ГОСТ Р МЭК 61078-2021. Национальный стандарт Российской Федерации. Надежность в технике. Структурная схема надежности

Приложение E

(справочное)

 

RBD-УПРАВЛЯЕМЫЕ СЕТИ ПЕТРИ

 

E.1 Общие положения

 

Одним из эффективных способов работы с динамическими RBD является совмещение подходов RBD и сети Петри. Это позволяет строить большие PN и использовать моделирование Монте-Карло для расчета исследуемых вероятностных величин.

Простейший метод состоит в моделировании блоков и внешних элементов отдельными суб-PN, которые взаимодействуют посредством использования предикатов и утверждений. Такая модель представляет собой RBD-управляемую Сеть Петри (см. справку [18]), которая

- сохраняет логическую структуру RBD для логических вычислений состояния системы по состоянию блоков;

- использует преимущества сети Петри для моделирования взаимодействий между блоками и/или внешними объектами.

 

E.2 Пример суб-PN, который используют в моделях RBD-управляемых PN

 

 

Рисунок E.1 - Пример моделирования суб-PN DRBD блока

 

На рисунке E.1 приведен пример суб-PN, разработанной для использования в DRBD. Блок характеризуют:

- три состояния: работоспособное (U), неработоспособное (D) и восстановления (ремонта) (R);

- четыре перехода: (независимый) отказ, отказ по общей причине, начало ремонта (восстановления) и окончание ремонта восстановления;

- несколько предикатов и утверждений:

- два утверждения, !!a = истинно и !!a = ложно для обновления состояния блока (работоспособное или неработоспособное). Каждое состояние блока моделируют таким образом, чтобы оценить состояние системы в целом на основе логической структуры RBD,

- один предикат, ??ccf = истинно, который запускает отказ блока при возникновении CCF. Он использован для моделирования взаимодействий с внешним объектом, моделирующим CCF,

- один предикат, ??r > 0, позволяющий начать восстановление, когда доступна по меньшей мере одна ремонтная бригада. Его используют для моделирования взаимодействий между блоками, которые восстанавливает одна и та же ремонтная бригада,

- одно утверждение, !!r = r - 1 для уменьшения количества доступных ремонтных бригад на одну, когда начат ремонт. Это использовано для моделирования взаимодействий между блоками, которые восстанавливает одна и та же ремонтная бригада,

- одно утверждение, !!r = r + 1, чтобы увеличить количество доступных ремонтных бригад на одну, когда восстановление завершено. Его используют для моделирования взаимодействий между блоками, которые восстанавливает одна и та же ремонтная бригада.

В правой части рисунка E.1 предложено представление блока, связанного с этой суб-PN.

 

 

Рисунок E.2 - Пример суб-PN, моделирующей отказ

по общей причине

 

На рисунке E.2 приведен пример суб-PN, разработанной для использования в качестве внешнего объекта DRBD. Пример моделирует отказ по общей причине, характеризующийся:

- двумя состояниями: U (работоспособное: не произошел CCF), D (неработоспособное: произошел CCF);

- двумя переходами: возникновение CCF, устранение CCF;

- несколькими предикатами и утверждениями:

- двумя утверждениями, !!ccf = true и !!ccf = false для обновления состояния CCF (не произошел или произошел). Эти утверждения используют для сбоя блоков, связанных с данными CCF,

- несколькими предикатами, ??a = истинно, ??b = истинно и т.д., которые допускают сброс CCF только после того, как все блоки, связанные с CCF, восстановлены.

В правой части рисунка E.2 предложено представление внешнего объекта, связанного с этой суб-PN.

Суб-PN могут быть использованы для построения DRBD, как это показано на рисунке E.3.

 

 

Рисунок E.3 - Пример DRBD на основе RBD-управляемой PN

 

Эта DRBD моделирует отказ по общей причине блоков A и B и другой отказ по общей причине блоков C и D.

Ограниченное количество ремонтных бригад для восстановления четырех блоков. Количество ремонтных бригад задано начальными условиями: r = 1 при моделировании одной ремонтной бригады, r = 2 - при моделировании двух ремонтных бригад и т.д., r = 4 эквивалентно классическому предположению, что ремонтных бригад столько же, сколько восстанавливаемых блоков.

 

E.3 Оценка состояния DRBD

 

Состояние системы задано комбинациями состояний блоков (a, b, c и d) точно также как для обычной RBD, используя глобальные утверждения, представленные на рисунке E.4:

- для последовательных структур: выход блока A является работоспособным, его вход работоспособен и, если блок находится в работоспособном состоянии;

- !!O = I₁ + I₂ + ... + I_n для параллельных структур: выход является работоспособным, если хотя бы один из входов работоспособен.

 

 

Рисунок E.4 - Логическое вычисление

по классической структуре RBD

 

На рисунке 5 показано, что для вентиля 2/3 также может быть составлена простая логическая формула. Она может быть легко распространена на любой вентиль вида n/m.

 

 

Рисунок E.5 - Пример логических вычислений для вентиля n/m

 

Для вентиля PAND не существует логической формулы, но взамен можно использовать простую суб-PN, такую как представленная на рисунке E.6. Эта PN нарисована для двух входов, но может быть легко переделана на n входов. Она эквивалентна конечному автомату, представленному на рисунке 50.

 

 

Рисунок E.6 - Пример суб-PN, моделирующей вентиль PAND

с двумя входами

 

Особенности этой PN состоят в следующем:

1) вначале выход находится в работоспособном состоянии (O = 1), и место PI1 отмечено знаком 1;

2) если I₂ ложно (I₂ = 0), когда I₁ истинно (I₁ = 1), то переход Tr1 запрещен;

3) если I₁ становится ложным (I₁ = 0), когда I₂ истинно (I₂ = 1), это означает, что I₁ произошло раньше I₂ и затем немедленно срабатывает переход Tr1. Знак удаляют из PI1 и один знак добавляют в PI2. Это запрещает Tr1 (благодаря запрещающей стрелке в пунктирной линии) и подтверждает Tr2 и Tr4;

4) если I₁ истинно (I₁ = 1) до того, как I₂ станет ложным, то Tr4 срабатывает, и PN возвращается в исходное состояние;

5) если I₂ становится ложным (I₂ = 0), в то время как I₁ все еще ложно (I₁ = 0), переход Tr2 немедленно срабатывает и выход становится ложным (O = 0);

6) если I₁ или I₂ снова становятся истинными (I₁ = 1 или I₂ = 1), то срабатывает Tr3, и выход становится опять истинным (O = 1);

7) если Tr3 был удален, потому что I₁ = 1, то PN возвращается к этапу 2, где Tr1 запрещен;

8) если Tr3 был удален, потому что I₂ = 1, то PN возвращается к этапу 3, а Tr1 срабатывает.

При этом выход sub-PN становится ложным (O = 0) только в том случае, если I₁ и I₂ ложны (I₁ = 0, I₂ = 0) в таком порядке.

Та же суб-PN может быть использована для моделирования конечного автомата, представленного на рисунке 52 для вентиля SEQ, но его недостаточно для моделирования динамического взаимодействия между I₂ и I₁: I₂ не может перейти в неработоспособное состояние до того, как I₁ перейдет в неработоспособное состояние. Это может быть достигнуто, например, путем моделирования блоков C и D на рисунке 51 с помощью суб-PN, аналогичных представленной на рисунке E.7 для блока C.

 

 

Рисунок E.7 - Пример запрета на отказ блока

 

Эта суб-PN является производной от представленной на рисунке E.1, где переходы отказа блока (независимые отказы и отказы по общей причине) запрещают до тех пор, пока I₁ не перейдет в исходное состояние (I₁ = 0).

 

E.4 Вычисление коэффициента готовности, вероятности безотказной работы, частоты и MTTF

 

Когда модель построена, она может быть использована для вероятностных вычислений, и это может быть выполнено за счет моделирования Монте-Карло. Суб-PN, представленная на рисунке E.8, моделирует выход DRBD и может быть использована для получения всех необходимых вероятностных результатов:

- маркировка места U в момент времени t дает коэффициент готовности системы A_S(t);

- маркировка места D в момент времени t дает коэффициент неготовности системы U_S(t);

- средняя маркировка места U на [0, T] дает средний коэффициент готовности системы A(0, T) на [0, T];

- средняя маркировка места D на [0, T] дает средний коэффициент неготовности системы U(0, T) на [0, T];

- частота срабатывания перехода "первый отказ" дает вероятность безотказной работы системы R_S(t) за [0, t];

- частота срабатывания перехода "отказ" дает среднюю частоту отказов системы w_S^avg(0, t);

- средняя маркировка места M дает среднее время до возникновения первого отказа. Если это время достаточно велико, чтобы получить хотя бы один отказ за симуляцию, тогда это дает MTTF системы, смоделированной DRBD;

- и т.д.

 

 

Рисунок E.8 - Суб-PN для вычисления коэффициента готовности,

вероятности безотказной работы и частоты