящий стандарт идентичен международному стандарту МЭК 61078:2016 "Структурная схема надежности" (IEC 61078:2016 "Reliability block diagrams", IDT).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 Взамен ГОСТ Р 51901.14-2007 (МЭК 61078:2006)
Введение
Структурная схема надежности (RBD) является наглядным представлением путей успешного функционирования системы. На этой схеме показаны логические связи функционирующих компонентов (представленных в виде блоков), необходимые для успешной работы системы (далее - "успех системы"). Следовательно, RBD эквивалентна логическому уравнению булевых переменных, а вероятностные вычисления в основном связаны с ситуацией, когда значения вероятностей успеха/отказа блоков постоянны.
Существует много различных методов анализа надежности, одним из которых является RBD. Таким образом, цель каждого метода и их индивидуального или совместного применения состоит в оценке коэффициента готовности, вероятности безотказной работы, частоты отказов и других применимых показателей надежности, которые должны быть изучены аналитиком до принятия решения об использовании RBD. Следует также рассмотреть результаты, получаемые каждым методом, данные, необходимые для выполнения анализа, сложность анализа и другие факторы, указанные в настоящем стандарте.
Если блоки RBD не зависят друг от друга и порядок, в котором происходят отказы, не имеет значения, то вычисление вероятностей может быть распространено на показатели, зависящие от времени, включая восстанавливаемые и невосстанавливаемые блоки (или компоненты). В этом случае должны быть рассмотрены три показателя, связанные с успешной работой системы: вероятность безотказной работы системы R S(t), коэффициент готовности A S(t) и частота отказов w S(t). Для систем, включающих восстанавливаемые компоненты, вычисления A S(t) и w S(t) могут быть довольно простыми, однако вычисление R S(t) подразумевает рассмотрение зависимостей в системе (см. 3.34), которые могут быть учтены в математической структуре RBD. Тем не менее в отдельных случаях доступна аппроксимация R S(t).
Метод RBD связан с анализом дерева отказов [1] и с марковскими методами [2]:
Базовая математика одинакова для RBD и анализа дерева отказов (FTA): RBD ориентирована на успех системы, FT - на отказ системы. Всегда можно преобразовать RBD в FT и наоборот. С математической точки зрения модели RBD и FT представляют собой две стороны одного и того же логического выражения. Поэтому математические разработки и ограничения для обоих методов одинаковы.
Если коэффициент готовности A i(t) одного блока может быть рассчитан с использованием отдельного марковского процесса [2], независимо от других блоков, A i(t) может быть использован в качестве входных данных для расчетов, связанных с RBD, включая этот блок. Подход, в котором RBD обеспечивает логическую структуру, а марковские процессы обрабатывают вычисления значений коэффициентов готовности блоков, называется подходом "RBD-управляемых марковских процессов".
Для систем, в которых необходимо учитывать порядок возникновения отказов, или когда ремонтируемые блоки не являются независимыми друг от друга, или если вероятность безотказной работы системы R S(t) не может быть рассчитана аналитическими методами, применимо моделирование Монте-Карло или другие методы моделирования, такие как динамические RBD, методы Маркова [2] или сети Петри [3].
1 Область применения
Настоящий стандарт устанавливает:
- требования к применению структурной схемы надежности (RBD) при анализе надежности:
- процедуры моделирования надежности системы с помощью структурной схемы надежности;
- способ использования RBD для качественного и количественного анализа;
- процедуры использования модели RBD для расчета коэффициента готовности, частоты отказов и показателей безотказности для систем различного типа с постоянными (или зависящими от времени) вероятностями успеха/отказа блоков, а также для невосстанавливаемых или восстанавливаемых блоков;
- некоторые теоретические аспекты и ограничения при вычислении коэффициента готовности, частоты отказов и показателей безотказности;
- связь с анализом дерева отказов (см. МЭК 61025 [1]) и методами Маркова (см. МЭК 61165 [2]).
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)].
IEC 60050-192, International Electrotechnical Vocabulary - Part 192: Dependability (Международный электротехнический словарь. Часть 192. Надежность) (доступно по адресу: http://www.electropedia.org)
IEC 61703, Mathematical expressions for reliability, availability, maintainability and maintenance support terms (Математические выражения для показателей безотказности, готовности, ремонтопригодности и обеспеченности техническим обслуживанием)
3 Термины и определения
В настоящем стандарте применены термины по МЭК 60050-192, а также следующие термины с соответствующими определениями:
3.1 структурная схема надежности RBD (reliability block diagram RBD): Логическое, графическое представление системы, показывающее, как состояния успеха ее подсистем (представленных блоками) и их комбинации влияют на состояние успеха системы.
Примечание 1 - Метод RBD был разработан в то время, когда термин "безотказность объекта" использовался как общий термин, характеризующий успешное функционирование, то есть надежность объекта. Этот общий термин теперь заменен термином "надежность объекта". Он используется в таких выражениях, как "разработка надежности", "исследование надежности", "структурная схема надежности". Термин "надежность", используемый в RBD, не означает, что этот метод позволяет напрямую рассчитывать показатель надежности сложной системы по показателям надежности составляющих ее блоков (см. 10.3.1.4).
Примечание 2 - RBD - ориентированный ациклический граф (т.е. граф без петель), представляющий логические связи между состоянием успеха системы и состоянием успеха составляющих ее блоков. Эта логическая структура в основном представлена простыми последовательными и параллельными графическими структурами (см. разделы 4 и 7).
Примечание 3 - Метод RBD может быть расширен для представления систем с несколькими состояниями (т.е. имеющих более двух состояний), но эти расширения не могут быть обработаны в структуре булевой логики.
[МЭК 60050-192:2015, 192-11-03, термин модифицирован, добавлены примечания]
3.2 булева модель (Boolean related model): Математическая модель, в которой состояние системы представлено логической функцией булевых переменных, представляющих состояния компонентов системы.
Примечание - Булева переменная а имеет только два значения, логическая функция нескольких булевых переменных также имеет только два значения. Эти два значения могут быть, например, {0, 1}, {работоспособное состояние и неработоспособное состояние}, {истина, ложь}, {работа, отказ} и т.д. Основная математика, лежащая в основе логических функций, - это булева алгебра.
3.3 RBD-управляемый марковский процесс (RBD driven Markov process): Марковский процесс, моделируемый RBD, состоящий из блоков, моделируемых отдельными субмарковскими моделями, не зависящими друг от друга.
Примечание 1 - Лежащая в основе RBD логика позволяет объединить индивидуальные коэффициенты готовности блоков для вычисления коэффициента готовности системы. Если блок моделируют небольшими индивидуальными марковскими процессами (например, с количеством состояний менее 10), RBD эквивалентна марковскому процессу, соответствующему системе, имеющей миллионы состояний. Это является основой большинства вероятностных расчетов, выполняемых с помощью RBD. Такой марковский процесс, построенный с использованием RBD, называется "RBD-управляемым марковским процессом".
Примечание 2 - Независимый марковский процесс разработан в [2].
3.4 динамическая RBD; DRBD (dynamic RBD, DRBD): Структурная схема надежности, где предположение о независимости блоков не выполнено.
3.5 некогерентная RBD (non-coherent RBD): Структурная схема надежности, моделирующая немонотонную логическую функцию.
Примечание 1 - Некогерентная RBD - это RBD, где блоки могут появляться как в прямом, так и в обратном состояниях (см. таблицу 3). В этом случае некоторые из минимальных путей успеха (см. 3.15) могут включать некоторые блоки в неработоспособном состоянии, а некоторые минимальные пути отказа - некоторые блоки в работоспособном состоянии. Понятия минимальных наборов соединений более не действительны и должны быть заменены понятием простых импликантов.
Примечание 2 - В некогерентной RBD минимальный путь успеха может стать путем отказа при ремонте блока в неработоспособном состоянии, а минимальный путь отказа может стать путем успеха при дальнейшем отказе одного блока в работоспособном состоянии. Поэтому такие RBD называют "некогерентными".
3.6 объект (item): Предмет рассмотрения.
Примечание - В настоящем стандарте термин "объект" охватывает главным образом систему, смоделированную RBD, и блоки RBD.
[МЭК 60050-192:2015, 192-01-01]
3.7 блок (block): Базовый элемент, используемый при построении RBD.
Примечание 1 - Блок имеет только два состояния (работоспособное и неработоспособное состояние) и может представлять собой любой объект (например, компоненты, функции, подсистемы) с двумя состояниями (восстанавливаемый или невосстанавливаемый). По аналогии и для упрощения формулировок восстанавливаемый/невосстанавливаемый блок представляет собой восстанавливаемый/невосстанавливаемый объект, отказ/ремонт блока представляет отказ/ремонт моделируемого объекта и работоспособное/неработоспособное состояние блока представляет работоспособное/неработоспособное состояние моделируемого объекта.
Примечание 2 - Количество состояний может быть увеличено и быть более двух для представления системы с количеством состояний (более двух), но такие расширения RBD не могут быть обработаны в рамках булевой логики.
Примечание 3 - Для целей настоящего стандарта блоки подразделяют на "элементарные блоки" или просто "блоки" и "составные блоки", состоящие из нескольких "элементарных блоков" (см. таблицу 3).
3.8 повторяющийся блок (repeated block): Блок, появляющийся в RBD более одного раза.
Примечание 1 - Повторяющиеся блоки представляют собой одни и те же физические объекты. Их не следует путать с дублированными блоками, представляющими различные, но сходные физические объекты, используемые для резервирования.
Примечание 2 - Повторяющиеся блоки могут появляться в прямом или обратном состоянии (т.е. блок появляется в работоспособном состоянии в одной части RBD и в неработоспособном состоянии в другой части RBD, или наоборот). Такие блоки очень полезны для представления RBD сложной системы или для представления RBD в виде путей успеха или отказа (см. 8.2).
3.9 работоспособное состояние (up state, available state): Состояние, в котором объект способен выполнять установленные функции.
Примечание 1 - Отсутствие необходимых внешних ресурсов может помешать работе, но не влияет на работоспособное состояние объекта.
Примечание 2 - Работоспособное состояние связано с готовностью объекта.
Примечание 3 - Объект одновременно может находиться в работоспособном состоянии по одним функциям и в неработоспособном состоянии по другим функциям.
Примечание 4 - Термин "работоспособный объект" означает объект, пребывающий в работоспособном состоянии.
Примечание 5 - В области применения RBD состояние блока идентично состоянию компонента, смоделированного этим блоком. Поэтому блок в работоспособном состоянии соответствует компоненту в работоспособном состоянии. Тот же подход применяют к RBD и соответствующей системе.
Примечание 6 - В RBD по аналогии с электрической схемой блок в работоспособном состоянии рассматривают как виртуальный переключатель в закрытом положении, а блок в неработоспособном состоянии - как виртуальный переключатель в открытом положении.
[МЭК 60050-192:2015, 192-02-01; термин модифицирован, добавлены примечания 5 и 6]
3.10 продолжительность работоспособного состояния (up time): Продолжительность периода времени, в течение которого объект пребывает в работоспособном состоянии.
[МЭК 60050-192:2015, 192-02-02]
3.11 средняя продолжительность работоспособного состояния MUT (mean up time MUT): Математическое ожидание продолжительности работоспособного состояния.
3.12 неработоспособное состояние (down state, unavailable state): Состояние объекта, в котором он не способен выполнить хотя бы одну требуемую функцию из-за внутренней неисправности или профилактического технического обслуживания.
Примечание 1 - Неработоспособное состояние связано с неготовностью объекта.
Примечание 2 - Термин "неработоспособный объект" обозначает объект в неработоспособном состоянии.
Примечание 3 - По отношению к RBD состояние блока соответствует состоянию компонента (соответственно системы), моделируемого этим блоком (соответственно этой RBD). Поэтому блок в неработоспособном состоянии на RBD соответствует компоненту (соответственно системе) в неработоспособном состоянии.
Примечание 4 - В RBD блок в неработоспособном состоянии может быть интерпретирован как открытый электрический переключатель.
[МЭК 60050-192:2015, 192-02-20]
3.13 продолжительность неработоспособного состояния (down time): Продолжительность периода времени, в течение которого объект пребывает в неработоспособном состоянии.
[МЭК 60050-192:2015, 192-02-21]
3.14 средняя продолжительность неработоспособного состояния MOT (mean down time MDT): Математическое ожидание продолжительности неработоспособного состояния.
[МЭК 60050-192:2015, 192-08-10]
3.15 путь успеха, набор соединений (success path, tie set): Набор блоков, причем каждый блок в наборе находится в работоспособном состоянии, что приводит к тому, что RBD обеспечивает состояние успеха системы.
Примечание - Термин "набор соединений" 1) использован по аналогии с электрической схемой, в которой блоки в работоспособном состоянии составляют замкнутый электрический контур от входа в RBD до выхода из нее.
------------------------------
1)Если RBD представить в виде электросхемы, в которой все блоки являются переключателями с двумя состояниями (переключатель замкнут, переключатель разомкнут), то набор соединений - это такой набор блоков в состоянии успеха (переключатель замкнут), при котором вся электрическая цепь замкнута (система находится в работоспособном состоянии).
------------------------------
3.16 минимальный набор соединений (minimal tie set): Такой набор соединений, при котором отказ (обрыв в электрическом контуре) одного (любого) из блоков набора приводит к отказу всей RBD (системы) 2).
------------------------------
2)Если RBD представить в виде электросхемы, в которой все блоки являются переключателями с двумя состояниями (переключатель замкнут, переключатель разомкнут), то набор обрывов - это такой набор, при котором вся электрическая цепь разомкнута (система находится в неработоспособном состоянии).
------------------------------
Примечание 1 - В минимальном наборе соединений необходимо, чтобы для сохранения работоспособного состояния системы каждый блок набора находился в работоспособном состоянии.
Примечание 2 - Порядок минимального набора соединений определяет количество блоков в работоспособном состоянии: минимальный набор соединений порядка 1 включает 1 блок в работоспособном состоянии, порядка 2 - 2 блока в работоспособном состоянии и т.д.
3.17 путь отказа, набор обрывов (failure path, cut set): Набор блоков, причем каждый блок в наборе находится в неработоспособном состоянии, что приводит к тому, что RBD обеспечивает неработоспособное состояние системы.
Примечание - Термин "набор обрывов" дан по аналогии с электрической схемой, в которой блоки в неработоспособном состоянии составляют незамкнутый электрический контур входа в RBD до выхода из нее.
3.18 минимальный набор обрывов (minimal cut set): Такой набор обрывов, при котором восстановление одного (любого) из блоков набора приводит к восстановлению RBD (системы).
Примечание 1 - В минимальном наборе обрывов для сохранения RBD в неработоспособном состоянии необходимо, чтобы каждый блок набора находился в неработоспособном состоянии.
Примечание 2 - Порядок минимального набора обрывов определяет количество блоков в неработоспособном состоянии: минимальный набор обрывов порядка 1 включает 1 блок в неработоспособном состоянии, порядка 2 - 2 блока в неработоспособном состоянии и т.д.
3.19 непересекающийся набор элементов (disjoint set of elements): Набор булевых элементов, пересечения которых пусты.
Пример - Например, если представляет собой набор непересекающихся наборов обрывов, то = j, и, следовательно, P( ) = 0 j.
Примечание 1 - Термин "элемент" применен здесь в значении, используемом в теории множеств, т.е. член заданного набора объектов.
Примечание 2 - Непересекающиеся элементы несовместны: когда один истинен, другой ложен и наоборот. Это описывает взаимоисключение и, следовательно, полную зависимость между элементами.
3.20 готовность объекта <item> (availability): Способность объекта выполнять требуемые функции в заданных условиях, в заданный момент или период времени при условии, что все необходимые внешние ресурсы обеспечены.
[МЭК 60050-192:2015, 192-01-23]
3.21 мгновенный коэффициент готовности A(t) (instantaneous availability, point availability): Вероятность того, что объект находится в данный момент времени в работоспособном состоянии.
[МЭК 60050-192:2015, 192-08-01; термин модифицирован]
3.22 мгновенный коэффициент неготовности U(t) (instantaneous unavailability point unavailability): Вероятность того, что в данный момент времени объект находится в неработоспособном состоянии.
[МЭК 60050-192:2015, 192-08-04; термин модифицирован]
3.23 средний коэффициент готовности (t 1, t 2) (mean availability average availability): Среднее значение мгновенного коэффициента готовности за заданный период времени (t 1, t 2).
[МЭК 60050-192:2015, 192-08-05]
3.24 средний коэффициент неготовности (t 1, t 2) (mean unavailability average unavailability): Среднее значение мгновенного коэффициента неготовности за заданный период времени (t 1, t 2).
Примечание - Средний коэффициент неготовности инструментальной системы безопасности (см. МЭК 61508 [5]) также называется "средняя вероятность отказа по запросу" (аббревиатура: PFD avg).
[МЭК 60050-192:2015, 192-08-06; термин модифицирован, заменено примечание 1]
3.25 стационарный (асимптотический) коэффициент готовности A st, A as (steady state availability, asymptotic availability): Предел, если он существует, мгновенного коэффициента готовности, когда время стремится к бесконечности.
Примечание - В некоторых случаях стационарный коэффициент готовности может быть представлен в виде отношения MUT/(MUT+MDT). См. ГОСТ 27.010.
По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "ГОСТ 27.010" следует читать "ГОСТ Р 27.010"
МЭК 60050-192:2015, 192-08-07]
3.26 безотказность (объекта) (reliability): Свойство объекта без отказов выполнять требуемые функции в течение заданного периода времени в заданных условиях.
[МЭК 60050-192:2015, 192-01-24; термин модифицирован, примечания исключены]
3.27 вероятность безотказной работы R(t 1, t 2), R(t) (reliability): Вероятность того, что в течение периода времени [t 1, t 2] в заданных условиях объект будет функционировать в соответствии с установленными требованиями.
Примечание - R(t) - вероятность безотказной работы за период времени [0, t].
[МЭК 60050-192:2015, 192-01-24; термин модифицирован, примечания заменены]
3.28 вероятность отказа F(t 1, t 2), F(t) (unreliability): Вероятность того, что в течение периода времени, [t 1, t 2] при работе в заданных условиях объект откажет.
Примечание 1 - F(t) - вероятность отказа за период времени [0, t].
Примечание 2 - Вероятность отказа связана с вероятностью безотказной работы соотношением F(t) = 1 - R(t).
3.29 мгновенная интенсивность отказов, интенсивность отказов (t) (instantaneous failure rate, failure rate): Предел, если он существует, отношения условной вероятности того, что отказ невосстанавливаемого объекта произойдет за период времени [t, t + ] к , когда стремится к нулю, при условии, что в течение периода времени [0, t] отказ не произошел.
Примечание 1 - Это определение является адаптированным определением IEC 60050-192 и охватывает восстанавливаемые объекты:
- если объект не имеет внутреннего встроенного резервирования, то интенсивность отказов идентична интенсивности отказов невосстанавливаемого объекта;
- если объект имеет внутреннее встроенное резервирование, он может оставаться в работоспособном состоянии при отказе некоторых резервированных частей. Эти отказы можно ремонтировать до тех пор, пока весь объект не перейдет в неработоспособное состояние из-за отказа следующей части.
Примечание 2 - Термины "интенсивность отказов" (3.29), "условный параметр потока отказов" (3.30) и "безусловный параметр потока отказов" (3.31) выглядят похожими, они отличаются условными событиями в их определениях. Даже если эти параметры в некоторых случаях имеют близкие числовые значения, их не следует путать, поскольку они различны по смыслу.
[МЭК 60050-192:2015, 192-05-06; термин модифицирован, заменены примечания]
3.30 мгновенный условный параметр потока отказов; условный параметр потока отказов; интенсивность отказов Веселя (t) (instantaneous conditional failure intensity, conditional failure intensity, Vesely failure rate): Предел, если он существует, отношения условной вероятности того, что отказ объекта произойдет в течение периода времени [t, t + ] к когда стремится к нулю, при условии, что объект находится в работоспособном состоянии в момент времени t = 0.
Примечание - См. примечание 2 к 3.29.
3.31 мгновенный безусловный параметр потока отказов, безусловный параметр потока отказов; частота отказов w(t) (instantaneous unconditional failure intensity, unconditional failure intensity, failure frequency): Предел, если он существует, отношения условной вероятности того, что отказ произойдет в течение периода времени [t, t + ], к , когда стремится к нулю, при условии, что объект находился в работоспособном состоянии в момент времени 0.
Примечание 1 - См. примечание 2 к определению интенсивности отказов (3.29).
Примечание 2 - Этот параметр эквивалентен параметру потока отказов в МЭК 60050-192:2015 (192-05-08). Наименование термина изменено, чтобы отличать его от термина "условный параметр потока отказов" (3.30).
3.32 средняя частота отказов vv avg (0, T) (average failure frequency): Количество отказов объекта в единицу времени, усредненное за заданный период времени Т.
Примечание 1 - Если N - количество отказов объекта за период [0, T], то средняя частота отказов за этот период равна w avg (0, T) = N/T.
Примечание 2 - Если m - средняя наработка между отказами объекта (см. МЭК 60050-192) изделия, то среднее количество отказов за период времени [0, T] равно N Т/m. Следовательно, w avg (0, Т) = N/T 1/m.
Математически w avg (0, T) - среднее значение w(t) за период [0, T]. Следовательно, .
3.33 средняя наработка до отказа MTTF (mean operating time to failure MTTF): Математическое ожидание наработки объекта до отказа.
Примечание 1 - В случае невосстанавливаемых объектов, если наработка до отказа подчиняется экспоненциальному распределению (то есть интенсивность отказов постоянна), MTTF численно равна величине, обратной интенсивности отказов. Это также верно для восстанавливаемых объектов, если после восстановления их можно считать "как новые".
[МЭК 60050-192, 192-05-11; термин модифицирован, примечание 2 исключено]
3.34 системная зависимость; холистическая зависимость (systemic dependency, holistic dependency): Зависимость между частями системы, когда систему рассматривают как единое целое.
Пример 1 - Единственная ремонтная бригада устанавливает системную зависимость между ремонтируемыми объектами: когда объект отказал, он может быть отремонтирован только в том случае, если ремонтная бригада не занята ремонтом другого объекта, относящегося к системе.
Пример 2 - Вероятность безотказной работы системы R(t) может быть представлена в виде вероятности того, что система будет находиться в работоспособном состоянии в момент времени t при условии, что она не отказывала в течение периода времени [0, t]. Поэтому могут быть сохранены только последовательности событий, которые не приводят к неработоспособному состоянию в течение периода времени [0, t], а последовательности событий, которые включают переходы "работоспособное состояние" "неработоспособное состояние" "работоспособное состояние", должны быть исключены из расчетов. Это означает в отношении расчета R(t), что объект, переходящий в неработоспособное состояние, подлежит ремонту только в том случае, когда система остается в работоспособном состоянии в течение времени ремонта объекта. Поэтому в отношении расчета R(t) объект подлежит (или не подлежит) ремонту в зависимости от состояний других блоков, и это составляет системные зависимости между всеми блоками RBD, моделирующей систему.
Примечание 1 - Системная зависимость не может быть описана как локальное свойство отдельных объектов системы.
3.35 бинарная диаграмма принятия решений BDD (binary decision diagram BDD): Компактное дерево принятия решений, основанное на декомпозиции Шеннона булева выражения.
Рисунок 1 - Декомпозиция Шеннона простого булева выражения и результирующая BDD
Примечание 1 - На рисунке 1 показано, как простое булево выражение s = а + b может быть преобразовано в дерево решений с использованием декомпозиции Шеннона, и затем как соответствующая BDD может быть получена путем сбора частей, дающих одно и то же значение (0 или 1) булева выражения.
Примечание 2 - С точки зрения математики BDD - это корневой направленный ациклический граф. Это структура данных, представляющая булевы выражения в виде объединений отдельных членов. Это, в свою очередь, приводит к точным вероятностным расчетам. Это подход к вероятностному расчету на основе булевых моделей. Более подробная информация о BDD приведена в [33].
4 Условные обозначения, сокращения и аббревиатуры
Таблица 1 - Сокращения
Аббревиатура/ сокращение |
Значение |
BDD |
бинарная диаграмма принятия решений |
CCF |
отказ по общей причине |
FMEA |
анализ видов и последствий отказов |
FT, FTA |
дерево неисправностей, анализ дерева неисправностей |
MTTF |
средняя наработка до отказа |
MTTR |
среднее время восстановления |
DBRD |
динамическая структурная схема надежности |
PFD avg |
средний коэффициент неготовности |
PAND |
вентиль очередности И |
PN |
сеть Петри |
RBD |
структурная схема надежности |
SEQ |
последовательный вентиль |
Таблица 2 - Обозначения
Условное обозначение |
Значение |
S |
Система, смоделированная с помощью RBD |
Х (А,В,С, ..), X S |
Блоки, используемые в RBD. S зарезервировано для системы, другие буквы используют для блоков |
s = S в работоспособном состоянии |
Логическая переменная, указывающая, что система S находится в работоспособном состоянии. Это также событие "Система S находится в работоспособном состоянии" |
s = S в неработоспособном состоянии |
Логическая переменная, указывающая на то, что система S находится в неработоспособном состоянии. Это также событие "Система S находится в неработоспособном состоянии" |
х = X в работоспособном состоянии |
Логическая переменная, указывающая, что блок Х находится в работоспособном состоянии. Это также событие "X находится в работоспособном состоянии" |
х = X в неработоспособном состоянии |
Логическая переменная, указывающая на то, что блок X находится в неработоспособном состоянии. Это также событие "X находится в неработоспособном состоянии" |
(П i), (С i) |
Минимальные пути успеха (минимальные наборы соединений), минимальные пути отказа (минимальные наборы обрывов) |
(), () |
Непересекающиеся пути успеха (непересекающиеся наборы соединений), непересекающиеся пути отказа (непересекающиеся наборы обрывов) |
Р() |
Функция вероятности |
P s = P (S в работоспособном состоянии) |
Постоянная вероятность того, что система S находится в работоспособном состоянии |
= Р (S в неработоспособном состоянии) |
Постоянная вероятность того, что система S находится в работоспособном состоянии |
Р х = P (X в работоспособном состоянии) |
Постоянная вероятность того, что блок X находится в работоспособном состоянии |
= Р (X в неработоспособном состоянии) |
Постоянная вероятность того, что блок Х находится в неработоспособном состоянии |
= Р (S в работоспособном состоянии| X в работоспособном состоянии) |
Условная вероятность того, что система S находится в работоспособном состоянии, блок Х находится в работоспособном состоянии |
= Р (S в работоспособном состоянии| X в неработоспособном состоянии) |
Условная вероятность того, что система S находится в работоспособном состоянии при условии, что блок X находится в неработоспособном состоянии |
P s(t) |
Зависящие от времени вероятности того, что система S находится в работоспособном состоянии |
P x(t) |
Зависящая от времени вероятность того, что блок Х находится в работоспособном состоянии |
P s(t) |
Зависящие от времени вероятности того, что система S находится в неработоспособном состоянии |
P x(t) |
Зависящая от времени вероятность того, что блок Х находится в неработоспособном состоянии |
Р(ОК, t) |
Вероятность состояния ОК в момент времени t |
t, t i |
Текущий момент времени |
T, T i |
Продолжительность времени |
[t 1, t 2], [0, T] [t 1 = 0, t 2 = 0 + T] |
Период времени t 1 < t 2 |
A S(t) - P(S в работоспособном состоянии в момент времени t) |
Коэффициент готовности системы S в момент времени t |
(t 1, t 2), (0, T), (T) |
Средний коэффициент готовности системы S за период времени [t 1, t 2] или [0, T] |
, , |
Средний коэффициент готовности системы S за период времени [0, ], стационарный коэффициент готовности и асимптотический коэффициент готовности |
A X(t) = Р (Х в работоспособном состоянии в момент времени t) |
Коэффициент готовности блока X в момент времени t |
A i(t) = (t) = Р (X i в работоспособном состоянии в момент времени t) |
Коэффициент готовности X i в момент времени t |
(t 1, t 2), (0, T), (T) |
Средний коэффициент готовности блока X за период времени [t 1, t 2] или [0, T] |
, , |
Средний коэффициент готовности блока X за период времени [0, ], стационарный и асимптотический коэффициент готовности |
U S(t) = Р (S в неработоспособном состоянии в момент времени t) |
Коэффициент неготовности системы S в момент времени t |
(t 1, t 2), (0, T), (T) |
Средний коэффициент неготовности системы S за период времени [t 1, t 2] или [0, T] |
, , |
Средний коэффициент неготовности системы S за период [0, ], стационарный и асимптотический коэффициент неготовности |
U X(t) = P (X в неработоспособном состоянии в момент времени t) |
Коэффициент неготовности блока X в момент времени t |
U i(t) = (t) = Р (Х i в неработоспособном состоянии в момент времени t) |
Коэффициент готовности X i в момент времени t |
(t 1, t 2), (0, T), (T) |
Средний коэффициент неготовности блока X за период времени [t 1, t 2] или [0, T] |
, , |
Средний коэффициент неготовности блока X за период времени [0, ], стационарный коэффициент неготовности и асимптотический коэффициент неготовности |
R S(t) = P (S в работоспособном состоянии в течение периода времени [0, t]) |
Вероятность безотказной работы системы S за период времени [0, t] |
F S(t) = 1 - R S(t) |
Вероятность отказа системы S за период времени [0, t] (функция распределения отказов системы S) |
f S(t) |
Плотность распределения наработки до отказа системы S |
R X(t) = P (X в работоспособном состоянии в течение периода времени [0, t]) |
Вероятность безотказной работы блока X за период времени [0, t] |
F X(t) = 1 - R X(t) |
Вероятность отказа блока X за период времени [0, t] (функция распределения отказов блока X) |
f X(t) |
Функции плотности наработки до отказа блока X |
, (t) |
Постоянная и зависящая от времени интенсивности отказов системы S |
, (t) |
Условный параметр потока отказов (интенсивность отказов Веселя) системы в целом |
w S(t) |
Безусловный параметр потока отказов (частота отказов) системы S в момент времени t |
W S(0, T), W S(T) |
Математическое ожидание количества отказов системы S за период времени [0, T] |
(0, T), (T) |
Средний безусловный параметр потока отказов (средняя частота отказов) системы S за период времени [0, T] |
, (t) |
Постоянная и зависящая от времени интенсивность отказов блока X |
w X(t) |
Безусловный параметр потока отказов (частота отказов) блока X, в момент времени t |
W X(0, T), W X(T) |
Математическое ожидание количества отказов блока X за период времени [0, T] |
(0, T), (T) |
Средний безусловный параметр потока отказов (средняя частота отказов) блока X за период времени [0, T] |
Интенсивность отказов неработающего блока X |
|
, (t) |
Постоянная или зависящая от времени интенсивности ремонта блока X |
Количество способов выбора r блоков из n блоков без учета порядка: |
|
"0", "1" |
Символы, используемые в таблицах истинности, карте Карно, декомпозиции Шеннона и бинарных диаграммах принятия решений для обозначения неработоспособного состояния (отказа) и работоспособного состояния блоков или системы |
, |
Булевы операторы, обозначающие логическое И; например, , (пересечение) |
, + |
Булевы операторы, обозначающие логическое ИЛИ; например , а + b (объединение) |
, |
"Невозможное" событие и "определенное" событие |
При составлении структурной схемы надежности (RBD) рекомендуется использовать условные обозначения, приведенные в таблице 3.
Таблица 3 - Графическое представление RBD: логические структуры
Графическое представление |
Значение |
Вход. Выход. Такие обозначения используют для удобства. Они не являются обязательными, но могут быть полезны в случаях, когда направление имеет значение |
|
RBD - это направленный граф. Направление каждого соединения от входа к выходу (например, слева направо). При необходимости для исключения ошибок стрелки могут быть добавлены |
|
(Элементарный) блок: группировка оборудования, компонентов или других элементов системы |
|
Последовательная структура: система находится в работоспособном состоянии, если А и В находятся в работоспособном состоянии. RBD представляет логическая функция . С точки зрения отказов она эквивалентна |
|
Параллельная структура (полное активное резервирование): система находится в работоспособном состоянии, если А или В находятся в работоспособном состоянии. RBD соответствует логической функции . C точки зрения отказов она эквивалентна |
|
Вентиль НЕ: выход вентиля равен 0, если его вход равен 1, и наоборот |
|
Вентили перехода: выхода и входа с одним и тем же именем. Это полезно для: - разделения больших RBD на несколько более мелких частей (суб-RBD); - перевода выхода из одного места RBD в другое место RBD |
|
Составной блок: группировка элементарных блоков. Это может быть полезно для упрощения RBD и указания частей, нуждающихся в дальнейшей разработке, или сбора независимых отдельных блоков в структуру, не зависящую от остальной части RBD |
|
Повторяющиеся блоки: один и тот же блок, представляющий данный элемент, появляется в нескольких местах RBD либо в прямом состоянии, либо в обратном состоянии, т.е. если блок А в прямом состоянии находится в работоспособном состоянии, то блок в обратном состоянии находится в неработоспособном состоянии, и наоборот. Такое обозначение используют для некогерентных RBD |
|
Внешний элемент, взаимодействующий с одним или несколькими блоками RBD. Такое обозначение используют для динамических RBD |
|
Логика успеха большинства (обозначение m/n): по крайней мере, m из n блоков необходимо для успешного функционирования системы с активным резервированием.
Примечание - Важно различать логику успеха m из n и логику отказа m из n в дереве неисправностей. Для этого обычно достаточно показать область применения (RBD или дерево неисправностей). Соотношение имеет вид: (m/n) успех ([n - m + 1]/n) отказ |
Таблица 4 - Графическое представление RBD: небулевы структуры/DRBD
Графическое представление |
Значение |
Резервирование замещением: В начинает функционирование, когда А отказывает |
|
Функциональные зависимости: состояние А зависит от события E v. Это событие может быть внешним или внутренним по отношению к RBD. Данный символ напоминает, что зависимость существует, но тип зависимости может быть различным и должен быть описан |
|
Полная функциональная зависимость: если происходит событие Е v, то блок А переходит в неработоспособное состояние. Это событие может быть внешним или внутренним по отношению к RBD. Оно играет роль триггера, используемого в аналогичных структурах, реализованных в динамическом дереве неисправностей |
|
Вентиль очередности И: выход переходит в неработоспособное состояние, когда входы переходят неработоспособное состояние в порядке I 1, потом I 2, то I 3, ... I n. Входы I 1, I 2, I 3, ... I n не зависят друг от друга. Данный вентиль введен для использования в динамических деревьях неисправностей, это объясняет, почему вентиль НЕ используют для инвертирования входов и выходов в соответствии с логикой RBD |
|
Последовательный вентиль: выход переходит в неработоспособное состояние, если входы переходят в неработоспособное состояние: неработоспособное в порядке I 1, затем I 2, затем I 3, ... I n. Входы не являются независимыми, так как I n не может перейти в неработоспособное состояние, если I n-1 еще не в неработоспособном состоянии, I n-1 не может перейти в неработоспособное состояние, если I n-2 еще не находится в неработоспособном состоянии, и т.д. Данный вентиль введен для использования в динамических деревьях. Это объясняет, почему вентиль НЕ используют для инвертирования входов и выходов в соответствии с логикой RBD |
5 Предварительные рассмотрения, основные предположения и ограничения
5.1 Общие положения
В моделях RBD систем используют логические связи между состоянием успеха (работоспособным состоянием) системы (в общей RBD) и состоянием успеха (работоспособным состоянием) ее компонентов (блоков RBD). Таким образом, RBD формирует логическую формулу, именно поэтому RBD не обязательно аналогична физической структуре системы (например, два резервных запорных клапана, расположенные последовательно на одной трубе, представлены в RBD двумя блоками, расположенными параллельно друг другу).
Во-первых, RBD может быть использована для целей качественного анализа путем выявления комбинаций блоков в работоспособном состоянии, позволяющих системе находиться в работоспособном состоянии (путей успеха или наборов соединений) или комбинаций блоков, находящихся в неработоспособном состоянии, ведущих к неработоспособному состоянию системы (путей отказа или наборов обрывов).
Во-вторых, RBD может быть использована для вероятностных расчетов, и поскольку это статическое представление (при отсутствии зависимости от времени), то вероятностные правила в основном связаны с блоками с постоянными вероятностями успеха или отказа.
Метод можно распространить на зависящие от времени вероятностные расчеты. Это может быть трудно для расчета вероятности безотказной работы, но для расчета коэффициента готовности и частоты при условии, что блоки не зависят друг от друга, нет никаких ограничений, кроме математических трудностей, связанных с распределением, которое может быть использовано для описания наработки до отказа или ремонта блоков. Это позволяет, например, смоделировать коэффициент готовности/неготовности каждого из блоков с помощью аналитических формул, результаты которых объединяют в соответствии с логикой RBD для определения коэффициента готовности системы (RBD). Если эти аналитические формулы получены с помощью марковских процессов, RBD эквивалентна глобальному марковскому процессу, моделирующему всю систему. Такая модель называется "RBD-управляемым марковским процессом". Это основа большинства вероятностных расчетов с помощью RBD.
5.2 Предварительные условия и основные предположения
RBD представляет собой направленный ациклический граф (т.е. граф без петель или обратных связей), который можно начертить, используя основные логические структуры, представленные в таблице 3. RBD используют для моделирования состояния системы на основе следующих основных предположений:
a) система имеет только два состояния: работоспособное (состояние успеха) и неработоспособное (состояние отказа);
b) блоки RBD моделируют компоненты системы или ее части (например, группы компонентов). Каждый блок имеет только два состояния: работоспособное (состояние успеха) или неработоспособное (состояние отказа);
c) RBD представляет собой логику, связывающую состояние успеха системы с состоянием успеха ее составных частей (блоков);
d) каждый блок не зависит от других блоков.
Приведенные выше предположения должны быть, как правило, выполнены для применения аналитических расчетов (т.е. расчетов по формулам), разработанных в настоящем стандарте. Если предположения не выполнены, аналитические расчеты могут быть заменены моделированием методом Монте-Карло или другими методами, такими как марковский анализ [2], сети Петри [3] или динамические RBD, описанные в 12.2 и приложении Е.
5.3 Ограничения
Предположения, приведенные в 5.2, представляют собой некоторые ограничения, но существуют и другие, менее очевидные ограничения при рассмотрении вероятностей, зависящих от времени. В частности, пользователям настоящего стандарта следует знать о проблемах, связанных с требованием независимости, которое должно быть выполнено всегда, например:
a) последовательные события не входят в область применения булевых моделей. Они в принципе не могут быть обработаны RBD. Тем не менее в простых случаях, таких как резервирование замещением, можно преодолеть эту проблему, рассматривая составные блоки (см. таблицу 3 и 7.5.3) независимо от других блоков;
b) расчеты коэффициента готовности или частоты восстанавливаемых систем предполагают, что ремонты блоков не зависят друг от друга, т.е. для ремонта каждого блока имеется своя ремонтная бригада;
c) расчеты показателей безотказности восстанавливаемых систем предполагают, что отказавший блок может быть восстановлен только в том случае, если система при возникновении отказа все еще работает. Это вводит системные зависимости между состояниями блоков, а также между состояниями блоков и системы (см. пункт 10.3.1.4). Это нарушает предположение, описанное в 5.2 d); поэтому, за исключением частных случаев и приближений, аналитические расчеты показателей безотказности, как правило, невозможны.
При условии выполнения предположений, приведенных в 5.2, метод RBD можно использовать непосредственно для качественного анализа и расчетов коэффициента готовности и частоты, но для расчета показателей безотказности он может быть использован только в частных случаях.
Следует отметить, что при выполнении вероятностных расчетов доступны хорошие аппроксимации с низкими вероятностями (например, отказа компонентов/блоков), которые не могут быть использованы при высоких вероятностях (например, вероятностях успеха компонентов/блоков). Поэтому для преодоления этого ограничения лучше работать с вероятностями отказа (коэффициента неготовности), а не с вероятностями успеха (коэффициента готовности).
6 Установление состояний успеха/отказа системы
6.1 Общие положения
Необходимым условием построения моделей безотказности системы является четкое понимание путей функционирования системы и ее компонентов. Система часто требует более одного определения успеха/отказа. Эти определения должны быть установлены и перечислены. RBD может быть выполнена на разных уровнях: уровне системы, уровне подсистем (модулей) или уровне сборочных единиц. Если RBD создают для дальнейшего анализа (например, для FMEA), должен быть выбран уровень, подходящий для такого анализа.
Кроме того, должно быть четко установлено следующее:
- функции, которые должны быть выполнены;
- параметры работы и их допустимые пределы;
- условия окружающей среды и эксплуатации.
После определения успеха/отказа системы следующим этапом является определение логических блоков для разделения системы в соответствии с целью анализа безотказности. Отдельные блоки могут представлять собой подструктуры системы и, в свою очередь, могут быть представлены своими RBD (сокращение системы, см. 11.2).
Для количественной оценки RBD существуют различные методы. В зависимости от типа структуры могут быть применены простые булевы методы (см. 7) и/или анализ наборов путей и обрывов (см. 8). Расчеты могут быть выполнены с использованием аналитических методов (например, базовые методы расчета коэффициента готовности компонент) или с помощью моделирования методом Монте-Карло. Преимущество моделирования методом Монте-Карло заключается в том, что вероятности событий в RBD могут быть не объединены аналитически, так как само моделирование учитывает, функционирует блок или отказал (см. 12.2 и F.5).
Поскольку RBD описывает логические соотношения, необходимые для функционирования системы, то RBD не обязательно отражает физические связи аппаратного обеспечения, хотя RBD обычно следует, насколько это возможно, физическим связям системы.
6.2 Детальные рассмотрения
6.2.1 Работа системы
Возможно использование системы в нескольких функциональных режимах. Если для каждого режима использована отдельная система, такие режимы должны быть обработаны независимо от других режимов, и соответственно для них следует использовать отдельные модели безотказности. Поэтому, если одна и та же система выполняет все функции, следует использовать отдельные RBD для каждого типа операций. Четкие формулировки того, что представляет собой успех/отказ системы для каждого аспекта работы системы, являются обязательным условием.
6.2.2 Условия окружающей среды
Требования к работе системы должны сопровождаться описанием условий окружающей среды, в которых система должна функционировать. Также должно быть включено описание всех условий, воздействию которых система будет подвергаться в процессе эксплуатации, транспортировки, хранения и использования.
Конкретный элемент оборудования часто используют в нескольких условиях окружающей среды, например на борту корабля, в самолете или на земле. Если это так, то оценки показателей безотказности могут быть выполнены каждый раз с использованием одной и той же RBD, но с использованием соответствующей интенсивности отказов компонента (блока) для каждой среды.
6.2.3 Рабочие циклы
Должно быть установлено соотношение между календарным временем, временем работы и циклами включения/выключения. Если можно предположить, что процесс включения и выключения оборудования не способствует возникновению отказов, а также, что интенсивность отказов оборудования в периоды неиспользования ничтожно мала, тогда необходимо учитывать только фактическое время работы оборудования.
Тем не менее в некоторых случаях процесс включения и выключения сам по себе является основной причиной возникновения отказов оборудования, и оборудование может иметь более высокую частоту отказов в период неиспользования, чем в процессе эксплуатации (например, из-за влажности и коррозии). В сложных случаях, когда только части системы включаются и выключаются, могут быть более подходящими методы моделирования, отличные от RBD (например, Марковский анализ или сети Петри).
7 Элементарные модели
7.1 Разработка модели
Первый этап - это определение успеха/отказа системы. Если использовано более одного определения для успеха или отказа каждого из них, может потребоваться отдельная RBD. Следующим этапом является разделение системы на блоки для отражения логических связей таким образом, чтобы каждый блок статистически не зависел от других. Следует постараться сделать блоки как можно больше, гарантируя при этом, что каждый блок не включает (предпочтительно) резервирование.
Следующий этап заключается в построении RBD в соответствии с определением успеха/отказа системы, которая соединяет блоки и формирует путь успеха (см. 3.15). Как указано на схеме, различные пути успеха между входом и выходом проходят через комбинации блоков, которые должны функционировать для функционирования системы.
Примечание - На практике в зависимости от конфигурации системы может возникнуть необходимость в повторных построениях RBD (каждый раз учитывая этапы, упомянутые выше), прежде чем будет создана и отработана подходящая структурная схема.
7.2 Последовательные структуры
Если для функционирования системы необходимо, чтобы все блоки функционировали, то в соответствующей RBD все блоки соединены последовательно, как показано на рисунке 2.
Рисунок 2 - Последовательная структурная схема надежности
На этой схеме "|" - вход, "О" - выход и А, В, С, ... Z - блоки, которые вместе составляют систему. RBD такого типа называют "последовательные RBD" или "последовательные модели".
Такая структура моделирует следующую логическую функцию:
,
(1)
где a, b, с и z представляют собой состояния успеха блоков А. В, С и Z (см. таблицу 2) и s - состояние успеха соответствующей системы.
7.3 Параллельные структуры
Другой тип RBD необходим, когда для успеха системы достаточно состояния успеха только одного компонента системы (т.е. одного блока). Это тот случай, когда используют резервные компоненты.
Модель представляет параллельную структуру, такую как представленная на рисунке 3, которая включает несколько резервных блоков. В этой структуре система не работает тогда и только тогда, когда все блоки находятся в неработоспособном состоянии.
Рисунок 3 - Параллельная структурная схема надежности
Такая структура моделирует следующую логическую функцию:
.
(2)
7.4 Сочетание последовательных и параллельных структур
Базовые структуры, представленные на рисунках 2 и 3, могут быть использованы для моделирования RBD более сложных систем. Например, если вся RBD, представленная на рисунке 2, дублирована (т.е. резервирована), то получается RBD, показанная на рисунке 4. Если каждый блок в RBD, представленный на рисунке 2, резервирован, получается RBD, показанная на рисунке 5. RBD такого типа называют "последовательно-параллельные RBD" или "последовательно-параллельные модели". Следует заметить, что термины "дублированный", "резервный" и "параллельный" очень близки по смыслу, но не являются синонимами.
1) Дублирование относится к способу построения RBD и означает повторение аналогичных структур. Например, на рисунке 4 показано дублирование структуры, представленной на рисунке 2, а на рисунке 5 - только дублирование компонентов. На самом деле параллельные структуры (В1, В2), (С1, С2) и т.д. являются последовательным дублированием параллельной структуры (А1, А2);
2) резервирование означает, что если один компонент выходит из строя, то его функцию может выполнить другой. Например, А1 и А2 на рисунке 5 являются резервированными;
3) параллельность связана с логикой структуры системы и ее графическим представлением. Например. А1 и А2 на рисунке 5 являются резервированными.
Рисунок 4 - Параллельная структура, выполненная из дублированных последовательных подструктур
Такая структура моделирует следующую логическую функцию:
(3)
Рисунок 5 - Последовательная структура, состоящая из последовательного соединения параллельных структур
Такая структура моделирует следующую логическую функцию:
.
(4)
RBD, используемые для моделирования безотказности систем, часто представляют собой более сложные комбинации последовательных и параллельных структур. Например, дублированная линия связи, содержащая три ретранслятора (А1, В1, С1 и А2, В2, С2) и общий блок питания (D), может иметь вид, представленный на рисунках 6 и 7.
Рисунок 6 - Общая последовательно-параллельная структурная схема надежности
Такая структура моделирует следующую логическую функцию:
.
(5)
Рисунок 7 - Общая последовательно-параллельная структурная схема надежности
Эта структура моделирует следующую логическую функцию:
.
(6)
В соответствии с предполагаемой статистической независимостью, установленной выше, отказ любого блока не приводит к изменению вероятности отказа какого-либо другого блока внутри системы. В частности, отказ резервного блока не влияет на источники питания системы.
7.5 Другие структуры
7.5.1 Структуры типа m из n
Часто возникает необходимость моделирования системы, определение успеха которой устанавливает, что для функционирования системы необходимо функционирование не менее m из n элементов, соединенных параллельно. Такие логические структуры часто называют структурами "мажоритарного голосования" или структурами "m из n". Например, см. RBD, показанные на рисунках 8 и 9.
Рисунок 8 - Структура резервирования 2 из 3
Рисунок 9 - Структура резервирования 3 из 4
Таким образом, на рисунке 8 для успешного функционирования системы требуется функционирование не менее двух блоков, а на рисунке 9 для успеха системы необходимо функционирование не менее трех блоков. В обоих случаях допускается отказ одного объекта, но отказ двух и более объектов не допустим.
Такие структуры моделируют следующие логические функции:
- резервирование 2/3: ;
(7)
- резервирование 3/4: .
(8)
Эти логические функции не могут быть представлены простой комбинацией элементарных последовательных и параллельных структур.
7.5.2 Конструкции с общими блоками
Большинство RBD являются понятными, а условия успеха системы очевидны. Однако не все RBD могут быть сведены к комбинациям последовательных или параллельных структур с блоками, появляющимися только один раз. RBD на рисунке 10 - пример, в котором блок А является общим для двух путей.
Рисунок 10 - Схема, которую нелегко представить последовательным и/или параллельным расположением блоков
Такая структура моделирует следующую логическую функцию:
.
(9)
Схема не требует объяснений. Для успеха системы достигаются блоки В1 и С1, или блоки А и С1 или блоки А и С2, или блоки В2 и С2. На рисунке 10 представлена схема подачи топлива на двигатели легкого самолета. Блок В1 представляет собой поставку топлива на левый двигатель (С1), блок В2 представляет собой подачу топлива на правый двигатель (С2), а блок А представляет собой общую резервную поставку на оба двигателя. Определение успеха устанавливает, что для функционирования необходимо, чтобы работал хотя бы один двигатель самолета, а для отказа самолета должны отказать оба двигателя.
Следует отметить, что на всех приведенных выше схемах (рисунки 2-10) ни один блок не появляется на диаграмме более одного раза. Процедуры разработки выражений для RBD данного типа приведены в разделе 8.2. На рисунках 18 и 19 приведены последовательно-параллельные RBD, эквивалентные рисунку 10, где реализованы повторяющиеся блоки.
7.5.3 Составные блоки
На рисунке 11 показана модель системы с холодным резервированием замещением, где объект В начинает работать при отказе объекта А при идеальном переключении с А на В. В соответствующей RBD блоки А и В не являются независимыми, и это нарушает фундаментальное предположение о независимости блоков, которое лежит в основе настоящего стандарта.
Рисунок 11 - Пример RBD с зависимыми блоками
Поскольку блоки А и В не могут быть рассмотрены независимо друг от друга, необходимо рассмотреть их в целом, это можно сделать с помощью составного блока, такого как блок С, представленный на рисунке 12.
Рисунок 12 - Пример составного блока
Составной блок С имеет два состояния: успех/отказ. Тогда, если он не зависит от других блоков RBD, он может быть обработан как единый блок. Конечно, вероятности его отказа/успеха должны быть рассчитаны с учетом блоков А и В и зависимости между ними.
7.6 Большие RBD и использование вентилей перехода
RBD, относящиеся к промышленным системам, могут быть слишком большими, чтобы их можно было нарисовать целиком на одном листе бумаги. В этом случае они могут быть разделены на несколько более мелких частей (суб-RBD), связанных с помощью использования вентилей перехода.
Рисунок 13 - Использование вентилей перехода и суб-RBD
На рисунке 13 приведены два примера использования вентилей перехода в каждой из двух RBD, нижняя часть рисунка эквивалентна RBD в верхней части. Они делятся на две части: основная RBD и суб-RBD. Следует отметить, что суб-RBD не обязательно должна иметь только один вход и один выход.
На общую базовую логическую функцию такое разделение не влияет, но это позволяет рисовать большую RBD на нескольких отдельных страницах. Как выбрать деление RBD, сохраняя при этом хорошее понимание всего RBD и его суб-RBD, решает аналитик.
8 Качественный анализ: минимальные наборы соединений и обрывов
8.1 Аналогия с электросхемой
RBD может быть использована в первую очередь для целей качественного анализа путем идентификации:
- комбинаций блоков в работоспособном состоянии, приводящих к тому, что система находится в работоспособном состоянии (пути успеха или наборы соединений),
- комбинаций блоков в неработоспособном состоянии, приводящих к тому, что система находится в неработоспособном состоянии (пути отказа или наборы обрывов).
Рисунок 14 - Аналогия между блоком и электрическим выключателем
Примечание - При построении RBD, соответствующей физической электрической схеме, положение физического переключателя может отличаться от его представления с помощью аналогии, приведенной на рисунке 14. Например, закрытый физический переключатель может быть представлен открытым виртуальным переключателем, так как он находится в нерабочем состоянии.
Для этого очень полезна аналогия с электрической схемой, показанная на рисунке 14. Она состоит в том, что каждый блок эквивалентен электрическому переключателю, который замкнут, когда блок находится в работоспособном состоянии, и открыт (разомкнут), когда блок находится в неработоспособном состоянии. Это сделано для того, чтобы показать эквивалентность рисунков 10 и 15. на рисунке 15 каждый блок смоделирован с помощью электрического переключателя.
Рисунок 15 - Аналогия с электрической схемой
Когда электрическая цепь замкнута, электрический сигнал проходит по RBD от входа к выходу. Поэтому любая комбинация (набор) замкнутых переключателей, позволяющих сигналу проходить по модели RBD от входа до выхода, моделирует состояние успеха системы. Это путь успеха в отношении состояния системы или набор соединений, обеспечивающий замкнутость электрической цепи.
Рисунок 16 - Пример минимального пути успеха (набор соединений)
На рисунке 16 показан один из путей успеха () RBD, показанной на рисунке 15. Этот путь успеха минимален, поскольку если А отказывает или С1 отказывает, система в целом также отказывает, т.е. успех А и успех С1 необходимы и достаточны для того, чтобы система находилась в состоянии успеха.
В В.3.1 приведены другие примеры минимальных и не минимальных наборов соединений.
Свойства булевой алгебры обеспечивают общее представление о работоспособном состоянии системы s, как объединение минимальных наборов соединений RBD (П i). Это приводит к следующей формуле:
.
(10)
Если электрическая цепь разомкнута (в ней имеется обрыв), электрический сигнал от входа не может пройти по RBD до выхода. Поэтому любая комбинация (набор) открытых переключателей, препятствующих прохождению сигнала от входа до выхода, моделирует неработоспособное состояние системы. Это путь отказа в отношении состояния системы или набор обрывов в отношении электрической цепи.
Рисунок 17 - Пример минимального пути отказа (набор сечений)
На рисунке 17 показан один из путей отказа, , RBD, приведенной на рисунке 15. Этот путь отказа (набор обрывов) минимален, поскольку если любой блок из А, В2 или С1 восстанавливается (выключатель закрывается), система также восстанавливается, т.е. отказы А, В2 и С1 необходимы и достаточны для того, чтобы система находилась в состоянии отказа.
В В.3.1 приведены другие примеры минимальных и неминимальных наборов обрывов.
Свойства булевой алгебры обеспечивают общее представление неработоспособного состояния , как объединение наборов минимальных обрывов (С j) в RBD:
.
(11)
Следовательно, из формул (10) и (11) следует тождество:
.
(12)
Минимальные наборы обрывов и минимальные наборы соединений могут быть получены путем расширения логической формулы, соответствующей RBD. За исключением простых случаев, это не так просто сделать вручную, но существуют мощные алгоритмы, реализованные в виде программных пакетов RBD.
8.2 Последовательно-параллельное представление с минимальными путями успеха и наборами обрывов
Тождество (12) обеспечивает два эквивалентных способа представления RBD на основе его минимальных наборов соединений или минимальных наборов обрывов.
Применительно к RBD, представленной на рисунке 10, это приводит к двум эквивалентным логическим формулам (подробные пояснения см. в В.3.2):
,
(13)
.
(14)
Затем эта RBD может быть заменена эквивалентными представлениями, приведенными на рисунке 18 (на основе наборов соединений) или на рисунке 19 (на основе наборов обрывов), на которых некоторые блоки повторяются несколько раз.
Рисунок 18 - Эквивалентные RBD с минимальными путями успеха
На рисунке 18 представлено четыре набора соединений второго порядка (см. 3.16, примечание 2):
.
Рисунок 19 - Эквивалентные RBD с минимальными наборами обрывов
Рисунок 19 состоит из одного набора обрывов второго порядка () и трех наборов обрывов третьего порядка:
.
8.3 Качественный анализ минимальных наборов обрывов
Для проведения качественного анализа целесообразно рассматривать минимальные наборы обрывов, а не минимальные наборы соединений. Это можно показать с помощью приведенного выше примера: наборы обрывов второго порядка () более вероятны, чем наборы обрывов третьего порядка (), () и (). Поэтому с качественной точки зрения минимальный набор обрывов () является слабым местом системы и должен быть улучшен в первую очередь.
Таким образом, порядок выполнения качественного анализа может быть следующим:
a) определение минимального набора обрывов из логического уравнения отказа системы;
b) сортировка минимальных наборов обрывов в соответствии с возрастанием их порядка;
c) фокусировка на минимальные наборы обрывов самого низкого порядка для улучшения системы.
Когда для блоков известны вероятности отказа, минимальные наборы обрывов могут быть более точно отсортированы на этапе b) путем вычисления вероятности возникновения каждого из них.
9 Количественный анализ: блоки с постоянной вероятностью отказа/успеха
9.1 Последовательные структуры
На рисунке 20 показана связь булевой формулы базовой (последовательной) структуры с вероятностными расчетами.
Рисунок 20 - Связь между базовой последовательной структурой и вероятностными расчетами
Данная вероятностная формула в основном установлена для независимых блоков с постоянными вероятностями. Она выражает вероятность успеха системы P S в виде функции вероятностей успеха блока А (Р А) и блока В (Р В). Таким образом, модели RBD в первую очередь могут быть использованы для систем, содержащих независимые блоки с постоянной вероятностью работоспособного состояния.
На этом этапе неуместно говорить о показателях безотказности, готовности или частоте отказов системы, поскольку такие вероятностные меры определяют только для систем с зависимостью состояния от времени.
Формула, приведенная на рисунке 20, может быть легко распространена на использование в таких системах, как показанные на рисунке 2 (см. В.4.1). Если блоки А, В, ..., Z являются независимыми, то вероятность успеха системы задается простым уравнением:
,
(15)
то есть произведением вероятностей успеха всех блоков, составляющих RBD.
В общем случае для n последовательных блоков .
9.2 Параллельные структуры
На рисунке 21 показана связь булевой формулы базовой параллельной структуры и вероятностных вычислений.
Так же как для базовой последовательной структуры, формула P s для базовой параллельной структуры установлена для постоянных вероятностей и независимых блоков как функция Р а и Р b.
Как бы то ни было, формулу, показанную на рисунке 21, нелегко распространить более чем на два компонента (см. формулу Сильвестра-Пуанкаре в 11.7 и В.4.2). К счастью, можно заметить, что . Это показывает, что система отказывает, когда отказывают А и В.
Рисунок 21 - Связь параллельной структуры и вероятностных вычислений
Следовательно, вероятность успеха системы (P s) задана формулой:
.
(17)
Формула (17) может быть легко распространена на n параллельных блоков В i (см. В.4.2), т.е.:
- вероятность отказа: ;
(18)
- вероятность успеха: .
(19)
9.3 Комбинация последовательных и параллельных структур
Формулы (15) и (17) могут быть объединены, и это в простых случаях можно сделать вручную, но приведенные выше расчеты, как правило, нелегко выполнить вручную. К счастью, существуют мощные алгоритмы, реализованные в программных пакетах RBD. Они основаны на методах, описанных в В.5, В.6 или В.7.
9.4 Структуры m/n (идентичные элементы)
Структура m/n проанализирована в В.4.4. Если блоки идентичны (с одной и той же вероятностью успеха р у каждого), то вероятность успеха системы P s задана формулой:
,
(20)
а вероятность отказа задана формулой:
.
(21)
Если n = 2m - 1 (например, 1/1, 2/3, 3/5 и т.д.), система находится в работоспособном состоянии, если m блоков находятся в работоспособном состоянии, и система находится в неработоспособном состоянии, если m блоков находятся в неработоспособном состоянии. Эти структуры симметричны по отношению к событиям успеха и отказа. Некоторые подобные структуры, например структуру 2/3, широко используют для обеспечения безопасности системы.
Если n элементов не идентичны, рекомендуется использовать более общую процедуру (см. 11.8.2).
10 Количественный анализ: блоки с зависящими от времени вероятностями отказа/успеха
10.1 Общие положения
Расчеты, разработанные для постоянных вероятностей в 9, могут быть легко распространены на зависящую от времени вероятность системы P s(t) при условии, что вероятности блоков (t) не зависят друг от друга. Это означает, что отказ (или ремонт) любого блока не должен влиять на вероятность отказа или ремонта любого другого блока в системе. Из этого следует, что для ремонта блоков должно быть достаточно ресурсов, когда два или более человек ремонтируют конкретный блок и ни один из них не мешает другому. При этом отказы и ремонты отдельных блоков считаются статистически независимыми событиями. Расчеты вероятности успеха системы, зависящей от времени, подробно описаны в приложении С.
Так как вероятность того, что объект находится в данный момент времени в работоспособном состоянии, является его мгновенным коэффициентом готовности A S(t) = P s(t) и (t) = (t). Этот результат справедлив и для сложных структур и больших RBD (см. 11 и приложение В) при условии, что блоки не зависят друг от друга в каждый момент времени. Формулы, разработанные для случая постоянной вероятности, применимы для расчетов коэффициентов готовности и неготовности.
- Последовательные структуры: , .
(22)
- Параллельные структуры: , .
(23)
- Структура m/n:
.
(24)
Расчеты коэффициентов готовности и неготовности, описанные выше, не простые, но расчеты вероятности безотказности работы и вероятности отказа еще более сложные. Это связано с определением понятия вероятности безотказной работы: R S(t) = Р (S в работоспособном состоянии в течение периода времени [0, t]). Это означает, что только последовательности событий системы, которые не переводят систему в неработоспособное состояние, используют для вычисления R S(t). Поэтому последовательности событий системы, которые включают последовательность "работоспособное состояние" "неработоспособное состояние" "работоспособное состояние", должны быть исключены из расчетов. Это означает, что часть системы, перешедшая в неработоспособное состояние, ремонтируется только в том случае, если система остается в работоспособном состоянии в течение ремонта этой части. Таким образом, что касается расчета R S(t), то части системы (например, компоненты) восстанавливают или нет в зависимости от состояния системы (т.е. от состояний других частей). Это представляет собой зависимости между частями системы и, следовательно, между блоками моделирования этих частей в RBD системы. Это происходит в случае резервирования восстанавливаемых объектов. Это является основной трудностью в понимании настоящего стандарта: за исключением RBD, состоящей из последовательных блоков, вероятность безотказной работы системы R S(t) не может быть рассчитана путем объединения вероятности безотказной работы R Bi(t) ее отдельных блоков. Формулы, установленные выше, в соответствии с гипотезой независимости больше не справедливы. Это более подробно рассмотрено в 10.3.1.4.
10.2 Невосстанавливаемые блоки
10.2.1 Общие положения
Если блок X невосстанавливаемый, вероятность его работоспособности в момент времени t равна вероятности отсутствия отказов в период времени [0, t]. Поэтому вероятность безотказной работы объекта R X(t) равна его коэффициенту готовности A X(t).
Если в системе нет восстанавливаемых блоков, система, состоящая из этих блоков, тоже является невосстанавливаемой. Тогда ее коэффициент готовности и вероятность безотказной работы идентичны и R S(t) = A S(t).
10.2.2 Простой невосстанавливаемый блок
Вероятность безотказной работы объекта X связана с его интенсивностью отказов (t) следующей зависимостью:
,
(25)
где (u) - интенсивность отказов блока X в точке t = u, где u - фиктивная переменная.
Если постоянна, формула (25) существенно упрощается:
,
(26)
следовательно,
.
(27)
10.2.3 Невосстанавливаемые составные блоки
Невосстанавливаемый составной блок С может быть обработан как единое целое и как простой невосстанавливаемый блок С при условии, что для него установлен коэффициент готовности A C(t). Следует заметить, что в этом случае A C(t) = R C(t).
Это можно проиллюстрировать составным блоком, представленным на рисунке 12. Это соответствует холодному резерву системы со следующими параметрами:
- - постоянная интенсивность отказов блока A, f A() - функция плотности вероятности его наработки до отказа;
- - постоянная интенсивность отказов блока В, когда он находится в пассивном (бездействующем) состоянии, либо в состоянии холодного резерва, либо в состоянии пониженной мощности;
- - постоянная интенсивность отказов блока В, когда он находится в активном состоянии после его запуска при отказе блока А.
Примечание - В следующих расчетах переключение считается совершенным, примеры моделирования несовершенного переключения приведены в 10.3.1.2 (рис. 23) и С.3.3.
Такая система проанализирована в С.3.3 со следующими результатами:
- если интенсивность с резервированием в состоянии бездействия предполагается равной нулю, то коэффициент готовности системы равен:
,
(28)
- если интенсивности отказов равны ( и ), формула для вероятности безотказной работы системы может быть представлена в виде:
.
(29)
Если в идеальных условиях, показанных выше, имеется n резервных объектов (вместо одного), последнее выражение принимает вид:
.
(30)
Формулы (28), (29) или (30) могут быть использованы для составного блока С, как формула (26) для обычных блоков. Тем не менее эти формулы трудно установить, и следует использовать другие процедуры (анализ Маркова, например, для анализа систем с резервированием) (см. 10.3.1.2).
10.2.4 RBD с невосстанавливаемыми блоками
Коэффициент готовности/вероятность безотказной работы: при условии, что блоки не зависят друг от друга, коэффициент готовности/вероятность безотказной работы RBD могут быть рассчитаны путем комбинирования коэффициента готовности/вероятность безотказной работы блоков (см. 10.2.2 и 10.2.3) в соответствии с RBD и с использованием формул, представленных в 10.1.
Частота: система, содержащая невосстанавливаемые компоненты, может отказать только один раз. Вероятность отказа за период времени [0, T] равна F S(T), а средняя частота отказов (T) равна , она уменьшается и стремится к нулю с возрастанием времени.
10.3 Восстанавливаемые блоки
10.3.1 Расчет коэффициента готовности
10.3.1.1 Простой блок
При восстановлении i-го блока его коэффициент готовности зависит как от интенсивности отказов, так и от ресурсов ремонта. Ресурсы ремонта, как правило, распределяют на уровне системы, и если они ограниченны, это создает в системе зависимость между блоками. Таким образом, блоки являются независимыми только тогда, когда ресурсы ремонта не ограниченны. В этом случае блок может быть восстановлен в любое время, даже когда один или несколько блоков уже восстанавливают. Это предположение подразумевает, в частности, наличие такого количества ремонтных бригад, сколько блоков в системе.
Коэффициент готовности блока A i(t) может быть выражен формулой (простой или сложной). В простейшем случае восстановленные блоки характеризуются постоянной интенсивностью отказов и постоянной интенсивностью ремонта , что приводит к классической формуле:
.
(31)
Эта аналитическая формула может быть заменена эквивалентным графом Маркова, представленным на рисунке 22, где A i(t) = Р(ОК, t), где Р(ОК, t) - вероятность работоспособного состояния в момент времени t.
Рисунок 22 - Граф Маркова коэффициента готовности для простого восстанавливаемого блока
Примечание - Граф Маркова, предназначенный для вычисления коэффициента готовности, называется "графом Маркова коэффициента готовности".
10.3.1.2 Восстанавливаемые составные блоки
Восстанавливаемый составной блок С может быть обработан как единое целое и как простой восстанавливаемый блок, при условии, что для него установлен коэффициент готовности A C(t). Следует заметить, что в этом случае A C(t) = R C(t).
Это можно проиллюстрировать составным блоком, представленным на рисунке 12 и уже проанализированным в 10.2.3 в случае невосстанавливаемого блока. Если компоненты А и В считаются теперь восстанавливаемыми, то формула для коэффициента готовности A C(t) блока С может быть установлена с помощью графа Маркова, приведенного на рисунке 23.
Рисунок 23 - Резервирование замещением
В этом графе С восстанавливают после отказа (см. переходы из состояния отказа в состояние успеха); таким образом, это граф Маркова коэффициента готовности (см. 10.3.3 для сравнения с графом Маркова "вероятность безотказной работы"). Этот граф Маркова можно использовать для установления коэффициента готовности A C(t) составного блока С или даже как вход в RBD (см. С.3).
В этом графе Маркова отказ механизма переключения и обнаружения моделируют, используя вероятность того, что блок В отказывает при включении при отказе А. Поскольку этот отказ возникает после отказа компонента А, было введено состояние нулевой продолжительности. Из этого состояния В немедленно включается (вероятность 1 - ) или отказывает (вероятность ).
Граф Маркова, показанный на рисунке 23, моделирует зависимости между блоками А и В:
- В включается только после отказа А;
- В может отказать при включении по запросу при отказе А;
- В возвращается в состояние резервирования, как только А и В находятся в работоспособном состоянии.
Эти зависимости между А и В не могут быть учтены путем объединения отдельных коэффициентов готовности А и В, поэтому С следует рассмотреть в целом. Если блоки А и В рассмотрены отдельно, получают классическую последовательную структуру вне области применения RBD. Объединение А и В в составной блок С позволяет управлять последним как отдельным блоком в структуре RBD.
Этот принцип является общим и может быть реализован при наличии нескольких блоков. Если количество зависимых блоков увеличивается, следует использовать другие методы, такие как динамические RBD (см. 12.2), марковские процессы [2] или сети Петри [3].
10.3.1.3 Периодически проверяемые блоки
По отношению к функциям безопасности системы, безопасности применимы только к коэффициенту готовности и коэффициенту неготовности. Поэтому обычно такие системы имеют только два состояния. Их главная особенность: несмотря на то, что они остаются в большинстве случаев в режиме ожидания, они должны реагировать с высоким коэффициентом готовности при появлении запроса по обеспечению безопасности.
Компоненты такой системы безопасности периодически проверяют на обнаружение отказов, которые могут возникнуть, когда система находится в состоянии резерва. Таким образом, коэффициент готовности периодически проверяемого компонента является максимальным сразу после проверки, где возможно, были обнаружены и устранены отказы, а затем он уменьшается до следующей проверки. Типичная пилообразная кривая коэффициента готовности A B(t) такого блока представлена на рисунке 24. Она может быть смоделирована многофазным марковским процессом (см. рисунок С.4). Полная RBD с периодически проверяемыми блоками также представлена на рисунке С.5.
Рисунок 24 - Типовой коэффициент готовности периодически проверяемого блока
Форма коэффициента готовности блоков не меняет принципа расчета, они могут быть объединены, как описано выше, для расчета коэффициентов готовности A S(t) и неготовности U S(t) системы в целом. Это очень полезно для выполнения расчета среднего коэффициента неготовности (например, PFD avg), требуемого стандартами функциональной безопасности (например, МЭК 61508 [5] или МЭК 61511 [6]), в соответствии с 10.3.2.
10.3.1.4 Сложные восстанавливаемые блоки (RBD-управляемые марковские процессы)
При условии выполнения требований независимости идею, представленную на рисунках 22 и 23, использования небольших марковских графов с небольшим количеством состояний для моделирования коэффициента готовности блоков можно легко распространить на все блоки RBD.
Это позволяет строить большие Марковские модели (включающие миллионы состояний), выполненные из небольших индивидуальных субмарковских моделей (включающих несколько состояний каждая), объединенных в соответствии с логикой RBD. Следовательно:
- графы Маркова обеспечивают коэффициенты готовности блоков:
- RBD обеспечивает логику, используемую для объединения коэффициентов готовности блоков.
Такие модели называются "RBD-управляемыми марковскими процессами".
Более подробная информация приведена в С.4.
10.3.2 Расчет среднего коэффициента готовности
Еще одним полезным параметром расчета на основе RBD является средний коэффициент готовности системы (0, T) за заданный период [0, T]. Это может быть сделано путем интегрирования мгновенного коэффициента готовности системы A S(t):
.
(32)
В общем случае такие расчеты действительно невозможно выполнить вручную, но в настоящее время для проведения необходимых расчетов доступны пакеты программ RBD.
Тем не менее в определенных условиях достигается устойчивое состояние, в котором вероятность того, что В i выходит из работоспособного состояния из-за отказа, равна вероятности того, что В i вернется в работоспособное состояние за счет ремонта. Если оно существует, стационарное состояние коэффициента готовности (t) достигает асимптотического значения .
Это происходит:
- когда отказы быстро обнаруживают и устраняют (т.е. 1/ << 1/);
- если интенсивности отказов и ремонтов (, ) постоянны.
Например, в случае, представленном на рисунке 22, стационарный коэффициент готовности блока равен .
Если все блоки достигают стационарных состояний, система также достигает стационарного состояния (см. рисунки 25 и С.3), где A S(t) . Затем вне периода перехода уравнение (32) дает долгосрочный средний коэффициент готовности системы: .
Поэтому, когда RBD достигает стационарного состояния, коэффициенты готовности блоков в стационарном состоянии становятся постоянными и для прогнозирования коэффициента готовности системы в стационарном состоянии могут быть использованы формулы, установленные в 9. Это выполняют простой заменой постоянной вероятности Р bi постоянными значениями .
Рисунок 25 - Пример достижения RBD стационарного состояния
Внимание: приведенные выше расчеты справедливы только при наличии асимптотических коэффициентов готовности блоков. Они не действительны с обычными средними коэффициентами готовности.
Затем, если RBD не достигает стационарного состояния, средний коэффициент готовности должен быть вычислен по общей формуле (32).
Особый случай возникает, когда RBD используют на повторяющихся этапах, таких как:
- чередование сезонов: зима, весна, лето, осень;
- тестовые интервалы для периодически проверяемых объектов.
Рисунок 26 - Пример RBD с рекуррентными этапами
На рисунке 26 показана система с тремя рекуррентными этапами, когда один и тот же паттерн из трех этапов повторяется с интервалом времени, равным . Коэффициент готовности такой системы не имеет асимптотического значения, но средний коэффициент готовности A avg[, (n + 1)] обычно достигает предельного значения, когда n достаточно велико
.
(33)
Поскольку А avg [, (n + 1)] уменьшается при увеличении n, то () дает хорошую гарантированную аппроксимацию среднего коэффициента готовности за период времени [0, T], охватывающий несколько наборов из рекуррентных этапов.
Поэтому методы, описанные в настоящем стандарте, могут быть использованы для расчета среднего коэффициента неготовности систем безопасности, и это обеспечивает связь со стандартами функциональной безопасности (МЭК 61508 или МЭК 61511), которые требуют таких расчетов для инструментальных систем безопасности, где средний коэффициент неготовности называется PFD avg (средняя вероятность отказа по запросу). Это описано в С.4 и С.5.
10.3.3 Расчет вероятности безотказной работы
При рассмотрении восстанавливаемых блоков расчет вероятности безотказной работы R S(t) подразумевает, что ремонт блоков в системе (RBD) необходимо рассматривать только до тех пор, пока система остается в работоспособном состоянии (см. В.10.1).
Это может быть проиллюстрировано простой системой резервирования, смоделированной RBD в левой стороне рисунка 27. Что касается расчета R S(t), то при отказе блока В он может быть отремонтирован, только если S находится в работоспособном состоянии (т.е. если блок А находится в работоспособном состоянии). Точно так же, если блок А отказывает, он может быть восстановлен только в том случае, если S находится в работоспособном состоянии (т.е. если В находится в работоспособном состоянии). Поэтому, когда один блок выходит из строя, его восстановление зависит от состояния системы S, которое, в свою очередь, зависит от состояния всех блоков. Эту зависимость между блоками системы моделируют в виде графа Маркова, представленного в правой части рисунка 27. Он эквивалентен RBD, представленной в левой стороне рисунка.
Простая резервная система состоит из двух резервных блоков, А и В. и имеет 4 состояния: состояния успеха ab, и и состояние отказа . Система безотказна в течение заданного периода [0, t] только в том случае, если она все время остается в состоянии успеха. Таким образом, состояния ab, и являются "безотказными" состояниями только в том случае, если они возникают в результате переходов между ними. Это означает, что для расчетов вероятности безотказной работы в момент времени t переход из состояния в период времени [0, t] не допустим. Состояние - это состояние поглощения, наличие состояния поглощения характеризует Марковский граф вероятности безотказной работы.
В этом графе блок А может быть восстановлен до состояния , но не до состояния , и блок В может быть отремонтированным в состоянии , но не в состоянии . Поэтому восстановление отказа блока зависит от состояния системы в целом, это называют "системной зависимостью".
Рисунок 27 - RBD и эквивалентный Марковский граф для расчетов вероятности безотказной работы
Теперь уже невозможно рассчитать вероятность безотказной работы системы путем объединения отдельных вероятностей успеха блоков.
Коэффициент готовности блоков, [A i(t)], не может быть использован, так как это дает коэффициент готовности системы, а не вероятность безотказной работы системы.
Вероятности безотказной работы блоков [R i(t)] не могут быть использованы, так как это дает вероятность безотказной работы системы с невосстанавливаемыми блоками (потому что вероятность безотказной работы восстанавливаемого компонента такая же, как и вероятность безотказной работы невосстанавливаемого компонента с той же интенсивностью отказов).
Поэтому, за исключением конкретного случая, разработанного далее, другие методы, такие как моделирование методом Монте-Карло (например, DRBD, см. 12.2 и приложение Е), сети Маркова [2] или Петри [3] должны быть использованы вместо метода RBD.
Единственный случай, когда вычисление вероятности безотказной работы возможно, - это ситуация, когда восстановление системы происходит быстро (т.е. MTTR i << MTTF i) и полностью (т.е. полностью устраняют каждую неисправность). Это значит, что при отказе блока ремонт начинается сразу и длится очень недолго. В этом случае система достаточно быстро достигает стационарного состояния, и ее коэффициент готовности A S(t) достигает своего асимптотического значения . В этом стационарном состоянии условный параметр потока отказов (также называемый интенсивностью отказов Веселя) является постоянным и обеспечивает хорошее приближение интенсивности отказов системы . Затем вероятность безотказной работы системы и вероятность отказа системы определяют по классическим формулам:
.
Например, на рисунке 27 при достижении стационарного состояния свойства марковских процессов позволяют получить хорошую аппроксимацию и :
.
(34)
Это не простая формула, хотя сама система очень простая. Для более крупных RBD интенсивность отказов Веселя может быть получена с помощью условных вероятностей, которые могут быть рассчитаны с применением программного обеспечения RBD. Способ определения условных и безусловных параметров отказов по RBD подробно описан в С.6, а более подробные расчеты надежности вероятности безотказной работы приведены в С.7.
10.3.4 Вычисление частоты
Если блоки восстанавливаемые, еще одной полезной вероятностной мерой является средняя частота отказов системы за заданный период времени [0, T], которая равна n/Т при возникновении n отказов, эту среднюю частоту отказов вычисляют с помощью среднего значения безусловного параметра потока отказов системы (0, T) = n/Т. Частоту отказов можно рассчитать в любом случае, но это трудно сделать вручную. Для этого были разработаны специальные алгоритмы, их принцип разъясняется в С.6.
11 Булевы, методы количественного анализа больших моделей
11.1 Общие положения
Можно оценить коэффициент готовности A S(t) всех рассмотренных систем путем применения подходящей формулы из набора (15) - (24). Однако, если количество блоков увеличивается, соответствующие RBD может быть неудобно оценивать по приведенным выше формулам. Вычисления являются более сложными, и необходимо использовать другие математические подходы.
Такие подходы представляют собой несколько способов обработки булевых уравнений для того, чтобы сделать расчеты возможными. Как правило, они могут быть использованы вручную на небольших RBD, но большинство из них могут быть выполнены с помощью программного пакета, если количество блоков велико. Они основаны на следующих методах:
- сокращение RBD до более простых структур;
- использование теоремы полной вероятности;
- использование логических таблиц истинности;
- использование карт Карно;
- использование декомпозиции Шеннона и бинарных диаграмм принятия решений;
- использование общих формул Сильвестра-Пуанкаре.
Для последующих процедур применяется условие независимости, установленное в 5.2 d), приведенные ниже формулы позволяют выполнить расчет постоянной вероятности с помощью прямого преобразования для расчета коэффициента готовности с применением 10.1 и приложения С.
Следует отметить, что моделирование методом Монте-Карло также может быть использовано для сложных RBD. Детали использования таких процедур в настоящем стандарте не рассмотрены, динамические RBD описаны в 12.2 и приложении Е.
11.2 Метод редукции RBD
RBD, моделирующая промышленную систему, может выглядеть очень сложной. Однако тщательный анализ, как правило, позволяет сгруппировать отдельные блоки RBD в статистически независимые блоки. Это означает, что в данной системе нет двух (или более) групп, содержащих один и тот же блок.
Рисунок 28 - Иллюстрация группировки блоков для редукции
Это можно проиллюстрировать с помощью RBD, приведенной на рисунке 28.
Рисунок 28 можно сократить до диаграмм, приведенных на рисунке 29, которые состоят из четырех выделенных пунктирными линиями групп блоков Х1, Х2, Х3 и Х4, как показано на рисунках 10, 8, 37 и 9 соответственно.
Рисунок 29 - Редуцированные структурные схемы надежности
Следовательно, конечный коэффициент готовности системы можно определить следующим образом (см. 9.2):
.
(35)
Метод редукции трудно автоматизировать, но он очень полезен для расчетов вручную.
11.3 Использование теоремы полной вероятности
При работе с RBD такого типа, как показанная на рисунке 10 с общим блоком А, можно реализовать подход, основанный на теореме полной вероятности.
Два взаимоисключающих событий х и образуют полный набор событий (т.е. х + = ) и теорема полной вероятности может быть записана следующим образом:
.
(36)
В уравнении (36) P s - вероятность успеха системы, Р s|x - вероятность успеха системы при условии, что конкретный элемент X работает, P s|x - вероятность успеха системы при условии, что конкретный элемент X отказал. Формула (36) может быть применена к блоку А, приведенному на рисунке 10, это приводит к следующему соотношению:
.
(37)
Например, если объект А отказал, RBD, приведенная на рисунке 10, превращается в RBD, показанную на рисунке 30, таким образом:
.
Рисунок 30 - Представление рисунка 10 при отказе объекта А
Аналогично, если А работает, RBD, приведенная на рисунке 10, превращается в RBD, приведенную на рисунке 31, так что .
Рисунок 31 - Представление рисунка 10 при работающем объекте А
Следовательно,
.
(38)
Если Р с1 = Р с2 = Р с и Р b1 = P b2 = Р b, приведенная выше формула (38) упрощается:
.
(39)
Эта процедура может быть распространена на n взаимоисключающих событий a 1, ... а n, вероятность которых в сумме равна единице (т.е. а 1 + а 2 + ...а n = ), тогда + ... + . Это выражение можно использовать в RBD с повторяющимися блоками (см. 11.8.1.2). Наличие n повторяющихся блоков приводит к 2 n членов в формуле для P s. Поэтому данный метод полезен при работе RBD с ограниченным количеством повторяющихся блоков, например для структур m/n.
11.4 Использование таблиц истинности
Пути успеха системы, изображенные с помощью RBD, могут быть описаны булевыми выражениями. Например, логическое выражение для системы, состоящей из трех объектов, А, В и С, резервирующих друг друга, когда для работоспособности системы достаточно одного объекта, может быть представлено параллельной RBD, показанной на рисунке 32, или булевым выражением (40):
(40)
Рисунок 32 - RBD системы из трех резервированных объектов
Применение формулы Сильвестра-Пуанкаре (см. 11.7 и В.5) к трем независимым событиям дает следующий результат:
.
(41)
Формула (41) содержит семь членов для трех блоков (т.е. трех событий a, b и с). Количество слагаемых увеличивается экспоненциально при увеличении количества вовлеченных событий.
Чтобы предотвратить увеличение количества членов в формуле можно заменить события а, b и с эквивалентными комбинациями непересекающихся событий (см. 11.7), это можно сделать, используя таблицу истинности системы, соответствующую состояниям блоков А, В и С.
Таблица 5 - Применение таблицы истинности к примеру, представленному на рисунке 32
В данной таблице истинности идентифицировано 8 непересекающихся событий, представляющих 8 возможных состояний системы: состояние номер 1 соответствует отказу системы, а состояния от 2-8 - работоспособным состояниям системы.
Опять имеется семь членов для обработки, и поэтому это разложение на непересекающиеся члены не очень эффективно для расчета P s. Следует отметить, что обычно нет связи между количеством членов формулы Сильвестра-Пуанкаре и количеством непересекающихся событий в таблице истинности.
Некоторые непересекающиеся события могут быть объединены (см. колонку "Консенсус" в таблице 5). На первом этапе термины 7 и 8, 5 и 6, 3 и 4 были объединены и получены четыре непересекающихся события. На втором этапе события 5-7 объединены в одно событие и получено три непересекающихся события:
.
(42)
Наконец, вероятность отказа системы можно рассчитать следующим образом:
.
(43)
Формула (43) может быть непосредственно использована для оценки коэффициента готовности системы:
.
(44)
Следует отметить, что в таблице 5 указано только одно событие, приводящее систему в неработоспособное состояние . Поэтому расчет вероятности отказа оказывается проще, чем расчет вероятности успеха:
,
(45)
.
(46)
Формулы (44) и (46) эквивалентны.
Для системы из n блоков таблица истинности имеет 2 n строк, и поэтому данный подход может стать громоздким, хотя принцип его работы довольно прост. Эта проблема в какой-то степени преодолевается с помощью карт Карно (см. 11.5), но на самом деле она решается с помощью декомпозиции Шеннона и бинарных диаграмм принятия решений (см. 11.6). Детальное описание общего применения булевых методов приведено в приложении В.
11.5 Использование карт Карно
Карты Карно [8], [9], [10], [11] были разработаны для упрощения логического вывода уравнения, соответствующего таблице истинности. Поэтому их можно использовать и для RBD.
Принцип использования таких карт показан далее на картах, соответствующих RBD, представленной на рисунке 10. Данная RBD состоит из 5 блоков. Так как карты Карно легче использовать для четырех переменных, карта разделена на две непересекающиеся ситуации:
- А находится в работоспособном состоянии (таблица 6);
- А находится в неработоспособном состоянии (таблица 7).
Таблица 6 - Карта Карно, соответствующая рисунку 10, когда А находится в работоспособном состоянии
Таблица 7 - Карта Карно, соответствующая рисунку 10, когда А находится в неработоспособном состоянии
В таблицах 6 и 7 блоки разделены на две группы (В1 В2 и С1 С2), а состояния компонентов представлены таким образом, что изменяется только одно состояние при переходе в следующую колонку или в следующую строку. Таким образом, комбинации, которые можно упростить, объединяют. Например, в таблице 6 комбинации, обведенные прямоугольником из сплошной линии, представляют только С2, так как состояния С1, В1 и В2 не имеют значения. Аналогично комбинации, обведенные пунктирной линией, представляют только С1, так как состояния С2, В1 и В2 не имеют значения. Из этого следует:
,
(47)
где s|a представляет собой систему S в работоспособном состоянии при условии, что блок А находится в работоспособном состоянии, а с 1 и с 2 представляют собой различные состояния, соответствующие блокам С1 и С2. В соответствии с картой Карно, представленной в таблице 7, можно записать следующую формулу:
,
(48)
где s| представляет систему S в работоспособном состоянии при условии, что А находится в неработоспособном состоянии, а b 1, b 2, с 1 и с 2 представляют собой различные состояния, соответствующие блокам В1, В2, С1 и С2.
В результате можно записать:
.
(49)
И наконец, коэффициент готовности системы можно вычислить по следующей формуле:
.
(50)
Карты Карно имеют такое же количество членов (2 n), что и исходные таблицы истинности, но они являются более компактными и позволяют лучше идентифицировать комбинации, которые могут быть объединены. Это очень полезно для определения минимальных наборов соединений или обрывов.
11.6 Использование декомпозиции Шеннона и бинарных диаграмм принятия решений
Как таблицы истинности и карты Карно, декомпозиция Шеннона позволяет идентифицировать непересекающиеся члены булева уравнения.
На рисунке 33 показан принцип декомпозиции Шеннона булевой функции (1 из 3), соответствующей RBD, представленной на рисунке 32.
Рисунок 33 - Декомпозиция Шеннона, эквивалентная таблице 5
Декомпозицию выполняют в несколько этапов:
1) Выбирают порядок появления переменной в логической функции (здесь порядок a, b, с);
2) для каждой переменной рисуют две ветви (успех и отказ);
3) если состояние системы (успех или отказ) достигнуто, то декомпозицию прекращают, в противном случае продолжают со следующей переменной;
4) определяют пути, ведущие к состоянию успеха (или отказа) системы.
На рисунке 33 показано три непересекающихся пути успеха: а(), (). Это тот же результат, что и из таблицы истинности, но получен более простым способом. Декомпозиция не является уникальной и зависит от выбранного порядка переменных.
Рисунок 34 - Бинарная диаграмма принятия решений, эквивалентная таблице 5
Если работоспособное и неработоспособное состояния собраны, декомпозиция Шеннона обеспечивает построение бинарной диаграммы принятия решений (BDD), показанной на рисунке 34. Такие диаграммы обеспечивают очень компактное представление булевых уравнений с непересекающимися членами. Они очень удобны для вычислений и представляют современный способ (см. [31], [32], [33]) вероятностных вычислений на булевых моделях (например, RBD и деревья неисправностей).
11.7 Использование формулы Сильвестра-Пуанкаре
При увеличении количества компонентов простые формулы и расчеты вручную становятся неприменимыми из-за комбинаторного взрыва.
Как это указано в 8, RBD может быть представлена набором путей успеха (минимальным набором соединений).
Затем могут быть выполнены вероятностные вычисления для этих наборов соединений с помощью формулы Сильвестра-Пуанкаре (см. В.4.2 и В.5.2), которая является обобщением основной формулы P(a + b) = P a + P b - P aP b:
.
(51)
Аналогичный расчет (см. В.5.3) может быть выполнен с использованием путей отказов (минимальных наборов обрывов):
.
(52)
Формула Сильвестра-Пуанкаре представляет собой альтернативную сумму, результат которой сходится к точному значению, когда количество рассматриваемых членов возрастает. Различие состоит в том, что формула (51), которая обрабатывает вероятности Р(П i), близкие к 1, сходится очень медленно, а формула (52), которая обрабатывает вероятности Р(С i) << 1, сходится довольно быстро. В этом случае первый член формулы (52) дает завышенную оценку вероятности отказа:
.
(53)
Это приближение широко используют, когда вероятности отказов блоков низкие, что обычно справедливо для компонентов систем безопасности. Это основа вычислений, выполняемых многочисленными пакетами программ для расчетов коэффициента готовности и вероятности безотказной работы по RBD или деревьям неисправностей.
Тем не менее трудности использования формулы (51) можно преодолеть путем преобразования наборов соединений в эквивалентные наборы непересекающихся членов , так как , , j.
В этом случае формула Сильвестра-Пуанкаре (51) сводится к ее первому члену:
.
(54)
To же может быть сделано с формулой (52) путем замены минимальных наборов обрывов (С i) на эквивалентный набор непересекающихся членов (). В результате формула Сильвестра-Пуанкаре сокращается до одного члена:
.
(55)
Непересекающиеся наборы можно найти с помощью таблиц истинности (11.4), карт Карно (11.5) или декомпозиции Шеннона и бинарных диаграмм принятия решений (11.6). В настоящее время идентификация непересекающихся членов булева уравнения основана на бинарной диаграмме принятия решений (BDD), описанной в 11.6. Это обеспечивает мощные алгоритмы, способные обрабатывать очень большие RBD, содержащие много повторяющихся или неповторяющихся блоков.
11.8 Примеры применения RBD
11.8.1 Модели с повторяющимися блоками
11.8.1.1 Представление набора обрывов и соединений
В разделе 7 ни один блок в RBD не появлялся более одного раза. Иногда может быть выгодно использовать структурные схемы такого же типа, как показанная на рисунке 35.
В левой части рисунка 35 показана обычная RBD с четырьмя блоками: блоки С и D, казалось бы, моделируют два функционально сходных объекта, действующих как копии один другого, но объект А может питать только объект С, а объект В может питать два объекта, С и D.
В средней и правой частях рисунка 35 приведены две эквивалентные RBD, моделирующие не только физическое расположение объектов. Для RBD очень важно с правой стороны указывать стрелки, чтобы устранить неопределенность, которая возникает на такой схеме.
Рисунок 35 - RBD, использующая стрелки для определения пути успеха системы
Пути успеха системы , , , смоделированной на рисунке 35, могут быть использованы для построения эквивалентной RBD, в которой некоторые блоки появляются более одного раза. Если все пути успеха отказали, это приводит к отказу системы. Таким образом, RBD может быть представлена в виде параллельного сочетания путей успеха. Это показано на рисунке 36.
Рисунок 36 - Альтернативное представление рисунка 35 с использованием повторяющихся блоков и путей успеха системы
Альтернативно для построения эквивалентного RBD могут быть использованы пути отказов (например, минимальные наборы обрывов системы) , , . Это сделано на рисунке 37. Если все компоненты одного из минимальных наборов обрывов приводит к отказу системы, на рисунке 37 приведена последовательная комбинация таких минимальных наборов обрывов.
RBD на рисунках 36 и 37 иллюстрируют концепции, рассмотренные в 8.2: любая RBD может быть представлена параллельной комбинацией путей успеха или последовательной комбинацией минимальных наборов обрывов.
Рисунок 37 - Альтернативное представление рисунка 35 с использованием повторяющихся блоков и минимальных наборов обрывов
Блоки В и С повторяются в обоих вариантах RBD, представленных на рисунках 36 и 37. Было бы неправильно рассматривать блоки как независимые друг от друга. Вместо этого могут быть применены методы, приведенные в 11.3, 11.5 и 11.6.
11.8.1.2 Применение теоремы полной вероятности
Метод полной вероятности, описанный в 11.3, примененный к RBD, представленной на рисунке 36, и распространенный на два повторяющихся компонента, дает:
.
(56)
В формуле (56) P s|x,y означает, что система S работоспособна при условии, что события х и y истинны.
Следует отметить, что количество членов равно 2 n, если n блоков повторяются. Это означает, что данный метод применим только для небольшого количества повторяющихся блоков.
Рисунку 36 соответствует P s|b,c = 1, , , .
.
(57)
11.8.1.3 Применение карты Карно
Другой способ работы с RBD, представленной на рисунке 35, заключается в разработке таблиц истинности или, что еще лучше, карты Карно (см. 11.5), которая представлена в таблице 8. Из этой карты Карно можно непосредственно найти минимальные пути успеха системы. Их идентифицируют три прямоугольника, выделенные в таблице 8.
.
(58)
Таблица 8 - Карта Карно, соответствующая рисунку 35
Таким образом, карта Карно - хороший способ идентификации путей успеха, которые уже были представлены на рисунке 36. Метод полезен с точки зрения качественного анализа, но эти пути успеха не являются непересекающимися, а это означает, что формула Сильвестра-Пуанкаре не может быть упрощена для вероятностных расчетов.
11.8.1.4 Выполнение декомпозиции Шеннона
Декомпозиция Шеннона была выполнена на рисунке 38, и было идентифицировано три непересекающихся пути успеха:
.
(59)
С точки зрения булевой алгебры формулы (59) и (58) эквивалентны, но формула (59), состоящая из непересекающихся членов, непосредственно приводит к коэффициенту готовности системы:
.
(60)
Результат декомпозиции Шеннона зависит от порядка переменных, используемых для ее выполнения, и поэтому для другого порядка переменных (см. В.7, где был проанализирован тот же RBD) могут быть найдены другие эквивалентные выражения.
Рисунок 38 - Декомпозиция Шеннона, соответствующая рисунку 35
11.8.2 Модели m из n (неидентичные объекты)
Процедура, описанная в 9.4, в данном случае неприменима, поскольку блоки не идентичны. В качестве примера рассмотрим систему 2/5 с RBD, представленной на рисунке 39.
Рисунок 39 - Структура 2 из 5 с неидентичными объектами
Коэффициент готовности такой системы можно оценить с помощью методов, описанных в 11.3, 11.4, 11.5 или 11.6. Среди них таблица истинности, описанная в 11.4, требует 32 записи, из которых шесть приводят к отказу
.
Тогда коэффициент неготовности может быть определен по формуле
.
(61)
Следовательно, можно определить A S = 1 - U S.
В формуле (61) A S, U S и A A, A B для расчетов показателей, зависящих от времени, могут быть заменены на A S(t), U S(t) и A A(t), A B(t).
12 Обобщенные методы блок-схемы надежности
12.1 Некогерентные структурные схемы надежности
Некогерентные структурные схемы являются обобщением RBD, представляющим монотонные логические функции для RBD, представляющих немонотонные логические функции. Это может соответствовать, например, отказавшим системам, восстановленным следующим отказом, или работающим системам, отказавшим в результате дальнейшего ремонта. Как правило, это нереально для физических систем, но часто происходит с "логическими" системами или моделями, сгенерированными автоматически.
Основное отличие от обычной RBD состоит в том, что данный блок может появляться в двух своих состояниях (работоспособное и неработоспособное). Как показано на рисунке 40, для этой цели был введен новый символ.
Рисунок 40 - Прямой и обратный блок
Функционирование "обратного" блока можно показать с помощью аналогии с электрической цепью на рисунке 40 если В1 находится в работоспособном состоянии (переключатель замкнут), обратный блок В1 находится в неработоспособном состоянии (переключатель открыт), и наоборот. Это также иллюстрирует электрическая схема, представленная на рисунке 41.
Рисунок 41 - Пример электрической схемы с переключателем А
Номинальная схема такой системы представлена в левой стороне рисунка 41. В отношении питания двигателя М от S2 из схемы легко заметить, что А находится в работоспособном состоянии, когда контакт в направлении S2 находится в работоспособном состоянии, когда контакт в направлении S2 замкнут, и в неработоспособном состоянии, когда тот же контакт открыт (разомкнут).
Двигатель М может питаться от источника питания S2 или, если это невозможно, от источника питания S1. Благодаря переключателю А двигатель не может питаться от S1 и S2 одновременно, это позволяет предотвратить короткое замыкание между источниками.
На рисунке 41 выделено два пути успеха, обеспечивающих питание двигателя М:
- А переключен на S2 и выключатель С замкнут: ;
- А переключен на S1 и переключатель В замкнут: .
Аналогично на рисунке 42 показаны пути отказа той же электрической системы:
- А переключен на S2 и переключатель С разомкнут: ;
- А переключен на S1 и переключатель В разомкнут: .
Рисунок 42 - Электрическая схема: пути отказа
А, В и С являются компонентами с двумя состояниями, такая электрическая система может быть смоделирована с помощью RBD показанной на рисунке 43 (для простоты S1, S2 и М считаются совершенными). Эта RBD, основана на путях отказа, в ней использованы повторяющиеся блоки в прямом и в обратном состояниях для моделирования двух положений переключателя А.
Рисунок 43 - Пример RBD с блоками в прямом и обратном состояниях
Логическая структура RBD на рисунке 43 является довольно общей и может быть применена в других ситуациях. Например, состояние блока А может влиять на значение физического параметра :
- если блок А находится в работоспособном состоянии (номинальное функционирование), ниже заданного порога , В тормозит работу и делает С способным работать;
- если блок А отказывает, то становится больше , это тормозит функционирование С и делает В способным работать.
Такая RBD соответствует следующему логическому уравнению: .
Данное уравнение обеспечивает три пути успеха: (), (), ().
Это показывает, что в дополнение к двум путям успеха, указанным выше, на рисунке 41, существует и третий путь успеха: . В этом случае состояние А не имеет значения.
В отличие от обычной ситуации пути успеха формируют не только с блоками в работоспособном состоянии. Это приводит к следующим побочным эффектам:
- если данная система находится, например, в работоспособном состоянии , она переходит в неработоспособное состояние , когда А переходит в работоспособное состояние. Другими словами, состояние успеха является отказом, когда А отремонтирован;
- если система находится, например, в неработоспособном состоянии , она переходит в работоспособное состояние , когда А переходит в неработоспособное состояние. Другими словами, состояние отказа системы восстанавливается, когда А отказывает.
Эти обратные состояния являются типичными свойствами некогерентных RBD, моделирующих немонотонные логические функции. Это приводит к трудностям, когда для качественного анализа необходимы минимальные пути успеха. Например, пути отказа , , можно легко идентифицировать по рисунку 43. Последний путь отказа не так очевиден и не может быть найден классическими алгоритмами минимальных наборов обрывов.
Для некогерентных RBD понятия минимальных наборов обрывов и минимальных наборов соединений больше не поддерживаются. Их следует заменить понятием первичных импликантов:
- три пути успеха (), (), () являются тремя основными импликантами, соответствующими путям успеха системы;
- пути дерева отказов (), (), () являются тремя основными импликантами, соответствующими отказам системы.
Это означает, что популярные алгоритмы, основанные на использовании минимальных наборов обрывов или минимальных наборов соединений, не допустимы для вероятностных расчетов некогерентных RBD.
Рисунок 44 - BDD, эквивалентная рисунку 43
Как показано на рисунке 44, подход BDD легко может быть реализован для некогерентных RBD. Нет никакой разницы между BDD, построенной для когерентной RBD, и BDD на рисунке 44, которая может быть использована для вероятностного расчета RBD, представленной на рисунке 43, точно так же, как если бы она была когерентной. Таким образом, использование BDD позволяет преодолевать трудности, возникающие при использовании минимальных наборов соединений или обрывов. Тем не менее программное обеспечение RBD редко способно обрабатывать простые импликанты.
12.2 Динамические структурные схемы надежности
12.2.1 Общие положения
Динамическая структурная схема надежности (DRBD) - это распространение общих RBD на RBD, включающие блоки, взаимодействующие между собой или с внешними объектами. Цель аналогична цели динамических деревьев неисправностей (см. [16] и [17]), но с точки зрения успеха.
RBD, разработанные в предыдущих разделах для моделирования восстанавливаемых систем (например, RBD-управляемые марковские процессы, описанные в С.4), очевидно, являются динамическими моделями, но термин DRBD обычно используют для обозначения RBD, удовлетворяющих всем основным предположениям 5, за исключением последнего, касающегося независимости блоков (см. 5.2 d)).
Некоторые динамические взаимодействия уже встречались в настоящем стандарте при рассмотрении резервирования заменой структур m/n и вычислении вероятности безотказной работы восстанавливаемых систем.
Динамическим деревьям неисправностей было уделено больше внимания, чем динамическим RBD, но проблемы у них схожие. Поэтому настоящий стандарт предлагает адаптировать и применять графические символы, обычно используемые для динамических деревьев неисправностей.
Некоторые типы динамических взаимодействий рассмотрены в [15], но на практике их очень мало. Воздействие таких взаимодействий может быть:
- локальным: состояния блоков подвержены влиянию, но логические правила обычных RBD применимы для установления состояния системы в целом;
- системным: логические правила обычных RBD не применимы для установления состояния системы в целом.
12.2.2 Локальные взаимодействия
Взаимодействия, которые влияют только на состояния блоков, можно разделить на следующие категории:
- взаимодействия между блоками в DRBD;
- взаимодействия между объектами, внешними по отношению к DRBD, и блоками DRBD.
Событие, происходящее на одном блоке или на внешнем объекте (иногда называемое триггерным событием), воздействует на состояние одного или нескольких других блоков DRBD.
Новый символ необходим для того, чтобы отразить разницу между внешними объектами, которые не относятся к RBD, и блоками, принадлежащими RBD. Он представлен на рисунке 45, где выявлены отказы по общей причине (ССР) и представлена группа технического обслуживания (МТ).
Рисунок 45 - Символ для обозначения внешних объектов
Ниже приведены примеры локальных взаимодействий:
Функциональная зависимость:
- отказ по общей причине: при возникновении CCF все связанные блоки немедленно отказывают. Это указывает на сильную функциональную зависимость, которая может быть смоделирована, как показано на рисунке 46;
- потеря энергии: при потере энергии все связанные блоки немедленно останавливаются (неработоспособное состояние). Потеря энергии также представляет собой сильную функциональную зависимость;
- зависимость от ремонтной бригады: если несколько блоков ремонтирует одна и та же ремонтная бригада, то отказавший блок должен ждать ремонта, если ремонтная бригада занята восстановлением другого неисправного блока. Это представляет собой функциональную зависимость, которую можно смоделировать, как показано на рисунке 48;
- коллективный ремонт: несколько блоков ремонтируют в рамках одной ремонтной операции;
- резервирование заменой: если резервированный блок отказывает, начинает работать резервный блок (см. рисунок 11);
- запасные части: при отказе резервированного блока для ремонта могут потребоваться запасные части. Поэтому ремонт возможен только при наличии хотя бы одной запасной части. Кроме того, запасная часть, используемая для ремонта одного блока, становится недоступной для ремонта другого блока;
- последовательные блоки: если один из последовательных блоков отказывает или находится в ремонте, остальные могут быть восстановлены (например, потому, что выход отказавшего блока необходим для работы следующих последовательных блоков)
- другие зависимости.
События, которые могут происходить только в заданном порядке (одно событие не может произойти раньше другого):
- ремонт блока не может начаться до отказа блока. Такая функциональная зависимость уже была обработана в обычных RBD для вычисления коэффициента готовности, вероятности безотказной работы и частоты отказов;
- для заданного набора блоков (В 1, В 2, ..., В n) ремонт начинается только тогда, когда отказали все блоки;
- блоки становятся невосстанавливаемыми после отказа системы в целом. Это происходит при выполнении вероятностных расчетов;
- в более общем смысле для набора событий (е 1, е 2, ..., е n) это означает, что е 2 не может произойти, пока не произошло e 1; е 3 не может произойти до тех пор, пока не произошло е 2; е n не может произойти до тех пор, пока не произошло е n-1. Другими словами, е 1 тормозит е 2; е 2 тормозит е 3; е n-1 тормозит е n. Поэтому события могут происходить только в последовательности е 1, е 2, ..., е n. Это могут быть ситуации, когда электрическое устройство не может быть запущено до включения электропитания или устройство в режиме холодного резерва не может быть активировано до выхода из строя основного устройства. Такое взаимодействие аналогично последовательным вентилям (часто обозначаемым SEQ), используемым в анализе динамического дерева неисправностей (см. SEQ в таблице 4);
12.2.3 Системные динамические взаимодействия
Системные динамические взаимодействия не обязательно подразумевают функциональные зависимости между блоками, которые могут вести себя независимо друг от друга. Они появляются, когда обычные логические правила не могут быть использованы.
Примерами может служить следующее:
- структура m/n: эта логическая схема была рассмотрена (см. 7.5.1 и 9.4), для ее моделирования введен специальный логический вентиль;
- события, которые должны происходить в заданном порядке:
- запрос, запускающий действие, выполняемое заданным блоком В: если запрос возникает до отказа В, действие выполняется, и система остается в работоспособном состоянии; если запрос возникает после отказа В, действие не выполняется, и система отказывает;
- запорный клапан, защищающий систему от избыточного давления: опасное событие возникает только тогда, когда клапан открыт до того, как давление было снижено выше запорного клапана;
- в более общем случае для набора событий е 1, е 2, ..., е n выход происходит только в случае, если события происходят в заданном порядке, в противном случае выход не происходит. Это взаимодействие аналогично "вентилю очередности И" (часто обозначаемому PAND), используемому при анализе динамического дерева неисправностей, которое также может быть использовано для DRBD. Взаимодействие может быть представлено в виде вентиля, объединяющего вход нескольких блоков.
Специальные вентили необходимы для представления системных динамических зависимостей, таких как. например, m/n, вентили PAND или SEQ, приведенные в таблице 4, которые являются популярным распространением динамических деревьев неисправностей.
Вентиль m/n уже был рассмотрен, а вентили PAND и SEQ будут рассмотрены далее (см. рисунки 49-52). Символы, обычно используемые в динамических деревьях неисправностей, здесь были применены, но вентиль NOT был введен во входы и выходы для обеспечения согласованности с логикой RBD.
12.2.4 Графическое представление динамических взаимодействии
В соответствии с 12.2.2 и 12.2.3 количество видов возможных динамических взаимодействий практически бесконечно. Поэтому, несмотря на то что были предприняты некоторые попытки предложения графических символов для отдельных случаев (см. [15], [16] и [17]), это не охватывает все ситуации, и в настоящем стандарте могут быть предложены только некоторые основные графические элементы.
Рисунок 46 - Динамическое взаимодействие CCF и блоков RBD
На рисунке 46 показаны сильные взаимодействия (т.е. сильные функциональные зависимости) между внешними объектами и некоторыми блоками: блоки А и В отказывают, если происходит отказ по общей причине, представленный внешним блоком.
Рисунок 47 - Различные способы представления динамического взаимодействия между блоками
На рисунке 47 показаны два способа представления взаимодействия (т.е. функциональных зависимостей) между блоками: состояние блоков С и D зависит от состояния блока А.
Те же способы реализованы на рисунке 48 для представления взаимодействия между единственной ремонтной бригадой и восстанавливаемыми блоками.
Рисунок 48 - Динамическое взаимодействие между одной ремонтной бригадой и блоками RBD
Эти простые графические представления направлены на то, чтобы показать, что существует некоторая динамика взаимодействия между блоками и внешними объектами. Пунктирные линии в левой стороне рисунков 47 и 48 могут быть использованы, если необходимо указать лишь несколько взаимодействий в RBD. Если существует много взаимодействий, которые необходимо представить, вариант, приведенный в правой стороне рисунков 46, 47 и 48, является более четким. Свойства и особенности взаимодействий должны быть установлены в другом месте. Основное применение данных методов представления взаимодействий должно поддерживать графическое представление RBD и обеспечивать хорошую идентификацию внешних объектов.
На рисунке 49 показано, как можно использовать вентиль в DRBD: выход О дает неработоспособное состояние только в том случае, если I 1 переходит в неработоспособное состояние вниз прежде, чем I 2 переходит в неработоспособное состояние.
Рисунок 49 - Применение вентиля PAND
Функционирование вентиля PAND показано на рисунке 50. Вентиль PAND эквивалентен пяти состояниям конечного автомата, изображенным в левой стороне рисунка:
- состояние 1: I 1 и I 2 находятся в работоспособном состоянии. Тогда выход О находится в работоспособном состоянии;
- состояние 2: I 2 сначала переходит в неработоспособное состояние, а I 1 все еще находится в работоспособном состоянии. Тогда выход О находится в работоспособном состоянии;
- состояние 3: сначала I 1 переходит в неработоспособное состояние, a I 2 все еще находится в работоспособном состоянии. Тогда выход О находится в работоспособном состоянии;
- состояние 4: I 1 и I 2 перешли в неработоспособное состояние, но I 2 перешел первым. Тогда выход О находится в работоспособном состоянии;
- состояние 5: I 1 и I 2 перешли в неработоспособное состояние, но I 1 перешел первым. Тогда выход О перешел в неработоспособное состояние.
Рисунок 50 - Эквивалентный конечный автомат и пример его хронограммы для вентиля PAND
Если входы I 1 и I 2 изменяются в диапазоне от 1 до 0, выход вентиля PAND (рисунок 49) изменяется в соответствии с правилами этого конечного автомата. Можно записать, например, хронограмму, представленную в правой стороне рисунка 50. Анализ сети Петри, моделирующей такой конечный автомат, приведен в приложении Е и на рисунке F.6.
На рисунке 51 показано, как можно использовать в DRBD вентиль SEQ: как и для вентиля PAND, выход О переходит в работоспособное состояние только в том случае, если I 1 переходит в неработоспособное состояние до того, как I 2 переходит в работоспособное состояние. Разница в том, что I 2 не может перейти в неработоспособное состояние до того, как I 1 перейдет в неработоспособное состояние. Таким образом, отказы В и D тормозятся до тех пор, пока I 1 находится в работоспособном состоянии, и это обозначают с помощью динамических взаимодействий, изображенных пунктирными линиями.
Рисунок 51 - Применение вентиля SEQ
Функционирование показано на рисунке 52. Вентиль SEQ эквивалентен пяти состояниям конечного автомата, изображенного в левой стороне рисунка. Состояния такие же, как и для вентиля PAND, за исключением того, что нет перехода из состояния 1 в состояние 2 для того, чтобы упорядочить отказы: I 1 - первый, затем I 2.
Рисунок 52 - Эквивалентный конечный автомат и пример хронограммы вентиля SEQ
Как показано на хронограмме, I 2 не может отказать до отказа I 1.
Сеть Петри, моделирующая тот же самый конечный автомат, проанализирована в приложении Е (рисунки Е.6 и Е.7).
12.2.5 Вероятностные расчеты
В литературе предлагается выполнять вероятностный расчет с использованием марковского подхода (см. [2], [29] и [30]). Тем не менее построение марковского процесса для всего DRBD быстро ограничивается комбинаторным взрывом количества состояний. Поэтому такой подход должен быть ограничен небольшим количеством независимых частей DRBD, как это уже было отмечено для RBD-управляемых марковских процессов, описанных в С.4.
Другой подход, предлагаемый в литературе, заключается в том, чтобы установить связь между DRBD и конечным автоматом (машиной с конечным количеством событий или сетью Петри). Это более эффективный подход, чем марковский подход, но аналитические расчеты уже невозможны и следует применять моделирование Монте-Карло.
RBD-управляемые сети Петри, описанные в приложении Е, являются эффективным способом соединения подходов RBD и PN для решения задач динамических RBD и расчетов.
Библиография
Ключевые слова: безотказность, готовность, вероятность безотказной работы, структурная схема надежности, последовательная RBD, параллельная RBD, путь успеха, путь отказа, непересекающийся набор элементов, вероятность отказа, интенсивность отказов, интенсивность восстановления, бинарная диаграмма принятия решений.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р МЭК 61078-2021 "Надежность в технике. Структурная схема надежности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21 сентября 2021 г. N 989-ст)
Текст ГОСТа приводится по официальному изданию Российского института стандартизации, Москва, 2023 г.
Переиздание. Октябрь 2022, апрель 2023 г.
Дата введения - 1 января 2022 г.