Расчет характеристик безотказности избыточных систем с двухуровневым резервированием Текст научной статьи по специальности «Электротехника, электронная техника, информационные технологии»

Авакян А.А.

РАСЧЕТ ХАРАКТЕРИСТИК БЕЗОТКАЗНОСТИ ИЗБЫТОЧНЫХ СИСТЕМ С ДВУХУРОВНЕВЫМ РЕЗЕРВИРОВАНИЕМ

Рассматривается метод расчета характеристик безотказности для класса избыточных систем с двумя, функционально различными, уровнями резервирования. Выведены формулы расчета интенсивности и вероятности отказов этого класса систем. Показывается, что к такому классу систем относятся вычислители с практически мгновенным мажоритарным контролем состояния, как минимум, трех вычислительных трактов, которые являются резервированной системой первого уровня. Вторым уровнем резервирования у такого класса вычислителей является, как минимум, один вычислительный тракт, обеспечивающий работу мажоритарного контроля в течение межрегламентного периода.

В классической литературе по надежности, в частности в [1] и ряде других работ, рассматриваются общие подходы к расчету характеристик безотказности резервированных систем. При создании систем, обладающих сверхвысокой безотказностью (интенсивность отказов 10-9 и менее отказов в час) , возникает необходимость создания двухуровневых систем резервирования. Эта необходимость возникает в тех случаях, когда резервные системы каждого уровня предназначены для выполнения различных задач. В данной работе рассматриваются две следующие резервные системы. Первой системой является система мажоритарного контроля, которая, как минимум, состоит из основного и двух резервных трактов. Её назначение - обеспечить сверхвысокую надежность при применении (если это бортовые системы, то в полете) . Вторая система (система второго уровня) резервирует систему мажоритарного контроля, обеспечивая её безотказную работу в течение межрегламентного периода.

Итак, класс избыточных систем с двухуровневым резервированием состоит из основного элемента, резервных элементов первого и второго уровней. Обозначим основной элемент системы через Ь, резервные элементы первого уровня через г, а резервные элементы второго уровня через Н. Тогда вся система может быть формализована посредством следующей строки матрицы общего класса избыточных систем:

К гъг2,...г1 ,...гт,Н1,Н2,...,Н;,...,Нп . (1)

Отказ подсистемы первого уровня резервирования произойдет, если откажут основной элемент и все резервные элементы первого и второго уровня. Вероятность такого события, т.е. вероятность отказа системы 03 равна

О*(( > ¿от) = Ок(( > ОПй,(I > УШн^ > У , (2)

¿=1 ]=!

где Он - соответственно вероятности отказа основного и резервных элементов.

Чтобы элементы г±, и Н резервировали элемент Ь, они должны быть одинаковыми в смысле выполнения одинаковых функций. Полагаем, что их вероятности отказа будут равны:

Qh.il > 1т) = а (I > ¿от) = Он; (I > ¿от) = <2э(1 > ¿от) , (3)

где Оэ(^Ьот) - вероятность отказа элемента.

С учетом (3) формула отказа системы (2) преобразуется следующим образом:

т+п+1

О* (( > (от) =П йш (( > ¿от) . (4)

1=1

Для упрощения записи формул вместо символа события (будем писать только символ (¿) текущего времени момента отказа. Обозначим общее количество элементов системы через ы. Тогда формула (4) запишется в виде

М

О*(()=Пй<(() .

1=1

Если система отказывает из-за отказа хотя бы одного элемента, то вероятность полной группы всевозможных отказов системы (несовместных событий) будет равна:

й()=1см(1Т1аэ(. (5)

1=1

Вероятность полной группы безотказных состояний системы (несовместных событий) будет равна:

р,И) =1С‘„(1Г'(Ш1))'- <б>

¿=1

Нетрудно проверить, что сумма полной группы несовместных событий отказных и безотказных состояний системы равна: +Р*(1=1, что соответствует теореме о полной группе несовместных собы-

тий [1].

В ряде случаев за отказ системы принимается событие, когда система отказывает только из-за отказов к и более элементов системы. В частности под отказом системы при двухуровневом резервировании понимается состояние, когда из общего количества элементов основного и резервных первого и второго уровней (т+п+1 элементов) отказывает к элементов. При этом т+п+1- к элементов остаются исправными. Такими состояниями являются все возможные состояния из т+п+1 элементов по к элементов. Для этих случаев формула (5) запишется в виде

й() = 1с1м(1)1 ~к@ э() . п)

1=к

Интенсивность отказов системы определяется формулой [1]

¿ОЖ I сМ(

=и=к___________________________. ,8)

р (() 1 &(() 1_М сМ( 1Гкдэ(1)

1=к

Поток отказов элементов принимается пуассоновским, поэтому справедлива формула

чэ$)=1- в~хэ • о)

Подставив (9) в (7) и (8), получим следующие расчетные формулы для вероятности и интенсивности отказов системы:

чр) =іс\1-\Гк(\-е-1П, но)

і=к

2 си-1)і-кі (\-е-ЛЭ) 1Лэе~ЛЭ

і=к_________________________________

М . • 1 і (11)

1- 2 СМ(-1)1-к{1-е-^э() і=к

В качестве примера произведем расчет характеристик безотказности вычислителя, структурная схема которого приведена на рис. 1. Вычислитель имеет структуру мажоритарной системы, которая включает три интерфейсно-вычислительных тракта• Как видно на рис. 1, каждый тракт состоит из многофункционального интерфейсного модуля (МИМ), модуля вычислительного узла (МВУ) и части модуля объединения выходов (МОВ), в каждом из которых объединены выходные каналы интерфейса АЯШС-429 двух трактов. Выходные каналы интерфейса АЯШС-4 2 9 и модуль объединения выходов выполнены в одном конструктивном модуле.

Поскольку каждый тракт заканчивается выходными каналами интерфейса АЯШС-42 9, как это показано на рис. 1, то с этих выходов по специально выделенным каналам подаются сигналы на вход МИМ, а через него на мажоритарные элементы каждого МВУ. Мажоритарные элементы реализованы в МВУ каждого тракта, что обеспечивает их резервирование на таком же уровне, что и резервирование интерфейсновычислительных трактов. Таким образом, в мажоритарных элементах каждого тракта мажорируются сигналы, прошедшие через все элементы каждого интерфейсно-вычислительного тракта. При этом остаются не охваченные контролем элементы объединения выходов МОВ. Для их контроля осуществляется эхоконтроль (сравнение сигнала задержанного в тракте с тем же сигналом, поступающим с выхода устройства) путем сравнения сигнала с выхода МОВ с сигналом, задержанным в выходной части МИМ (рис. 1).

Три тракта позволяют реализовать мажоритарный контроль вычислителя, обеспечивающий выполнение норм летной годности относительно критичных функций. Относительно этих функций вероятность отказа

і-1

в полете должна быть не менее 10 отказов на час полета.

Рис. 1. Структурная схема связей независимо функционирующих модулей вычислителя

Таким образом, отказ вычислителя из-за отказов модулей МИМ или МВУ или выходных каналов АЯШС-4 2 9 произойдет, если прекратится сравнение сигналов, прошедших через два тракта МИМ - МВУ - выходные каналы АЯШС-42 9. На рис. 1 видно, что это произойдет, если откажут или три модуля МИМ, или МВУ, или выходных каналов АЯШС-42 9.

Каждый модуль МИМ соединен с каждым модулем МВУ посредством четырех линий связи. Следовательно, общее количество связей МИМ - МВУ равно 16. Каждый МВУ соединен с каждым выходным каналом АЯШС-429 также посредством четырех линий связи. Следовательно, этих связей также 16. Эти 32-е линии связи реализованы в кросс-плате (КрП). Объединение выходных каналов АЯШС-42 9 в два выхода из вычислителя выполнено посредством внутренних соединений модуля МОВ.

Исходя из изложенного выше, схема расчета характеристик безотказности вычислителя может быть представлена в виде, показанном на рис. 2.

Рис. 2. Схема расчета характеристик безотказности вычислителя

Для каждого конструктивного модуля элементов схемы (рис. 2) был произведен инженерный анализ и рассчитаны интенсивности отказов, которые приведены в табл.1. На рис. 2 видно, что вероятность

отказа вычислителя равна сумме вероятностей отказа 4-х входных каналов модулей МИМ, 4-х узлов линий связи КрП, соединяющих МИМ и МВУ, 4-х модулей МВУ, 4 -х узлов линий связи КрП, соединяющих МВУ с выходными каналами АЯШС-42 9, 4-х выходных каналов АЯШС-42 9, объединенных в два модуля

МОВ.

Таблица 1 Характеристики безотказности устройств вычислителя

Устройство Количество, шт. Интенсивность отказов Аэ-106 отказов, час Средний период между отказами Т, час

Модуль вычислительного узла МВУ 4 14,072 71 063

Многофункциональный интерфейсный модуль МИМ 4 10,236 97 694

Модуль объединения выходов МОВ 2 3,495 286 123

Кросс-плата КрП 2 27,803 35 967

Одно соединение КрП 32 0,869 1 150 955

Узел из 4-х линий связи кросс-платы КрП 8 3,475 287 738

Событие отказ системы, состоящей из четырех входных каналов модулей МИМ, 4-х узлов линий связи КрП, соединяющих МИМ и МВУ, 4 -х модулей МВУ, 4 -х узлов линий связи КрП, соединяющих МВУ с выходными каналами АЯШС-42 9, в межрегламентный период 60 0 часов произойдет только при отказе двух элементов из четырех, т е• тогда, когда прекратится возможность мажоритарного сравнения сигналов, прошедших через два тракта МИМ - МВУ - выходные каналы АЯШС-42 9. Конкретизируя формулу (10) для этих событий, получим следующую расчетную формулу:

е/0 = 2 С'4(-1)г-2(1-е-лэУ = 6(1 - е^ээ) - 4(1 - елэ )3 - (1-елэ )4 і=2

• (12)

Подставив в формулу (12) значение интенсивности отказов из таб. 1: МИМ; узла линий связи КрП, соединяющих МИМ и МВУ, МВУ с выходными каналами АЯШС-42 9; МВУ при t=6 00 часов, соответственно получим:

для 4-х МИМ:

Ч*мим(600) = 2Д5П0-4 - 9Д8П0-7 + 1,4И0-9 = 2,24-Ю-4 (^}

для 4-х МВУ:

Ч5мву(600) = 4,24Ч0-4-2,38*10-6 + 4,99-т"9 = 4,22-т"4 , (14)

для четырех узлов линий связи КрП, соединяющих МИМ и МВУ, МВУ с выходными каналами ARINC-42 9:

в,узл(600) = 2,60•Ю"5-3,6140-* +1,88•Ю"11 = 2,60-10"5 • (15)

Событие отказ системы, состоящей из четырех выходных каналов ARINC-42 9, объединенных в два модуля МОВ, произойдет, если откажут оба МОВ•

Конкретизируя формулу (10) для этого события, получим следующую расчетную формулу:

Ом,в(>) = 2 с4(-Г2(1-еу=(1 - е-«)2 •

' шов . ^

1=2

Подставив в формулу (16) значение интенсивности отказов МОВ из табл.1 и t=600 часов, получим значение

б.ШМо(600) = 4,39-10-6 . (17)

Из схемы расчета характеристик безотказности вычислителя видно, что вероятность отказа вычислителя равна сумме вероятностей отказов его составляющих систем, т.е.

в.вуи(60°) = Qsмuм(600) + 2 Qsузл(600) + Qsмвуm + вшовт =

• (18)

= 2,24ч 0-4 + 2*2,60*10-5 + 4,22*10-4 + 4,39*10“6 = 7,02*10-4

Интенсивность отказов входных каналов модулей МИМ 4-х узлов линий связи КрП, соединяющих МИМ и МВУ, четырех модулей МВУ, четырех узлов линий связи КрП, соединяющих МВУ с выходными каналами АЯШС-429 в межрегламентный период 600 часов, рассчитаем по формуле (11) при к=2 И=4:

„600

6.2.(1-е-^э600) -Лэ-е-^э600

А*(600) =-----------------(-)----- --------

1-6 .(1-е-Аэ600)2

4.3»(1—е-Аэ*6°°) «Яэе Л-э600 (1_е-Аэ6°°) »Xэе

(19)

600

- + -

1-3.(1-е-Аэ600)3 1-(1-е-Аэ-600)4

Подставив в формулу (19) значение интенсивности отказов МИМ из табл. 1 Л= 1, 0236-10-5 и t=600 часов, получим интенсивность 7,48-10-7 отказов в час.

Подставив в формулу (16) значение интенсивности отказов МВУ из табл. 1 Л=1,42-10-5 и t=600 часов, получим 1,02-10-6 отказов в час.

Подставив в формулу (19) значение интенсивности отказов четырех узлов линий связи КрП, соединяющих МИМ, МВУ и МВУ с выходными каналами ARINC 429, Л=3, 475-10-5 из табл. 1 и t=600 часов, получим 2,55-10-7 отказов в час.

Интенсивность отказов системы из 2-х модулей МОВ в межрегламентный период 600 часов, рассчитанная по формуле (11), принимает значение

Подставив в формулу (20) значение интенсивности отказов МОВ Л=3,475 из таб. 1 и t=600 часов, получим 1,45-10-8 отказов в час.

Из схемы расчета характеристик безотказности вычислителя видно, что интенсивность отказов вычислителя равна сумме интенсивностей отказов его составляющих систем и имеет значение 2,28-10-6 отказов в час.

Согласно выбранной стратегии технического обслуживания вычислителей в межрегламентный период вычислители с одним отказавшим устройством в любом тракте будут восстанавливаться только во время планово профилактических работ, т.е. после 600 часов налета. Следовательно, в межрегламентный период будут эксплуатироваться вычислители как полностью исправные, так и с одним отказавшим трактом. Если в полете произойдет еще один отказ в одном из вычислительных трактов, то останутся, как минимум, два исправных вычислительных тракта и сигналы, прошедшие через эти тракты будут сравниваться между собой и система контроля не выдаст сигнал об отказе вычислителя. Событие отказ вычислителя произойдет только тогда, когда откажут три тракта и система мажоритарного контроля выдаст сигнал об отказе вычислителя. Поскольку при этом останется исправным один вычислительный тракт, то система тестового контроля при окончании полного цикла контроля (в пределах полноты контроля) определит исправный тракт, реконфигурирует систему и выдаст сигнал об исправности вычислителя.

Рассчитаем наибольшую вероятность отказа вычислителя в полете. Этой вероятности будет соответствовать следующая ситуация: вычислитель наработал 600 часов и за этот период отказал один из

МВУ, т.е. наиболее ненадежный элемент. Рассчитаем вероятность отказа на час полета, если за этот период откажет еще один МВУ.

Вероятность этого события будет равна вероятности, рассчитанной по формуле (10) при м=3 и к=2, т.е.

е/0 = 2 С3(-1)''(1-е')' = 3 . (1 - е-) 2 - (1 - е-3. < 221)

1=2

2.(2) = 3*(1 - е-Яэ^)2-(1 - е -Я#)3 = 3*1,98*10-10 - 2,79*10-15 = 5,94*10-10 . (22)

Нормы летной годности [3] предъявляют следующие требования к надежности аппаратуры, на которой реализуются критические функции. Вероятность отказа за период полета, приводящая к:

Результаты расчета показывают, что рассматриваемый вычислитель удовлетворяет требованиям норм летной годности.

К регулярности полетов предъявляются следующие требования. Нормативная допустимая продолжительность задержки отправлений в рейс по причине устранения отказов бортового оборудования регламентируется документом [4] и не должна превышать 15 минут.

Вероятность восстановления работоспособности и отказоустойчивости в заданное время оперативного ТО комплекса при подготовке самолета к полету при всех видах отказов и повреждений, в том числе и не диагностируемых бортовыми средствами контроля, должна быть не менее 0,998.

Вероятность отказа вычислителя к моменту окончания межрегламентного периода, согласно произведенным расчетам, равна 2 (600) = 7 03-10-4. Вероятность автоматического восстановления вычислителя

звуи 5

в межрегламентный период равна р (600) =1-2звву = 1 - 7,03 -10-4 = 0,999297 .

На основании проведенных расчетов можно заключить, что характеристики безотказности вычислителя, структурная схема которой приведена на рис. 1, удовлетворяют требованиям как норм летной годности [3], так и регулярности полетов [4].

ЛИТЕРАТУРА

1. Гнеденко Б.В., Беляев Ю.К., Соловьев А.Д. Математические методы в теории надежности. - М.: Наука, 1965.

2. АРИНК 429 «Система передачи цифровой информации. Тип 33», 1977.

3. Нормы летной годности самолетов транспортной категории (АП-25). - М.: Изд. Межведомственного авиационного комитета, 2004.

4. Типовые требования к эксплуатационно-техническим характеристикам комплексов бортового оборудования гражданских магистральных самолетов, самолетов МВЛ и авиации общего назначения». - М.: Изд. Гос НИИ «Аэронавигация», 1994.

Подставив в (27) значение интенсивности отказов МВУ А=1,42-10 из табл. 1 и t=1 час, получим

5,94-10 отказов в час

катастрофической ситуации, не должна превышать 10 ;

аварийной ситуации, не должна превышать 10 ;

сложной ситуации, не должна превышать 10-6;