ГОСТ Р МЭК 61078-2021. Национальный стандарт Российской Федерации. Надежность в технике. Структурная схема надежности

12.2 Динамические структурные схемы надежности

 

12.2.1 Общие положения

Динамическая структурная схема надежности (DRBD) - это распространение общих RBD на RBD, включающие блоки, взаимодействующие между собой или с внешними объектами. Цель аналогична цели динамических деревьев неисправностей (см. [16] и [17]), но с точки зрения успеха.

RBD, разработанные в предыдущих разделах для моделирования восстанавливаемых систем (например, RBD-управляемые марковские процессы, описанные в C.4), очевидно, являются динамическими моделями, но термин DRBD обычно используют для обозначения RBD, удовлетворяющих всем основным предположениям 5, за исключением последнего, касающегося независимости блоков (см. 5.2 d)).

Некоторые динамические взаимодействия уже встречались в настоящем стандарте при рассмотрении резервирования заменой структур m/n и вычислении вероятности безотказной работы восстанавливаемых систем.

Динамическим деревьям неисправностей было уделено больше внимания, чем динамическим RBD, но проблемы у них схожие. Поэтому настоящий стандарт предлагает адаптировать и применять графические символы, обычно используемые для динамических деревьев неисправностей.

Некоторые типы динамических взаимодействий рассмотрены в [15], но на практике их очень мало. Воздействие таких взаимодействий может быть:

- локальным: состояния блоков подвержены влиянию, но логические правила обычных RBD применимы для установления состояния системы в целом;

- системным: логические правила обычных RBD не применимы для установления состояния системы в целом.

12.2.2 Локальные взаимодействия

Взаимодействия, которые влияют только на состояния блоков, можно разделить на следующие категории:

- взаимодействия между блоками в DRBD;

- взаимодействия между объектами, внешними по отношению к DRBD, и блоками DRBD.

Событие, происходящее на одном блоке или на внешнем объекте (иногда называемое триггерным событием), воздействует на состояние одного или нескольких других блоков DRBD.

Новый символ необходим для того, чтобы отразить разницу между внешними объектами, которые не относятся к RBD, и блоками, принадлежащими RBD. Он представлен на рисунке 45, где выявлены отказы по общей причине (CCF) и представлена группа технического обслуживания (MT).

 

 

Рисунок 45 - Символ для обозначения внешних объектов

 

Ниже приведены примеры локальных взаимодействий:

Функциональная зависимость:

- отказ по общей причине: при возникновении CCF все связанные блоки немедленно отказывают. Это указывает на сильную функциональную зависимость, которая может быть смоделирована, как показано на рисунке 46;

- потеря энергии: при потере энергии все связанные блоки немедленно останавливаются (неработоспособное состояние). Потеря энергии также представляет собой сильную функциональную зависимость;

- зависимость от ремонтной бригады: если несколько блоков ремонтирует одна и та же ремонтная бригада, то отказавший блок должен ждать ремонта, если ремонтная бригада занята восстановлением другого неисправного блока. Это представляет собой функциональную зависимость, которую можно смоделировать, как показано на рисунке 48;

- коллективный ремонт: несколько блоков ремонтируют в рамках одной ремонтной операции;

- резервирование заменой: если резервированный блок отказывает, начинает работать резервный блок (см. рисунок 11);

- запасные части: при отказе резервированного блока для ремонта могут потребоваться запасные части. Поэтому ремонт возможен только при наличии хотя бы одной запасной части. Кроме того, запасная часть, используемая для ремонта одного блока, становится недоступной для ремонта другого блока;

- последовательные блоки: если один из последовательных блоков отказывает или находится в ремонте, остальные могут быть восстановлены (например, потому, что выход отказавшего блока необходим для работы следующих последовательных блоков)

- другие зависимости.

События, которые могут происходить только в заданном порядке (одно событие не может произойти раньше другого):

- ремонт блока не может начаться до отказа блока. Такая функциональная зависимость уже была обработана в обычных RBD для вычисления коэффициента готовности, вероятности безотказной работы и частоты отказов;

- для заданного набора блоков (B₁, B₂, ..., B_n) ремонт начинается только тогда, когда отказали все блоки;

- блоки становятся невосстанавливаемыми после отказа системы в целом. Это происходит при выполнении вероятностных расчетов;

- в более общем смысле для набора событий (e₁, e₂, ..., e_n) это означает, что e₂ не может произойти, пока не произошло e₁; e₃ не может произойти до тех пор, пока не произошло e₂; e_n не может произойти до тех пор, пока не произошло e_n-1. Другими словами, e₁ тормозит e₂; e₂ тормозит e₃; e_n-1 тормозит e_n. Поэтому события могут происходить только в последовательности e₁, e₂, ..., e_n. Это могут быть ситуации, когда электрическое устройство не может быть запущено до включения электропитания или устройство в режиме холодного резерва не может быть активировано до выхода из строя основного устройства. Такое взаимодействие аналогично последовательным вентилям (часто обозначаемым SEQ), используемым в анализе динамического дерева неисправностей (см. SEQ в таблице 4);

12.2.3 Системные динамические взаимодействия

Системные динамические взаимодействия не обязательно подразумевают функциональные зависимости между блоками, которые могут вести себя независимо друг от друга. Они появляются, когда обычные логические правила не могут быть использованы.

Примерами может служить следующее:

- структура m/n: эта логическая схема была рассмотрена (см. 7.5.1 и 9.4), для ее моделирования введен специальный логический вентиль;

- события, которые должны происходить в заданном порядке:

- запрос, запускающий действие, выполняемое заданным блоком B: если запрос возникает до отказа B, действие выполняется, и система остается в работоспособном состоянии; если запрос возникает после отказа B, действие не выполняется, и система отказывает;

- запорный клапан, защищающий систему от избыточного давления: опасное событие возникает только тогда, когда клапан открыт до того, как давление было снижено выше запорного клапана;

- в более общем случае для набора событий e₁, e₂, ..., e_n выход происходит только в случае, если события происходят в заданном порядке, в противном случае выход не происходит. Это взаимодействие аналогично "вентилю очередности И" (часто обозначаемому PAND), используемому при анализе динамического дерева неисправностей, которое также может быть использовано для DRBD. Взаимодействие может быть представлено в виде вентиля, объединяющего вход нескольких блоков.

Специальные вентили необходимы для представления системных динамических зависимостей, таких как, например, m/n, вентили PAND или SEQ, приведенные в таблице 4, которые являются популярным распространением динамических деревьев неисправностей.

Вентиль m/n уже был рассмотрен, а вентили PAND и SEQ будут рассмотрены далее (см. рисунки 49 - 52). Символы, обычно используемые в динамических деревьях неисправностей, здесь были применены, но вентиль NOT был введен во входы и выходы для обеспечения согласованности с логикой RBD.

12.2.4 Графическое представление динамических взаимодействий

В соответствии с 12.2.2 и 12.2.3 количество видов возможных динамических взаимодействий практически бесконечно. Поэтому, несмотря на то что были предприняты некоторые попытки предложения графических символов для отдельных случаев (см. [15], [16] и [17]), это не охватывает все ситуации, и в настоящем стандарте могут быть предложены только некоторые основные графические элементы.

На рисунке 46 показаны сильные взаимодействия (т.е. сильные функциональные зависимости) между внешними объектами и некоторыми блоками: блоки A и B отказывают, если происходит отказ по общей причине, представленный внешним блоком.

 

 

Рисунок 46 - Динамическое взаимодействие CCF и блоков RBD

 

На рисунке 47 показаны два способа представления взаимодействия (т.е. функциональных зависимостей) между блоками: состояние блоков C и D зависит от состояния блока A.

 

 

Рисунок 47 - Различные способы представления динамического

взаимодействия между блоками

 

Те же способы реализованы на рисунке 48 для представления взаимодействия между единственной ремонтной бригадой и восстанавливаемыми блоками.

 

 

Рисунок 48 - Динамическое взаимодействие между одной

ремонтной бригадой и блоками RBD

 

Эти простые графические представления направлены на то, чтобы показать, что существует некоторая динамика взаимодействия между блоками и внешними объектами. Пунктирные линии в левой стороне рисунков 47 и 48 могут быть использованы, если необходимо указать лишь несколько взаимодействий в RBD. Если существует много взаимодействий, которые необходимо представить, вариант, приведенный в правой стороне рисунков 46, 47 и 48, является более четким. Свойства и особенности взаимодействий должны быть установлены в другом месте. Основное применение данных методов представления взаимодействий должно поддерживать графическое представление RBD и обеспечивать хорошую идентификацию внешних объектов.

На рисунке 49 показано, как можно использовать вентиль в DRBD: выход O дает неработоспособное состояние только в том случае, если I₁ переходит в неработоспособное состояние вниз прежде, чем I₂ переходит в неработоспособное состояние.

 

 

Рисунок 49 - Применение вентиля PAND

 

Функционирование вентиля PAND показано на рисунке 50. Вентиль PAND эквивалентен пяти состояниям конечного автомата, изображенным в левой стороне рисунка:

- состояние 1: I₁ и I₂ находятся в работоспособном состоянии. Тогда выход O находится в работоспособном состоянии;

- состояние 2: I₂ сначала переходит в неработоспособное состояние, а I₁ все еще находится в работоспособном состоянии. Тогда выход O находится в работоспособном состоянии;

- состояние 3: сначала I₁ переходит в неработоспособное состояние, а I₂ все еще находится в работоспособном состоянии. Тогда выход O находится в работоспособном состоянии;

- состояние 4: I₁ и I₂ перешли в неработоспособное состояние, но I₂ перешел первым. Тогда выход O находится в работоспособном состоянии;

- состояние 5: I₁ и I₂ перешли в неработоспособное состояние, но I₁ перешел первым. Тогда выход O перешел в неработоспособное состояние.

 

 

Рисунок 50 - Эквивалентный конечный автомат

и пример его хронограммы для вентиля PAND

 

Если входы I₁ и I₂ изменяются в диапазоне от 1 до 0, выход вентиля PAND (рисунок 49) изменяется в соответствии с правилами этого конечного автомата. Можно записать, например, хронограмму, представленную в правой стороне рисунка 50. Анализ сети Петри, моделирующей такой конечный автомат, приведен в приложении E и на рисунке F.6.

На рисунке 51 показано, как можно использовать в DRBD вентиль SEQ: как и для вентиля PAND, выход O переходит в работоспособное состояние только в том случае, если I₁ переходит в неработоспособное состояние до того, как I₂ переходит в работоспособное состояние. Разница в том, что I₂ не может перейти в неработоспособное состояние до того, как I₁ перейдет в неработоспособное состояние. Таким образом, отказы B и D тормозятся до тех пор, пока I₁ находится в работоспособном состоянии, и это обозначают с помощью динамических взаимодействий, изображенных пунктирными линиями.

 

 

Рисунок 51 - Применение вентиля SEQ

 

Функционирование показано на рисунке 52. Вентиль SEQ эквивалентен пяти состояниям конечного автомата, изображенного в левой стороне рисунка. Состояния такие же, как и для вентиля PAND, за исключением того, что нет перехода из состояния 1 в состояние 2 для того, чтобы упорядочить отказы: I₁ - первый, затем I₂.

 

 

Рисунок 52 - Эквивалентный конечный автомат

и пример хронограммы вентиля SEQ

 

Как показано на хронограмме, I₂ не может отказать до отказа I₁.

Сеть Петри, моделирующая тот же самый конечный автомат, проанализирована в приложении E (рисунки E.6 и E.7).

12.2.5 Вероятностные расчеты

В литературе предлагается выполнять вероятностный расчет с использованием марковского подхода (см. [2], [29] и [30]). Тем не менее построение марковского процесса для всего DRBD быстро ограничивается комбинаторным взрывом количества состояний. Поэтому такой подход должен быть ограничен небольшим количеством независимых частей DRBD, как это уже было отмечено для RBD-управляемых марковских процессов, описанных в C.4.

Другой подход, предлагаемый в литературе, заключается в том, чтобы установить связь между DRBD и конечным автоматом (машиной с конечным количеством событий или сетью Петри). Это более эффективный подход, чем марковский подход, но аналитические расчеты уже невозможны и следует применять моделирование Монте-Карло.

RBD-управляемые сети Петри, описанные в приложении E, являются эффективным способом соединения подходов RBD и PN для решения задач динамических RBD и расчетов.