Приложение Е (справочное). RBD-управляемые сети Петри. Национальный стандарт РФ ГОСТ Р МЭК 61078-2021 "Надежность в технике. Структурная схема надежности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 21.09.2021 N 989-ст)

Приложение Е
(справочное)

RBD-управляемые сети Петри

Е.1 Общие положения

Одним из эффективных способов работы с динамическими RBD является совмещение подходов RBD и сети Петри. Это позволяет строить большие PN и использовать моделирование Монте-Карло для расчета исследуемых вероятностных величин.

Простейший метод состоит в моделировании блоков и внешних элементов отдельными суб-PN, которые взаимодействуют посредством использования предикатов и утверждений. Такая модель представляет собой RBD-управляемую Сеть Петри (см. справку [18]), которая:

- сохраняет логическую структуру RBD для логических вычислений состояния системы по состоянию блоков;

- использует преимущества сети Петри для моделирования взаимодействий между блоками и/или внешними объектами

Е.2 Пример суб-PN, который используют в моделях RBD-управляемых РМ

Рисунок Е.1 - Пример моделирования суб-PN DRBD блока

На рисунке Е.1 приведен пример суб-PN, разработанной для использования в DRBD. Блок характеризуют:

- три состояния: работоспособное (U), неработоспособное (D) и восстановления (ремонта) (R);

- четыре перехода: (независимый) отказ, отказ по общей причине, начало ремонта (восстановления) и окончание ремонта восстановления;

- несколько предикатов и утверждений:

- два утверждения, !!а = истинно и !!а = ложно для обновления состояния блока (работоспособное или неработоспособное). Каждое состояние блока моделируют таким образом, чтобы оценить состояние системы в целом на основе логической структуры RBD,

- один предикат, ??ccf = истинно, который запускает отказ блока при возникновении CCF. Он использован для моделирования взаимодействий с внешним объектом, моделирующим CCF,

- один предикат, ??r > 0, позволяющий начать восстановление, когда доступна по меньшей мере одна ремонтная бригада. Его используют для моделирования взаимодействий между блоками, которые восстанавливает одна и та же ремонтная бригада,

- одно утверждение, !!r = r - 1 для уменьшения количества доступных ремонтных бригад на одну, когда начат ремонт. Это использовано для моделирования взаимодействий между блоками, которые восстанавливает одна и та же ремонтная бригада,

- одно утверждение, !!r = r + 1, чтобы увеличить количество доступных ремонтных бригад на одну, когда восстановление завершено. Его используют для моделирования взаимодействий между блоками, которые восстанавливает одна и та же ремонтная бригада.

В правой части рисунка Е.1 предложено представление блока, связанного с этой суб-PN.

Рисунок Е.2 - Пример суб-PN, моделирующей отказ по общей причине

На рисунке Е.2 приведен пример суб-PN, разработанной для использования в качестве внешнего объекта DRBD. Пример моделирует отказ по общей причине, характеризующийся:

- двумя состояниями: U (работоспособное: не произошел CCF), D (неработоспособное: произошел CCF);

- двумя переходами: возникновение CCF, устранение CCF;

- несколькими предикатами и утверждениями:

- двумя утверждениями, !!ccf = true и !!ccf = false для обновления состояния CCF (не произошел или произошел). Эти утверждения используют для сбоя блоков, связанных с данными CCF,

- несколькими предикатами, ??а = истинно, ??b = истинно и т.д., которые допускают сброс CCF только после того, как все блоки, связанные с CCF, восстановлены.

В правой части рисунка Е.2 предложено представление внешнего объекта, связанного с этой суб-PN.

Суб-PN могут быть использованы для построения DRBD, как это показано на рисунке Е.3.

Рисунок Е.3 - Пример DRBD на основе RBD-управляемой PN

Эта DRBD моделирует отказ по общей причине блоков А и В и другой отказ по общей причине блоков С и D.

Ограниченное количество ремонтных бригад для восстановления четырех блоков. Количество ремонтных бригад задано начальными условиями: r = 1 при моделировании одной ремонтной бригады, r = 2 - при моделировании двух ремонтных бригад и т.д., r = 4 эквивалентно классическому предположению, что ремонтных бригад столько же, сколько восстанавливаемых блоков.

Е.3 Оценка состояния DRBD

Состояние системы задано комбинациями состояний блоков (а, b, с и d) точно так же, как для обычной RBD, используя глобальные утверждения, представленные на рисунке Е.4:

- !!О _a =  для последовательных структур: выход блока А является работоспособным, его вход работоспособен и, если блок находится в работоспособном состоянии;

- !!О = I ₁ + I ₂ + ... + I _n для параллельных структур: выход является работоспособным, если хотя бы один из входов работоспособен.

Рисунок Е.4 - Логическое вычисление по классической структуре RBD

На рисунке 5 показано, что для вентиля 2/3 также может быть составлена простая логическая формула. Она может быть легко распространена на любой вентиль вида n/m.

Рисунок Е.5 - Пример логических вычислений для вентиля n/m

Для вентиля PAND не существует логической формулы, но взамен можно использовать простую суб-PN, такую как представленная на рисунке Е.6. Эта PN нарисована для двух входов, но может быть легко переделана на n входов. Она эквивалентна конечному автомату, представленному на рисунке 50.

Рисунок Е.6 - Пример суб-PN, моделирующей вентиль PAND с двумя входами

Особенности этой PN состоят в следующем:

1) вначале выход находится в работоспособном состоянии (О = 1), и место РI1 отмечено знаком 1;

2) если I ₂ ложно (I ₂ = 0), когда I ₁ истинно (I ₁ = 1), то переход Tr1 запрещен;

3) если I ₁ становится ложным (I ₁ = 0), когда I ₂ истинно (I ₂ = 1), это означает, что I ₁ произошло раньше I ₂ и затем немедленно срабатывает переход Tr1. Знак удаляют из РI1 и один знак добавляют в PI2. Это запрещает Tr1 (благодаря запрещающей стрелке в пунктирной линии) и подтверждает Tr2 и Tr4;

4) если I ₁ истинно (I ₁ = 1) до того, как I ₂ станет ложным, то Tr4 срабатывает, и PN возвращается в исходное состояние;

5) если I ₂ становится ложным (I ₂ = 0), в то время как I ₁ все еще ложно (I ₁ = 0), переход Tr2 немедленно срабатывает и выход становится ложным (О = 0);

6) если I ₁ или I ₂ снова становятся истинными (I ₁ = 1 или I ₂ = 1), то срабатывает Tr3, и выход становится опять истинным (О = 1);

7) если Tr3 был удален, потому что I ₁ = 1, то PN возвращается к этапу 2, где Tr1 запрещен;

8) если Tr3 был удален, потому что I ₂ = 1, то PN возвращается к этапу 3, а Tr1 срабатывает.

При этом выход sub-PN становится ложным (О = 0) только в том случае, если I ₁ и I ₂ ложны (I ₁ = 0, I ₂ = 0) в таком порядке.

Та же суб-PN может быть использована для моделирования конечного автомата, представленного на рисунке 52 для вентиля SEQ, но его недостаточно для моделирования динамического взаимодействия между I ₂ и I ₁: I ₂ не может перейти в неработоспособное состояние до того, как I ₁ перейдет в неработоспособное состояние. Это может быть достигнуто, например, путем моделирования блоков С и D на рисунке 51 с помощью суб-PN, аналогичных представленной на рисунке Е.7 для блока С.

Рисунок Е.7 - Пример запрета на отказ блока

Эта суб-PN является производной от представленной на рисунке Е.1, где переходы отказа блока (независимые отказы и отказы по общей причине) запрещают до тех пор, пока I ₁ не перейдет в исходное состояние (I ₁ = 0).

Е.4 Вычисление коэффициента готовности, вероятности безотказной работы, частоты и MTTF

Когда модель построена, она может быть использована для вероятностных вычислений, и это может быть выполнено за счет моделирования Монте-Карло. Суб-PN, представленная на рисунке Е.8, моделирует выход DRBD и может быть использована для получения всех необходимых вероятностных результатов:

- маркировка места U в момент времени t дает коэффициент готовности системы A _S(t);

- маркировка места D в момент времени t дает коэффициент неготовности системы U _S(t);

- средняя маркировка места U на [0, T] дает средний коэффициент готовности системы А(0, T) на [0, T];

- средняя маркировка места D на [0, T] дает средний коэффициент неготовности системы U(0, T) на [0, T];

- частота срабатывания перехода "первый отказ" дает вероятность безотказной работы системы R _S(t) за [0, t];

- частота срабатывания перехода "отказ" дает среднюю частоту отказов системы (0, t);

- средняя маркировка места М дает среднее время до возникновения первого отказа. Если это время достаточно велико, чтобы получить хотя бы один отказ за симуляцию, тогда это дает MTTF системы, смоделированной DRBD;

- и т.д.

Рисунок Е.8 - Суб-PN для вычисления коэффициента готовности, вероятности безотказной работы и частоты