Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2018 г. N 467-ст)
- Приложение J (справочное). Многоконтурные системы безопасности
Приложение J (справочное). Многоконтурные системы безопасности
Приложение J
(справочное)
Многоконтурные системы безопасности
J.1 Общие положения
Полуколичественные подходы, представленные в приложениях настоящего стандарта, очень полезны для быстрой оценки снижения риска, которое необходимо для достижения целевой частоты данного опасного события, установленной в процессе предшествующего анализа риска (см. приложение А о подходе ALARP). Тем не менее основная гипотеза о том, что снижение риска, достигаемое ПСБ, непосредственно связано с ее соответствующей мерой отказов (например, средним значением неготовности - ВОНЗср), верна только тогда, когда реализована единичная ПСБ. Если разрабатывается несколько последовательно работающих систем безопасности (ПСБ и не ПСБ) для предотвращения данного опасного события, то сокращение риска все же увеличивается при снижении величины отказов этими системами, но связь не так проста, и сокращение риска, которое фактически обеспечивается данной ПСБ, может быть ниже, чем то, которое может быть получено непосредственно при снижении величины отказов этой ПСБ, когда она работает отдельно. Это тем более верно, когда периодически выполняются контрольные проверки систем.
Поэтому, если разработано несколько работающих вместе систем безопасности в соответствии с подходами, представленными в приложениях настоящего стандарта, то важно проверить, что отказы по общей причине и влияние зависимостей между системами безопасности незначительны или должным образом учтены, чтобы фактически обеспечить допустимую частоту опасного события.
Примечание - Дополнительную информацию можно найти в документах, представленных в библиографии.
J.2 Понятие системных зависимостей
На рисунке J.1 представлены обычные вычисления, используемые в полуколичественных подходах. Две ПСБ (ПСБ1 и ПСБ2) работают последовательно. Если происходит запрос от процесса, то сначала должна реагировать ПСБ1. Если в ней происходит отказ, то, в свою очередь, должна реагировать ПСБ2, и если она также отказывает, то происходит опасное событие.
Рисунок J.1 - Обычные вычисления
При использовании полуколичественных подходов признано, что снижение риска, обеспечиваемое ПСБ, равно обратной величине ее меры отказов (например, Рi = 1/ВОНЗср,i). Поэтому в отсутствие ПСБ частота опасного события HEF0 равна самой частоте запросов w. Далее функция безопасности ПСБ1 обеспечивает снижение риска HEF0/HEF1 = 1/Р1, и риск снижается до . Затем функция безопасности ПСБ2 обеспечивает снижение риска HEF1/HEF2 = 1/P2, и риск снижается до
, которое, как предполагается, удовлетворяет требованиям к допустимой частоте опасного события.
Однако периоды контрольных проверок, значения MTTR, MRT, отказы по общей причине и другие факторы каждого из ПСБ могут взаимодействовать между собой, что даст снижение риска, отличное от предполагаемого, которое было описано перед этим в упрощенном виде.
В простом примере на рисунке J.1 ПСБ1 включает только один датчик S, одно логическое решающее устройство LS и один исполнительный элемент FE, которые соединены последовательно и тестируются одновременно с периодом контрольных проверок. Тогда интенсивность отказов ПСБ1 равна , и ее среднее значение неготовности (т.е. ВОНЗср,1) равно
. Точно так же среднее значение неготовности ПСБ2 (т.е. ВОНЗср,2) равно
. Поэтому с двумя ПСБ частота опасного события будет
, где функция безопасности ПСБ1 обеспечивает снижение риска HEF0/HEF1 = 1/ВОНЗср,1, а функция безопасности ПСБ2 обеспечивает снижение риска HEF1/HEF2 = 1/ВОНЗср,2.
Приведенные выше вычисления учитывают только период проверок, но не планирование тестов во времени. На рисунке J.2 показано, что две ПСБ тестируются в одно и то же время. Это известная общепринятая политика испытаний, позволяющая упростить задачи команде обслуживания или минимизировать число остановок процесса для выполнения тестов.
Рисунок J.2 - Точные вычисления
В пределах периода между контрольными проверками значение неготовности ПСБ1 описывается выражением , которое можно упростить до U1(t) =
, при
< 1. Сразу после контрольной проверки значение U1(t) имеет нулевое значение (если время ремонта незначительно или процесс остановлен), затем оно увеличивается непосредственно до следующей контрольной проверки. В результате получаем известную пилообразной кривую, которая представлена в рисунке J.2. Точно так же получаем пилообразной кривую и для U2(t). Поэтому U1(t) и U2(t) можно считать взаимосвязанными, так как они имеют минимальные значения (сразу после теста) и максимальные значения (непосредственно перед тестом) в одно и то же время. Кажется, что это несущественно, но фактически появляется системная зависимость между ПСБ1 и ПСБ2, которые поэтому не являются абсолютно независимыми. Термин "системная зависимость" означает, что эта зависимость является свойством ПСБ1 и ПСБ2, рассматриваемых как единое целое, которое нельзя описать, рассматривая отдельно только ПСБ1 или ПСБ2. Необходимо отметить, что этот тип взаимосвязи не проявляется в непосредственно обнаруженных отказах (например, выявленных диагностическими тестами), потому что неготовность, связанная с этими отказами, достигает целевых значений, которые не имеют отношения к отказам, выявляемым контрольными проверками.
В случае запроса вероятность сбоев ПСБ1 равна , вероятность сбоя обеих ПСБ1 и ПСБ2 равна
, а вероятность опасного события равна
. Если w - частота запросов, то Nbf0 = wdt - число запросов, происходящих между t и t + dt (т.е. число опасных событий в отсутствие системы безопасности). С двумя ПСБ число опасных событий, происходящих за dt, будет равно
, и простое интегрирование дает число опасных событий, происходящих на отрезке [0,
] в виде
,
. Наконец средняя частота опасных событий равна
. Необходимо отметить, что частота запросов w считается постоянной. Тогда
представляет снижение риска, обеспеченное эквивалентной одной системой безопасности, включающей и ПСБ1, и ПСБ2.
Наконец HEF'2 = 1,33HEF2, которая, очевидно, больше, чем HEF2. Выражение для HEF'2 можно записать в виде , которое показывает, что ПСБ1 на 100 % реализует свои возможности Р1 по снижению риска, а ПСБ2 - только на 3/4 = 75 % Р2, так как она действует на второй позиции.
Если добавить третью ПСБ и проверять ее в то же самое время (т.е. ), то частота опасных событий стала бы
, т.е. снижение риска только на 1/2 = 50 % того, что ожидалось от полуколичественных подходов. Запись
показывает, что вклад третьей ПСБ равен только 2/3 = 66 % ожидаемой.
Выражение для HEF`2 можно записать в виде (w` является частотой запросов к ПСБ2). Если w` рассматривать в качестве запросов процесса, то это выражение показывает, что между процессом и ПСБ могут также существовать системные зависимости. Поэтому даже в случае рассмотрения одной ПСБ эти зависимости могут дать меньшее снижение риска, чем ожидалось.
Если теперь разнести по времени проверки и выполнить определенные математические вычисления, то можно найти, что оптимум достигается, когда ПСБ2 проверяется в середине периода контрольных проверок ПСБ1. В этом оптимальном случае частота опасных событий снижается и равна . Это выражение можно записать в виде
. Контрольные проверки все еще связаны между собой, но теперь ПСБ2 обеспечивает снижение риска на 12/10 = 120 % от того, что ожидалось. Поэтому связь между контрольными проверками различных ПСБ может воздействовать либо позитивно, либо негативно в зависимости от реализуемой политики контрольных проверок.
Как показано слева на рисунке J.3, многоконтурная система безопасности, анализ которой выполнен выше, эквивалентна одиночной избыточной ПСБ. Это приводит к появлению возможных отказов по общей причине (ООП), которые, вероятно, будут существовать между ПСБ1 и ПСБ2, как показано на этом рисунке справа. Отказы по общей причине также возникают в результате существования системных зависимостей между ПСБ1 и ПСБ2.
Рисунок J.3 - Избыточная ПСБ
Влияние ООП обычно более важно, чем связь между контрольными проверками, и оно всегда негативно. В вышеупомянутом примере, где контрольные проверки выполняются в одно и то же время, это влияние описывается дополнительным слагаемым в выражении для частоты опасных событий. Это влияние может быть снижено, если контрольные проверки разнесены между собой по времени, т.е. когда ПСБ1 и ПСБ2 не проверяются в одно и то же время, а любой тест может выявить ООП при условии, что реализованы соответствующие процедуры. Интервал контрольных проверок ООП может быть уменьшен до
, таким образом, в два раза уменьшая вклад ООП в частоту опасных событий. С третьей ПСБ, подобной ПСБ1 и ПСБ2, вклад ООП может быть уменьшен в три раза и т.д.
В заключение необходимо отметить, что снижение риска, обеспеченное многоконтурной ПСБ, где ПСБ работают последовательно, может быть меньше, равно или больше, чем ожидаемое от полуколичественных подходов. Если разные системы безопасности периодически проверяются в одно и то же время, то полуколичественные подходы приводят к неконсервативным результатам и этот неоконсерватизм растет с уровнем избыточности. Если реализуются сложные контрольные проверки, то результат сравнения между позитивным либо негативным воздействием трудно предвидеть. Поэтому если многоконтурная система безопасности была разработана согласно индивидуальным требованиям, установленным в полуколичественных подходах, то разумно проверить, что целевая допустимая частота опасных событий фактически достигнута.
Примечание - На одиночную систему безопасности с избыточными компонентами влияют те же самые описанные выше системные зависимости, поэтому она может быть проанализирована таким же образом.
J.3 Полуколичественные подходы
Полуколичественные подходы могут использоваться для проверки влияния отказов по общей причине и системных зависимостей на частоту опасных событий.
Если реализован подход разнесения контрольных проверок по времени (чтобы смягчить негативное воздействие связи между ними) и не выявлены какие-либо отказы по общей причине между одиночными ПСБ, формирующими многоконтурную систему безопасности, то можно использовать обычные вычисления. В других случаях необходимы некоторые поправки к ним.
Если выявлены отказы по общей причине, то они должны быть рассмотрены на уровне многоконтурной системы безопасности, как показано на рисунке J.3. Если контрольные проверки разнесены по времени и реализована соответствующая процедура, то интервал контрольных проверок ООП может быть снижен до интервала между последовательными контрольными проверками, разнесенными по времени.
Если подход разнесения по времени контрольных проверок не реализован, то необходимо рассмотреть системные зависимости из-за связи контрольных проверок. Их можно учесть с помощью корректирующих коэффициентов, подобных представленным на рисунке J.4, которые могут помочь оценить необходимые изменения значения частоты опасных отказов. Эта таблица была построена на основе гипотезы, что все компоненты проверяются в одно и то же время. Изменение значения частоты опасных отказов увеличивается с ростом числа отдельных ПСБ и с увеличением длины сценариев, приводящих к опасному событию (так называемого порядка минимальных сечений - МС). Левая таблица на рисунке J.4 описывает многоконтурную систему безопасности, состоящую из двух отдельных ПСБ, а правая таблица - из трех отдельных ПСБ. Корректирующие коэффициенты в этих таблицах вычисляются как отношение m/n (m - коэффициент для всей системы, полученный из вычислений для отдельных ее составных частей, а n - коэффициент для всей системы, полученный из вычислений для всей системы в целом). Например, для МС порядка 2 для многоконтурной системы безопасности, состоящей из двух отдельных ПСБ, сравниваются значения выражения вида (вычисленные для отдельных составных частей) со значениями выражения вида
(вычисленными для всей системы в целом), и этот корректирующий коэффициент равен
.
|
МСБ |
ПСБ1 |
ПСБ2 |
|
|
МСБ |
ПСБ1 |
ПСБ2 |
ПСБ3 |
|
|
Порядок сечения |
Порядок сечения |
Порядок сечения |
Коэффициент |
|
Порядок сечения |
Порядок сечения |
Порядок сечения |
Порядок сечения |
Коэффициент |
|
2 |
1 |
1 |
4/3 = 1,33 |
|
3 |
1 |
1 |
1 |
8/4 = 2,00 |
|
3 |
1 |
2 |
6/4 = 1,50 |
|
4 |
1 |
1 |
2 |
12/5 = 2,40 |
|
3 |
2 |
1 |
6/4 = 1,50 |
|
4 |
1 |
2 |
1 |
12/5 = 2,40 |
|
4 |
1 |
3 |
8/5 = 1,60 |
|
4 |
2 |
1 |
1 |
12/5 = 2,40 |
|
4 |
3 |
1 |
8/5 = 1,60 |
|
5 |
1 |
1 |
3 |
16/6 = 2,67 |
|
4 |
2 |
2 |
9/5 = 1,80 |
|
5 |
1 |
3 |
1 |
16/6 = 2,67 |
|
5 |
1 |
4 |
10/6 = 1,67 |
|
5 |
3 |
1 |
1 |
16/6 = 2,67 |
|
5 |
4 |
1 |
10/6 = 1,67 |
|
5 |
1 |
2 |
2 |
18/6 = 3,00 |
|
5 |
2 |
3 |
12/6 = 2,00 |
|
5 |
2 |
1 |
2 |
18/6 = 3,00 |
|
5 |
3 |
2 |
12/6 = 2,00 |
|
5 |
2 |
2 |
1 |
18/6 = 3,00 |
Рисунок J.4 - Корректирующие коэффициенты для вычисления частоты опасных событий для контрольных проверок, выполняющихся в одно и то же время
Таблицы на рисунке J.4 применяются для минимальных сечений (исключая отказы по общей причине) на уровне многоконтурной системы безопасности (МСБ), и для этого необходимо оценить максимальный порядок сечений, вносящий вклад в частоту опасных событий, который используется для определения корректирующих коэффициентов (правые колонки таблиц, представленных на рисунке J.4). Например, если максимальный порядок вносящего вклад сечения равен 3, и если многоконтурная система безопасности включает две ПСБ (левая таблица рисунка J.4), то частота опасных событий, вычисленная с помощью полуколичественного подхода, должна быть умножена на корректирующий коэффициент, равный 1,5.
Для вносящего вклад максимального порядка, равного 4, частота опасных событий должна быть умножена на корректирующий коэффициент в пределах от 1,6 до 1,8. Для минимальных сечений порядка 5 многоконтурной системы безопасности, состоящей из трех ПСБ (правая таблица рисунка J.4), она должна быть умножена на корректирующий коэффициент в пределах от 2,7 до 3 и т.д. Если многоконтурная система безопасности включает соединение нескольких различных структур, то должен использоваться больший коэффициент для обеспечения консервативности.
J.4 Булевы подходы
Чтобы показать, как могут быть выполнены многоконтурные системы безопасности, пример, для которого уже выполнялся анализ в J.2, был немного изменен: теперь ПСБ1 и ПСБ2 не одинаковы, а логические решающие устройства имеют только выявляемые опасные отказы. С двумя избыточными датчиками интенсивность отказов ПСБ2 больше не является постоянной величиной. Этот новый пример детально рассмотрен, и для него построена модель в виде блок-схемы надежности, которая представлена на рисунке J.5 (РТ - датчик давления, LS - логическое решающее устройство и SV - предохранительный клапан). Каждая ПСБ включает датчики (один или два), одно логическое решающее устройство и один предохранительный клапан, соединенные последовательно. Девять сценариев отказа (т.е. так называемые минимальные сечения), полученные на основании этой модели, являются следующими: {РТ1, РТ2, РТ3}, {PT1, LS2}, {PT1, SV2}, {LS1, PT2, PT3}, {LS1, LS2}, {LS1, SV2}, {SV1, PT2, PT3}, {SV1, LS2), {SV1, SV2}. Минимальные сечения (МС), которые связаны с подобными компонентами, являются кандидатами на отказы по общей причине. Поэтому к девяти предыдущим должны быть добавлены три минимальных сечения: ООПР, ООПLS и ООПSV. В результате имеем двенадцать минимальных сечений (3 одиночных отказа, 6 двойных отказов и 3 тройных отказа). Затем первая идея может состоять в том, чтобы использовать для каждого из них некоторые упрощенные формулы, подобные предложенным в приложении В МЭК 61508-6:2010. Это возможно при условии, что эти формулы получены для случая системы с неодинаковыми компонентами (например, компоненты с различными видами отказов и/или различными периодами контрольных проверок).
|
|
|
Интенсивность отказов |
Интенсивность ремонта |
Тестовый интервал |
|
|
РТ1 |
4,50Е-06 |
0,125 |
4380 |
|
РТ2 |
4,50Е-06 |
0,125 |
8760 |
|
|
РТ3 |
4,50Е-06 |
0,125 |
8760 |
|
|
РТ4 |
6,25Е-04 |
0,125 |
Обнаружен |
|
|
РТ5 |
6,25Е-04 |
0,125 |
Обнаружен |
|
|
РТ6 |
3,55Е-06 |
0,042 |
8760 |
|
|
РТ7 |
3,55Е-06 |
0,042 |
8760 |
Рисунок J.5 - Расширение простого примера
Вторая идея состоит в том, чтобы использовать подход дерева отказов, который, оказывается, является очень эффективным, когда компоненты достаточно независимы (например, вероятность одновременно двух отказов в ПСБ низка) и при условии, что вычисления выполнены корректно. Дерево отказов, связанное с упомянутой выше многоконтурной ПСБ, представлено на рисунке J.6.
Дерево отказов позволяет получить непосредственно мгновенное значение неготовности события верхнего уровня, исходя из мгновенных значений неготовности исходных событий. Как сказано выше и как показано на рисунке J.6, неготовность периодически проверяемого события описывается пилообразной кривой (см. примечание). Вычисление дерева ошибок для соответствующего числа моментов времени ti за установленный период (например, два года) позволяет получить значение неготовности на уровне выходных логических элементов (включая событие верхнего уровня). Эти значения представляют собой более или менее сложные пилообразные кривые согласно политике контрольных проверок. Вычисление средних значений этих кривых за установленный период дает среднее значение неготовности (например, ВОНЗср). Эта операция по усреднению сталкивается с системными зависимостями из-за наличия связи между контрольными проверками. Следует отметить, что для моделирования отказов по общей причине между РТ2 и РТ3 ПСБ2 используется бета-фактор, равный 1 %.
Рисунок J.6 - Моделирование дерева отказов многоконтурной ПСБ, представленной на рисунке J.5
Примечание - Входные пилообразные кривые могут быть получены из многофазной модели Маркова [см. МЭК 61508-6:2010 (приложение В)]. Затем деревья отказов используются, чтобы связать маленькие модели Маркова. Это эффективно, когда эти маленькие модели Маркова независимы друг от друга. С данными, используемыми для этого примера, и для независимых отказов можно получить среднюю доступность для ПСБ1 и
для ПСБ2. С полуколичественным подходом это привело бы к снижению риска 1/Р1Р2 = 1588, когда оно равно только
(т.е. различие приблизительно 15 %).
Моделирование возможных отказов по общей причине между ПСБ1 и ПСБ2 не отражено на рисунке J.6. Это сделано на рисунке J.7, где отказы по общей причине между PTs, LSs и SVs рассмотрены с бета-фактором, равным 1 %. Теперь среднее значение неготовности многоконтурной системы безопасности , и полное снижение риска упало до 982. Это приблизительно 62 % снижения риска, ожидаемого от полуколичественного подхода при гипотезе о полной независимости ПСБ1 и ПСБ2.
Рисунок J.7 - Моделирование отказов по общей причине ООП между ПСБ1 и ПСБ2
На рисунке J.8 проверки трех PTs были разнесены, также как и двух SVs. Среднее значение неготовности двух ПСБ, рассматриваемых как единое целое, будет , а полное снижение риска увеличилось до 1497. Это просто немного ниже, чем ожидаемое от полуколичественного подхода.
Рисунок J.8 - Влияние разнесения по времени проверок
На рисунке J.9 были разделены виды отказов предохранительного клапана между теми, которые обнаружены при частичном движении, и теми, которые обнаружены при полном движении. Среднее значение неготовности двух ПСБ, рассматриваемых как единое целое, будет , а полное снижение риска увеличилось до 3034. Это в два раза больше, чем ожидалось при полуколичественном подходе.
Рисунок J.9 - Влияние частичного движения
J.5 Подход на основе состояний-переходов
Подход на основе дерева отказов очень эффективен, когда компоненты достаточно независимы. Но это не так, если компоненты сильно зависят друг от друга, как в примере при выполнении ремонта в случае второго отказа, если изменяется логика (например, от 2оо3 до 1оо2) вместо ее восстановления, если растет задержка начала ремонта из-за сбора инструментов для ремонта (например, для подводных ремонтных работ судна динамического расположения) и т.д. В этом случае необходимо использовать модели на основе состояний-переходов, обеспечивающие надлежащее представление динамического поведения компонентов. Марковский подход (см. приложение В МЭК 61508-6:2010) является самым популярным подходом на основе пространства состояний, но для многоконтурной системы безопасности должно быть промоделировано большое число компонентов, что, вероятно, вызовет комбинационный взрыв числа состояний. Поэтому необходимо рассматривать другие подходы, которые свободны от этого недостатка. Среди них очень эффективным оказался подход на основе сетей Петри [см. МЭК 61508-6:2010 (приложение В) и МЭК 62551:2012] при моделировании сложного динамического поведения больших систем. Аналитические расчеты таких моделей невозможны, поэтому необходимо обращаться к моделированию Монте-Карло, и это не представляет реальных трудностей благодаря вычислительной мощности персональных компьютеров в настоящее время.
Рисунок J.10 демонстрирует моделирование методом сетей Петри многоконтурной системы безопасности, представленной на рисунке J.5. Он подобен дереву отказов, представленному в рисунке J.6, за исключением того, что ресурсы ремонта распределяются между всеми компонентами и должны быть привлечены перед началом ремонта (например, необходимые подводные системы для восстановления судна динамического расположения).
На рисунке J.10 представлена блок-схема расчета надежности, управляемая сетью Петри, которая построена на основе блок-схемы надежности на рисунке J.5 (ограничена пунктирной линией), в которой каждый блок был выполнен подстановкой стандартизированных подсетей Петри, например из библиотеки подсетей Петри. Использовались два вида подсетей Петри: опасные необнаруженные отказы (PTs, ООП для РТ2 и РТ3, а также SVs) и опасные обнаруженные отказы (для LSs). Таким образом, использование сетей Петри позволяет работать с очень большими моделями, состоящими из сотен компонентов.
Примечания
1 Базовая сеть Петри состоит из позиций (круги), которые представляют локальные состояния, переходов (прямоугольники), представляющих события, которые могут произойти, стрелок вверх, связывающих позиции с переходами и стрелок вниз, связывающих переходы с позициями. Метки (маленькие черные круги) помещаются в позиции, чтобы определить, какие локальные состояния фактически присутствуют в данный момент.
Метки и стрелки вверх используются, чтобы разрешить переходы, и когда переход разрешен, он может быть "запущен" (это означает, что связанное событие происходит): одна метка удаляется из каждой входной позиции и одна метка добавляется в каждую выходную позицию. Поэтому маркировка позиций (т. е. состояния моделируемой системы) изменяется.
Моментом запуска переходов могут управлять стохастические задержки (например, показательные распределения с постоянной интенсивностью отказов или ремонтов). В этом случае PN называют стохастическими сетями Петри.
2 Более подробную информацию о сетях Петри можно найти в МЭК ТС 62556:2014.
Один из датчиков давления (например, РТ1) обычно находится в рабочем состоянии (W). Если в нем происходит сбой, то этот датчик переходит в опасное необнаруженное состояние (DU) и его переменная индикатора (например, РТ1) получает значение ноль. Если выполняется контрольная проверка, то отказ обнаруживается (DD) и переменная Nd, которая учитывает число обнаруженных отказов, увеличивается на единицу. Если ресурс ремонта находится на месте (OL), то ремонт может начаться (R). Если ремонт завершен, то переменная индикатора (например, РТ1) возвращается к значению единица, а значение Nd уменьшается на единицу. Такое же моделирование применяется к трем PTs и двум SVs. Для логических решающих устройств было удалено состояние (DU), но принцип остался тем же.
Когда значение Nd становится положительным, (т.е. когда по крайней мере был обнаружен один отказ), то запускается процесс привлечения ресурсов ремонта (подсеть Петри "Привлечение ресурсов ремонта"). И когда это достигается (метка в М), то ресурсы переходят в места нахождения отказов для их устранения (OL). В этом случае метка из позиции OL передается в один из отказов, ожидающий ремонта, и это предотвращает одновременное выполнение других ремонтных работ. Когда ремонт закончен, то одна метка возвращается в позицию М и ресурсы могут быть переданы в местонахождение другого отказа. Этот процесс повторяется до тех пор, пока все отказы не будут устранены (Nd = 0) и ресурс ремонта будет расформирован.
Для моделирования виртуальных узлов блок-схемы надежности вводят глобальные утверждения. Символ "*" представляет логическое И, и символ "+" представляет логическое ИЛИ. Например, В = A*LS1 означает, что выход В LS1 равен 1, когда в LS1 нет сбоя, и его вход также равен 1.!! = С + G означает, что в многоконтурной системе безопасности сбоя нет (т.е. S = 1), когда в ПСБ1 сбоя нет (С = 1) или в ПСБ2 сбоя нет (G = 1).
Затем использование моделирования Монте-Карло позволяет формировать статистические выборки переменных С, G и S и получать меры безопасности, связанные с ПСБ1, ПСБ2 и с самой многоконтурной системой безопасности.
Как показано в рисунке J.11, можно получить пилообразные кривые. Они менее гладкие, чем полученные при вычислениях на дереве отказов, но очень похожи. Тем не менее они не должны использоваться для вычисления среднего значения неготовности, так как среднее значение неготовности может быть более точно получено непосредственно в результате моделирования Монте-Карло: среднее значение 1 - С дает Р1, среднее значение 1 - G дает Р2 и среднее значение 1 - S дает полное среднее значение неготовности.
Рисунок J.10 - Моделирование привлечения ресурса ремонта
Рисунок J.11 - Пример выходного значения при моделировании методом Монте-Карло
На рисунке J.11 время привлечения ресурсов и время доступа к месту отказа равны 0. Поэтому различие с результатами рисунка J.6 связано только с совместным использованием ресурсов ремонта. Это оказывает очень небольшое влияние на Р1 и Р2 и немного большее на всю многоконтурную систему безопасности: вместо 1360. То есть в данном случае зависимость от общей команды ремонта очень небольшая, и объясняется тем, что подход на основе дерева отказов, который рассматривает столько же команд ремонта, сколько видов отказов, соответствует случаю, когда вероятность одновременного появления двух отказов мала и/или когда времена ремонта незначительны по сравнению с интервалами испытаний.
Если время привлечения совместно используемых ресурсов не равно 0, то времена ремонта отдельных отказов возрастают. На рисунке J.12 время привлечения было установлено равным 24 ч, а задержка, необходимая для доступа к месту отказа, равна 10 ч. Тогда первый отказ отсрочен на 34 ч и другой - на 10 ч. Это влияет, главным образом, на обнаруживаемые отказы (т.е. отказы логические решающего устройства в нашем примере), что приводит почти к удвоению среднего значения неготовности ПСБ1, ПСБ2 и к его увеличению в 3 раза для многоконтурной системы безопасности: общее снижение риска падает до . Речь идет о третьем результате, полученном с помощью дерева отказов на рисунке J.6.
Другие примеры, представленные на рисунках J.7, J.8 или J.9, могут быть обработаны таким же образом.
Рисунок J.12 - Влияние ремонтных работ при совместном использовании ресурсов ремонта