- © П.В. Полянский, Д.П. Тимошенко, 2014
УДК 622:658.011.56
П.В. Полянский, Д.П. Тимошенко О НАДЕЖНОСТИ АСУ ТП НА БАЗЕ ПТК ТЕКОН
Дано определение показателей надежности, которые наиболее часто встречаются в технической документации и значения которых требуется оценить при проработке технических требованиях на разработку вновь создаваемых или реконструкцию действующих систем автоматического управления (САУ) и систем автоматических защит (ПАЗ) на примере использования программно-технического комплекса «ТЕКОН». Рассмотрены следующие показатели надежности - вероятность безотказной работы, среднее время безотказной работы, надежность системы и надежность выполнения функции, резервирование наиболее ненадежных элементов, время восстановления, в системах с дублированием элементов, обоснованность требований на резервирование с кратностью три отдельных элементов системы. Ключевые слова: надежность АСУ ТП, вероятность безотказной работы, среднее время безотказной работы, резервирование оборудования.
Материалы последних международных горных симпозиумов показывают, что горнорудная и горно-перерабатывающая промышленность во всем мире испытывают острую необходимость их коренного перевооружения на базе коренной автоматизации технологических процессов и применяемого оборудования. Данная проблема актуальна и для российских предприятий, на многих из которых используется устаревшее оборудование, не позволяющее поднять производительность труда, а также сохраняется высокий уровень аварийности и травматизма за счет влияния пресловутого «человеческого» фактора.
Группа компаний «ТЕКОН», в процессе многолетней деятельности, освоила производство высоконадежного программно-технического комплекса для централизованных и распределенных систем управления различных технологических процессов. В процессе эксплуатации таких систем повышается эффективность производства, увеличивается срок службы оборудования и устраняется возникновение аварийных ситуаций по вине обслуживающего персонала.
Высокий уровень надежности ПТК «ТЕКОН» на базе современных контроллеров МФКЗООО, МФК1500 и серии интеллектуальных модулей «ТЕКОНИК», обеспечивается во многом благодаря использованию следующих схемных решений:
• резервирование по схеме «основной - резервный» модулей, центральных процессоров без резервирования модулей УСО или их выборочном резервировании;
• резервирование (дублирование или троирование) выделенных модулей ввода аналоговых и дискретных сигналов;
• резервирование по схеме «основной - резервный» выделенных модулей вывода аналоговых и дискретных сигналов;
• дублирование системы питания контроллера при питании от одного, или различных источниках тока;
• резервирование цифровых интерфейсов для обмена информацией с устройствами контроллерного и станционного уровней системы автоматизации;
• резервирование всех узлов контроллера (100% горячий резерв) с синхронизацией технологической информации основного контроллера с резервным при использовании выделенного интерфейса.
Достижение требуемой отказоустойчивости АСУ ТП достигается также за счет резервирования шлюзов, резервирования сетевого оборудования и АРМ.
Цель данной статьи - это оказание помощи инженерному и производственно-техническому персоналу в ясном представлении показателей надежности, которые наиболее часто встречаются в технической документации и значения которых требуется определить или оценить при проработке технических требованиях на разработку вновь создаваемых или реконструкцию действующих систем автоматического управления (САУ) и систем автоматических защит (ПАЗ) на примере использования программно-технического комплекса «ТЕКОН».
В литературе [1, 2, 5] указывается, что требования к резервированию и показателям надежности должны определяться на основе анализа технологического процесса и описании возможных аварийных ситуаций, учета влияния социальных и экономических последствий отказа функций выполняемых автоматизированной системой управления и защит. Другими словами, довольно часто требуется обеспечить не просто надежность системы, а определенную надежность отдельных функций системы, ответственных за безопасность технологического процесса или обеспечивающих минимизацию экономических потерь.
В производственной практике встречаются случаи, когда требования к резервированию отдельных элементов системы, сделанные под ожидание улучшения качественных характеристик и получения системы с высокой надежностью, оборачивается высокой интенсивностью отказов в системе, вызывает увеличение интенсивности работы обслуживающего (ремонтного) персонала и требует увеличения затрат на содержание необходимого количества запасных элементов (ЗИП). При этом ожидаемые качественные параметры системы существенно не улучшаются, а число нежелательных остановов технологического оборудования - не уменьшается.
Для подсистем автоматических защит, выполняемых на контроллерной технике, требования по резервированию (дублированию) модулей контроллера, дублированию, а в некоторых случаях и троированию (резервированию с кратностью три) датчиков, выдвигаются не раздумывая, а вопрос об их обоснованности воспринимается как кощунственный: «Это же система защит!». Но поскольку повышенные требования к надежности и требования к резервированию существенно повышают стоимость внедрения системы и стоимость владения ею, то формирование данных требований должно быть обосновано. Требования должны определяться на основании некоторого компромисса между приемлемым риском - уровнем безопасности и затратами на его достижение. Т.е. обоснованность требований должна определяться ожидаемым экономическим эффектом от выполнения заявленных требований.
В современных микропроцессорных контроллерах, имеется встроенная система диагностики исправности модулей и контроля достоверности входных сигналов. При отказе модуля УСО или центрального процессорного модуля, а также при отказе датчика или обрыве линии связи интеллектуальные модули УСО обеспечивают возможность установки своих выходов (выходных сигналов) в заданное при настройке состояние, обеспечивающее перевод технологического процесса на безопасный режим. Описанными качествами обла-
дают, например, контроллеры МФК3000, МФК1500 производства ЗАО ПК «Промконтроллер» Группы компаний «ТЕКОН», применяемые для построения автоматических систем управления и защит с повышенными требованиями к надежности.
Не всегда обращается внимание на то, что применение резервирования, увеличивая надежность выполняемых системой определенных функций, ухудшает экономические показатели. Например, часто воспринимается с удивлением тот факт, что резервирование элементов системы ухудшает ее общую надежность. Этот обусловлено тем, что вводя в систему резервирование элементов, мы увеличиваем надежность выполняемых системой определенных функций, однако, при этом увеличивается количество элементов в системе и общая надежность системы падает, увеличивается частота возникновения отказов в системе.
В статье рассмотрены следующие вопросы:
1. Показатель надежности - «вероятность безотказной работы».
2. Показатель надежности - «среднее время безотказной работы.
3. Надежность системы и надежность выполнения функции.
4. Требования к показателям надежности должны быть обоснованы решаемой задачей.
5. Повышение надежности системы путем резервирования наиболее ненадежных элементов.
6. Время восстановления, в системах с дублированием элементов, оказывает существенное влияние на надежность системы.
7. Обоснованность требований на резервирование с кратностью три отдельных элементов системы.
1. Показатель надежности - «вероятность безотказной работы»
При эксплуатации АСУ ТП часто возникает необходимость определить один из показателей надежности - значение вероятности безотказной работы. Интуитивно понятно, что чем выше данный параметр, тем лучше. Но возникает вопрос: «За какой промежуток времени работы (эксплуатации системы) устанавливать этот показатель и как определить его оптимальное значение?» Для определения данных требований необходимо понимать сущность данного параметра.
Если с определением промежутка времени понятно - он определяется периодом плановых остановов на регламентные работы, то с определением значения вероятности безотказной работы обычно возникают трудности обоснования, что вызвано вероятностным характером данной величины. Принимая решение по установке требований к вероятности безотказной работы, необходимо оценить, что для производства означает разница в одну сотую в вероятности безотказной работы? Например, необходимо выбрать один из двух предлагаемых вариантов реализации системы. Первый - система с вероятностью безотказной работы 0,99 и стоимостью 2 млн руб. Второй - система с вероятностью безотказной работы 0,98 стоимостью 1,5 млн руб. Другими словами. Принятие решения сводится к ответу на простой вопрос: «Стоит ли одна сотая в вероятности безотказной работы 500 тыс. руб. или нет?»
Наиболее наглядно «вероятность безотказной работы» можно представить, если взять ее определение в терминах статистики [1; 2]. В терминах статистики «вероятность безотказной работы» за время t = t1 определяется как отношение числа элементов безотказно проработавших от момента времени t = 0 до
момента времени t = ^ к числу элементов исправных к начальному моменту времени t = 0.
Другими словами, при вероятности безотказной работы элемента системы (блок, модуль, задвижка и т.п.) равной 0,99 (обозначается как Р(^ = 0,99) на производстве из 1000 работающих в различных системах элементов, за заданное время t = £ можно ожидать 10 отказов, а при вероятности безотказной работы = 0,98 - соответственно 20 отказов. Если в эксплуатации находится 100 элементов, то можно ожидать, за заданное время t = t1 соответственно 1 и 2 отказа (см. примечание 1).
Соответственно, для решения вопроса, стоит ли одна сотая в вероятности безотказной работы 500 тыс. руб. или нет, требуется оценить, соответствует ли экономические потери от прогнозируемых отказов оборудования предложенному увеличению стоимости технического решения.
Примечание 1. Статистическое определение вероятностных величин наиболее наглядно, однако надо учитывать, что вероятностная величина, вычисленная по статистическим данным, обладает тем меньшей погрешностью, чем больше выборка, т.е. чем больше количество элементов участвующих в определении вероятностной величины.
2. Показатель надежности - «среднее время безотказной работы»
В производственной практике часто используется другой показатель надежности - среднее время безотказной работы (Т ), тесно связанное с вероятностью безотказной работы. Этот параметр в литературе так же обозначают как «среднее время наработки до отказа» или «среднее время наработки до первого отказа» [1; 2]. Зная вероятность безотказной работы и закон распределения отказов, можно определить среднее время безотказной работы, и наоборот [1; 2]. В документации на техническую продукцию обычно указывается именно значение «среднего времени наработки до отказа».
Сталкиваясь с необходимостью определить требования к среднему времени безотказной работы, необходимо ответить на вопросы: «Можно ли ожидать, что отказа за время меньшее чем «среднее время безотказной работы» не будет? Соответствуют ли технические средства (элементы системы) заявленному в документации показателю надежности - среднему времени безотказной работы, если в течение времени эксплуатации меньшим, чем заявленное среднее время безотказной работы отказало два изделия? Сколько отказов технических средств можно ожидать за время равное заявленному на изделие среднему времени безотказной работы?»
«Среднее время безотказной работы» - это вероятностная величина определяемая [1, 2] как математическое ожидание времени наработки элемента до отказа или, в терминах статистики, это отношение суммы времен наработки до отказа всех элементов в выборке к количеству элементов в выборке, т.е. когда все выбранные элементы отказали. Обычно в технических параметрах на изделие указывается «среднее время наработки до отказа», поскольку этот параметр является важным элементом характеристики надежности элемента. Зная «среднее время наработки до отказа» можно определить и другие значения параметров надежности.
Можно интерпретировать «среднее время наработки до отказа» через число отказавших за указанное время элементов. Для экспоненциального распределения имеем:
А = 1/Т ,
' ср'
P{t) = ext q(t)= 1 - P(t)
{1) (2) (3)
где X - интенсивность отказов элемента; Тср - среднее время наработки на отказ, определенное заводом изготовителем в технических параметрах на элемент; Р($ - вероятность безотказной работы элемента; цф - вероятность отказа элемента; t - текущее время эксплуатации элемента.
С учетом статистического определения вероятности отказа элемента в течение времени t, как отношение количества отказавших элементов в течение времени t к общему начальному количеству элементов в момент времени t = 0:
q(t)= n/N,
(4)
где n - количество отказавших элементов за время t; N - первоначальное количество исправных элементов включенных в работу.
С учетом вышеприведенных формул (1-4) можно определить число отказавших элементов в зависимости от относительного времени (t/T ).
n = N • [1 - P(t)] = N • [1 - е-1 Tcp)Tcp ] = N • [1 - e~(t7Tcp] ]. (5)
Зависимость количества отказавших элементов (n) от логарифма относительного времени наработки [log (t/T )] при начальном количестве элементов N = 1000, определенная на основании формулы (5), приведена на рис. 1.
Из формулы 2.5 и приведенного графика видно, что «среднее время наработки до отказа» (Тер) - это время, за которое можно ожидать отказа 63,2% из первоначально работающих элементов.
Таким образом, при заданном показателе надежности - времени наработки до отказа равном 500 ч (Тср = 500 ч) можно ожидать, что из работающих на производстве 1000 элементов (с данной надежностью), за 500 ч откажет 632 элемента.
Рис. 1. Зависимость числа отказавших элементов от времени работы
Учитывая вышесказанное и рис. 1 можно сделать вывод, что если в эксплуатации находится 10 элементов, то за время t = 0,5Tcp может отказать 4 элемента (см. примечание 1).
Примечание 2.
1. Необходимо различать два параметра надежности «среднее время наработки до отказа» и «среднее время наработки между отказами» в англоязычной литературе - mean time between failures (MTBF). «Среднее время наработки между отказами» применяется для характеристики надежности восстанавливаемых объектов (элементов), при эксплуатации которых допускаются многократно повторяющиеся отказы. ГОСТ 27.002-89 определяет данный параметр как:
T = t/M{r(t)}, (6)
где Т - среднее время наработки между отказами; t - суммарная наработка; r(t) - число отказов наступивших в течение этой наработки; M{r(t)} - математическое ожидание числа отказов наступивших в течение этой наработки. Показатель надежности, определяемый как «среднее время наработки до отказа», определяет надежность конкретного элемента (типа элемента) в системе, он указывается в технических характеристиках завода-изготовителя и используется для определения надежности выполнения системой функции, в которой участвует данный элемент.
Показатель же надежности, определяемый как «среднее время наработки между отказами» характеризует время между отказами различных элементов (не конкретного типа элемента или модуля), входящих в систему с восстановлением отказавших элементов. Обычно этим показателем характеризуют общую надежность системы, содержащей различные типы и виды элементов. Данный показатель не применяют к элементам системы, представляющим типовые элементы замены. Среднее время наработки между отказами обычно используется, как показатель надежности, для систем с резервированием и восстановлением отказавших элементов, определяет интенсивность отказов в системе не приводящих к потере ее работоспособности и характеризует загруженности персонала, связанную с ремонтом (заменой) отказавших элементов.
Связь среднего времени наработки на отказ и среднего времени наработки между отказами, для экспоненциального распределения, можно вывести из определения интенсивности отказов [1, 2] и учитывая определение среднего времени между отказами TMTBF.
N -At (7)
T _ At
TMTBF _ n > (8)
Соотношение между средним временем наработки между отказами и средним временем наработки на отказ равно:
T _ Tcp
T MTBF _ ~jTT ,
N (9)
2. Для каждого используемого элемента, по условиям его конкретного применения, может быть определен один из параметров надежности (например, время наработки на отказ). Однако надо иметь в виду, что это будет конкретная реализация данного вероятностного параметра и нельзя на основании одной
реализации вероятностной величины делать вывод о соответствии или несоответствии заявленных в технической документации значений.
3. Надежность системы и надежность выполнения функции
Важность обоснованного определения значений показателей надежности определяется задачами, которые должны обеспечить заданные показатели надежности. Определение показателей надежности для системы и входящих в нее элементов - это способ обеспечения, обусловленных потребностями производства, показателей безопасности и качества технологического процесса, которые должны определяться на основе учета влияния социальных и экономических последствий отказа выполняемых автоматизированной системой (АС) функций.
Например, при решении задачи обеспечения безопасности управлением технологического процесса возможны три формулировки в постановке задачи, которые приводят к различным решениям:
• Обеспечить надежность выполнения системой функции предотвращения возникновения аварийной ситуации. При этом допустимы остановы технологического процесса по «ложным сигналам аварии» и остановы при отказах элементов системы. Главное - не допустить аварии.
• Обеспечить надежность выполнения системой функции предотвращения возникновения аварийной ситуации. При этом недопустимы остановы технологического процесса по «ложным сигналам аварии» и остановы при отказах одного из элементов системы.
• Обеспечить живучесть системы, т.е. любые отказы элементов системы не должны приводить к потере системой контроля и управляемости технологическим объектом. Т.е. выделяются несколько функций, которые обеспечивают «живучесть системы» и определяются элементы обеспечивающие выполнение данных функций.
Первые две приведенные формулировки обеспечивают предотвращение возникновения аварийных ситуаций. Разница в этих определениях заключается в том, что первое определение не требует «обеспечения надежности всех элементов участвующих в защитах», а требует безусловного выполнения функции защиты. Другими словами, для обеспечения надежности выполнения функции защиты от возникновения аварийной ситуации, необходимо или обеспечить «аварийный» останов технологического объекта при возникновении отказов элементов системы или резервировать элементы, отказ которых будет препятствовать выполнению функции защиты. Т.е. если элемент, при всех возможных видах его отказа (потери работоспособности), обязательно принимает определенное положение (формирует на выходе значение), которое в соответствии с требованиями нормативных документов предотвращает возникновение аварийного состояния и развитие аварийной ситуации, то вопрос о необходимости его резервирования необходимо обосновывать. Например, возможность отказа отсечного клапана вызывающий невозможность отсечки обосновывает требование на его резервирование.
Вторая формулировка требует обеспечить не только выполнение функции защиты, но и требует обеспечить недопущение остановов технологического оборудования при возникновении единичных отказов элементов системы. Данное требование можно обеспечить только резервированием всех элементов участвующих в выполнении функции предотвращения возникновения аварийных ситуаций.
Третья же формулировка требует обеспечить живучесть системы, т.е. допускаются отказы элементов системы, но эти отказы, при потере отдельных функций выполняемых системой, не должны приводить к потере системой контроля и управляемости технологическим объектом. Дацное требование можно обеспечить только резервированием элементов системы определяющих ее живучесть.
ГОСТ 24.701-86 [5] рекомендует формулировать задачу, решаемую установлением требований по надежности, на основании анализа требуемого уровня безопасности и определять требования к надежности путем сопоставления потерь, связанных с отказами и затрат и затрат связанных с обеспечением надежности.
4. Требования к показателям надежности должны быть обоснованы решаемой задачей
Иногда встречается такая ситуация когда, не имея возможности провести анализ необходимого уровня безопасности и обоснованно определять требования к надежности, закладывают требования по резервированию отдельных элементов системы. При этом часть элементов системы (например: датчики, линии связи, исполнительные механизмы), интенсивность отказов которых почти на порядок выше интенсивности отказов резервируемых элементов, не резервируются. Иногда под данные требования включают субъективные пожелания. Например: «Мы хотим, что бы остановов оборудования, по причине отказа элементов контроллера, не было». На; наш взгляд выше приведенный субъективный подход является необоснованным как с технической, так и с экономической стороны. Основной поток отказов в системе, где имеются элементы с существенно различной интенсивностью отказов, определяется элементами с низкой надежностью (высокой интенсивность отказов), и резервирование более надежных элементов не приведет к ожидаемому снижению числа нежелательных остановов.
Рассмотрим пример.
Имеется объект - котельная с котлами небольшой мощности (например, котлы ДЕ-10). Стоимость запуска (розжига) такого котла небольшая, а в котельной предусмотрено обязательное наличие резервного котла, готового по команде оператора включиться в работу и покрыть недостачу тепловой мощности, вызванную остановом работающего котла. Потребитель тепловой энергии не критичен к кратковременному изменению параметров отпускаемой ему тепловой энергии (пара) которое возникает на время запуска резервного котла при остановке одного из работающих котлов.
Заказчиком системы (САУ и ПАЗ) котла ставится требование на резервирование процессорного модуля контроллера, которое обосновывается следующим образом:
1. Процессорный модуль, как центральный модуль контроллера, участвует в реализации всех функций системы по управлению и безопасности котлом и поэтому его надо резервировать.
2. Останова котла, но причине отказа элементов контроллера, не должно быть.
Недостаток данного подхода обусловлен тем, что требования на резервирование были выдвинуты без анализа требуемого уровня безопасности и без формулирования задачи, которую предполагается решить установлением тре-
бований к надежности, не проведено обоснование значений параметров надежности.
Разберем приведенную в примере ситуацию. Чтобы оценить обоснованность заявленных требований необходимо определить, как повлияет резервирование процессорного модуля на:
• безопасность работы котла;
• число остановов котла по причине отказа элементов контроллера.
Безопасность работы котла
Безопасность работы котла определяется надежность выполнения функции защит, которая обеспечивает недопущение появления и развития аварийной ситуации.
Современные микропроцессорные контроллеры, применяемые при построении систем управления и защит, имеют развитую систему диагностики и позволяют обеспечить аварийный останов технологического объекта в случае отказа программно-технических средств системы управления (защит) или при выявлении недостоверности сигнала одного из датчиков, сигнал которого участвует в определении аварийной ситуации.
Задача, обеспечение надежного выполнения функции ПАЗ (защит), решается отключением подачи газа на горелки котла при выполнении условий:
• появлением сигнала аварии, формируемым датчиком с дискретным выходом;
• уходом технологического параметра, измеряемого датчиком с аналоговым выходом, за пределы установленных аварийных значений;
• выдача системой сигнала на аварийный останов котла, по условиям определяемым встроенной системой диагностики:
- определение недостоверности одного из технологических параметров, по которым осуществляется анализ аварийной ситуации (отказ датчика, обрыв линии связи, пропадание напряжение питания датчика);
- отказ любого модуля УСО контроллера воспринимающего сигнала от датчиков, по которым осуществляется анализ аварийной ситуации;
- отказ модуля УСО контроллера формирующего управляющие сигналы на аварийный останов технологического объекта;
- отказ процессорного модуля контроллера.
Как видно из вышеприведенного, резервирование процессорного модуля контроллера не влияет на надежность выполнения системой функции «обеспечение безопасной работы котла» т.к. в случае отказа процессорного модуля модуль УСО определит отказ и выполнит аварийный останов котла.
Число остановов котла по причине отказа элементов контроллера
Определим, как повлияет резервирование модуля центрального процессора на количество «ложных» остановов котла. Ложные остановы котла могут быть вызваны:
• отказом датчика аварийного параметра;
• отказом модуля УСО воспринимающего сигнал датчика аварийного параметра;
• отказом модуля УСО выдающего сигнал на исполнительное устройство, обеспечивающего аварийный останов котла;
• отказом силовых элементов - усилителя мощности сигнала выдаваемого модулем УСО и выдающего сигнал на исполнительное устройство, обеспечивающего аварийный останов котла;
• отказом модуля центрального процессора.
Датчик давления № 1
Датчик давления М° 2 \-Датчик давления № 3
[ Датчик давления № 4 | Датчик давления N5 5 | Датчик давления №б |~
ь-1
1 1 УСО
1
1 N31
1 1— 1_
[
БЦП
Г
УСО I
N92 Г
I
коммутатор |—
Электромагнитный клапан '
-| коммутатор |— Электромагнит
1--------1 I и и* " ".г. .. к'г'.
кый клалан N52
Рис. 2. Структура гипотетической системы защит котла
Примечание:
1. Отказы блоков питания и элементов линий связи, для простоты расчета, не учитываем.
2. Считаем, что элемент контроллера (модуль УСО, формирующий выходные сигналы) в случае отказа одного из элементов системы, участвующего в реализации функции защиты, обеспечивает выдачу сигнала на исполнительное устройство для аварийной остановки котла. Эта функция может быть реализована, например, на контроллерах МФК3000, МФК1500, выпускаемых ЗАО ПК «Промконтроллер» ГК ТЕКОН.
Определим число остановов котла по причине отказа элементов системы защиты, выполненной с резервированием модуля БЦП (резервирование без восстановления отказавшего элемента) и без резервирования.
Рассмотрим упрощенную структурную схему системы защит котла приведенную на рис. 2. Для простоты расчетов примем, что в определении аварийного состояния котла участвуют шесть датчиков давления, а аварийный останов котла обеспечивается двумя отсечными клапанами. В контроллере, для обеспечения функции аварийных защит участвуют: один модуль УСО, воспринимающий сигналы с датчиков и один модуль УСО, выдающий управляющие воздействия через промежуточные коммутаторы (силовые реле) на исполнительные органы, модуль БЦП, выполняющий обработку сигналов в соответствии с записанным программным обеспечением.
Для упрощения, мы не будем учитывать другие, фактически присутствующие в структуре, элементы системы, так же участвующие в выполнении функции (блоки питания, клеммные соединители, линии связи и т.п.).
Исходные данные для расчета надежности приведены в табл. 1. Данные для расчета надежности (интенсивность отказов или среднее время наработки на отказ), обычно, берутся из справочников по надежности или из технических данных заводов изготовителей на конкретное изделие (элемент системы).
Таблица 1
№ Наименование элемента Интенсивность отказов X [1/ч]
1. Датчик давления с токовым выходом 110-5
2. Модули УСО 110-5
3. Модуль БЦП 2-10-5
4. Силовое реле (коммутатор) 10-10-5
5. Электромагнитный клапан 1710-5
Примечание:
1. Показатели надежности для модулей контроллера. (УСО и БЦП) взяты из технической документации на контроллеры производства ЗАО ПК «Промкон-троллер» ГК «ТЕКОН».
2. Показатели надежности на датчики, силовое реле, электромагнитный клапан взяты из имеющегося у авторов справочного материала.
3. Поскольку, согласно исходной посылки, в выполнении функции участвуют все элементы приведенные на рис. 2, то в соответствии с теорией надежности [1, 2, 3] интенсивность отказов элементов определяется сложением интенсивности отказов составляющих элементов.
4. Интенсивность отказов резервированных модулей (модули БЦП) определяется как 1/2 интенсивности отказов нерезервированного модуля, т.е. X в = 1-10-5 [1/ч].
. Интенсивность отказов силового реле и электромагнитного клапан приведена для отказа типа «ложного срабатывания», которое выражается в разрыве цепи прохождения токачерез электромагнитный клапан.
Выполним оценку вероятности безотказной работы за время t = 720 ч (месяц непрерывной работы). Здесь мы не будем приводить выводы той или иной применяемой формулы. Все основные формулы хорошо описаны в известной литературе [1, 2, 3].
Для системы без резервирования вероятность возникновения отказа типа «ложное срабатывание» за время непрерывной работы t = 720 ч получим
ф) = 1 - Щ) и 1 - 0,54 = 0,46 (10)
Для системы с резервирования модуля БЦП вероятность возникновения отказа типа «ложное срабатывание» за время непрерывной работы t=720 ч получим
ф) = 1 - Щ) и 1 - 0,55 = 0,45 (11)
Используя статистическое определение вероятности отказа получим, что резервирование блоков БЦП в представленной системе защит котла даст выигрыш в уменьшении на единицу количества «ложных срабатываний» при 100 работающих на данном объекте (котельной) котлов, оснащенных рассматриваемой системой безопасности. При 10 работающих котлах, заказчик не сможет определить изменений (улучшений) в числе «ложных остановов» котла, вызванных отказом элементов системы, включая и элементы контроллера.
Выводы
1. Для достижения оптимальной величины надежности системы, состоящей из некоторого количества элементов, теория надежности рекомендует применять элементы (узлы) с приблизительно равными показателями надежности. Т.е. если мы имеем в системе элементы с существенно различными показателями надежности, то рекомендуется резервировать, в первую очередь, элементы с низкими показателями.
2. Надежность системы не может быть выше надежности ее самого ненадежного элемента (блока).
5. Повышение надежности системы путем резервирования наиболее ненадежных элементов
Для получения оптимальных решений по надежности, в литературе [1, 2] рекомендуется применять элементы с приблизительно равными значениями ин-
тенсивности отказов. Элементы, с интенсивностью отказов, значительно превышающее значение для основного количества элементов, необходимо резервировать.
По интенсивности отказов, приведенной в таблице 1, мы видим, что основное влияние на уменьшение надежности (основная доля в суммарной интенсивности отказов) оказывают силовые реле и электромагнитные клапана (т.е. элементы КИПиА).
Определим, как изменится количество «ложных остановов», вызванных отказами элементов системы защиты, если наиболее ненадежные элементы - коммутаторы и электромагнитные клапана будут резервированы (дублированы). Первоначально рассмотрим систему с дублированием элементов без восстановления.
Рассчитаем интенсивность отказов для функции и для системы. Расчеты ведем по вышеприведенным формулам (1-5). Если в системе отказ любого элемента вызывает отказ системы (функции), то для расчета надежности данные элементы представляются как соединенные последовательно, а если элементы резервируются, то данные элементы представляются как соединенные параллельно. При последовательном соединении элементов их интенсивности отказов складываются, а при резервировании (дублировании) интенсивность отказов дублированной пары равна половине интенсивности отказов одного элемента. Расчеты ведем с учетом предположения, что при отказе элемента происходит диагностика отказа - мгновенное отключение отказавшего и включение резервного. Диагностика осуществляется процессорным модулем, а переключение осуществляется модулем УСО (№ 2 и № 3). Модуль БЦП контроллера не резервируется. При резервировании внешних элементов рекомендуется сигналы от резервных элементов (датчики или исполнительные элементы) подключать к различным модулям УСО, что повышает функциональную надежность.
Первоначально рассмотрим вариант, когда восстановление отказавших элементов не осуществляется. Структурная схема гипотетической системы защит с резервированием наиболее ненадежных элементов приведена на рис. 3.
Расчеты ведем по формулам (1-5) из заданного времени ^ = 720 ч), для которого определяется вероятности появления отказа элементов системы, которые могут вызвать «ложный» останов котла: q(t = 720)ф = 0,26 при Хф = 36,5-10-5.
'функц. резерв ' 1 ф '
Рис. 3. Структурная схема гипотетической системы защиты котла с резервированием наиболее ненадежных элементов
При этом вероятность возникновения отказа одного из элементов системы, соответственно
як - 720) = 0,86 при Ху = 119-10-5
'системы резерв. ' 1 I
Я (£ = 720) = 0,46 при Ху = 64-10-5
^нр 4 'системы не резерв. ' 1 1нр
Используя статистическое определение вероятности возникновения отказа, можем интерпретировать полученные результаты следующим образом. Если на производстве находится в работе 100 систем, то:
• отказ функции резервированной системы, которая может повлечь «ложный» останов котла, за 720 ч может произойти 26 раз, что существенно лучше по сравнению с 46 отказами для нерезервированной системы;
• число вызовов на обслуживание системы и замену отказавшего элемента, по причине отказа одного из элементов системы за 720 ч составит:
- для резервированной системы - 86 раз;
- для нерезервированной системы - 46 раз.
Таким образом, резервирование наиболее ненадежных элементов приведет к уменьшению количества «ложных» остановов котла по причине отказа одного из элементов системы в 1,77 раза по сравнению с нерезервированной системой.
Приведенные расчеты показывают, что в резервированной системе число отказов в системе (которые требуют обслуживания системы, т.е. замены отказавшего элемента), по сравнению с не резервированной системой, возрастет в 1,87 раза. Т.е. увеличивая надежность выполнения функции - уменьшая число «ложных» остановов котла, мы, используя резервирование элементов, повышаем общее число отказов в системе.
Выводы:
1. Надежность функции и надежность системы это разные понятия, которые, в большинстве случаев, не тождественны.
2. Надежность функции определяется элементами системы, которые участвуют в выполнении функции и их структурой (наличием или отсутствием резервирования). Резервирование элементов увеличивает надежность выполнения функции.
3. Надежность системы определяется общим количеством элементов входящих в систему. Увеличение надежности функции, за счет применения резервирования, приводит к увеличению интенсивности отказов в системы, т.е. к уменьшению ее надежности.
6. Время восстановления, в системах с дублированием элементов, оказывает существенное влияние на надежность системы
При определении требований к надежности очень часто упускают из вида, что надежность системы определяется не только резервированием элементов системы, но и, в случае применения дублирования, временем, затрачиваемым на ремонт - устранение отказа. При этом далее мы покажем, что, чем меньше время затрачиваемо на восстановление, тем выше надежность функционала системы.
Надежность системы с резервированием и восстановлением оказавшего элемента
Для определения, как влияет восстановление отказавшего элемента и величина времени на восстановление, рассчитаем, как изменится надежность системы с резервированием элементов, приведенной на рис. 3, для случая с восстановлением отказавшего элемента.
УСО № 1 (основной) Коммутатор №1 (основной) Электромагнитный клапан №1 (основной)
УСО № 1 (резервный) Коммутатор N»1 (резервный) - Электромагнитный клапан (Резервный)
Рис. 4. Структурная схема резервированного узла, для расчета надежности
Будем считать, и это предположение вполне обосновано, что одновременный отказ двух элементов в резервированной паре невозможен, т.е. имеет крайне низкую вероятность, что позволяет этой вероятностью пренебречь. Для простоты расчетов примем, что диагностика неисправности элементов, отключение отказавшего элемента и подключение вместо отказавшего элемента исправного осуществляется абсолютно надежным элементом.
При указанных выше условиях, отказ функции системы возможен только при совпадении событий - отказ основного элемента и, в течение времени его ремонта, отказ дублирующего элемента. Отказ основного или дублирующего элементов, произошедшие по отдельности (не совпадая во времени) не вызывают отказа функции системы.
Каждый элемент резервированной системы, с восстановлением отказавшего элемента, оценивается двумя показателями: интенсивностью отказов (X) и интенсивностью восстановления (ц) или средним временем восстановления (Тр), Интенсивность восстановления и среднее время восстановления связанные между собой соотношением 6.1. В рассматриваемом нами примере резервируются выходные цепочки, выполняющие команды управления: модуль УСО, усилитель (коммутатор) и исполнительный элемент (электромагнитный клапан).
Резервирование с восстановлением предполагает, что после отказа элемента его функции выполняет резервный элемент, и после возникновения отказа в течение времени ^ < Тр) осуществляется восстановление отказавшего элемента, т.е. система возвращается в первоначальное состояние.
Определим понятие «узел», как совокупность последовательно соединенных элементов: модуль УСО, усилитель, электромагнитный клапан. Отказ любого элемента входящего в узел вызывает отказ узла. Основной и резервирующий узлы составляют резервированный узел.
Структурная схема резервированного узла, выдающего управляющее воздействие на останов работы котла (прекращение подачи топлива на котел), приведена на рис. 4.
Теория вероятности [3] определяет, что вероятность совместного появления двух событий равна вероятности появления одного из них, умноженной на условную вероятность появления другого, вычисленную в предположении, что первое событие произошло.
Вероятность отказа резервированного узла, при условии, что отказавший элемент восстанавливается за время не превышающее Т , определяется по формуле:
Яру(^ Яосн(^ Ядубл(Тр) (12)
где Чру№ - вероятность отказа резервированного узла; Я^Ш - вероятность отказа основного узла; Ядубл(Тр) - вероятность отказа резервирующего узла за
время ремонта (замены) отказавшего элемента; Тр - время ремонта (замены) отказавшего элемента.
Яосн(^) = 1 - РоснС) = (1 - (13)
Ядубл(Тр) 1 Рдубл (Тр) (1 е ) (14)
где
X = + X + X (15)
УСО к эк х '
X - интенсивность отказов основного узла, состоящего из модуля УСО, коммутатора, электромагнитного клапана; ХУС0 - интенсивность отказов модуля УСО; Хк - интенсивность отказов коммутатора; Хэк - интенсивность отказов электромагнитного клапана.
Вероятность безотказной работы резервированного узла определится по формуле
Пу(') = 1 - ЯРу№ = 1 - ЯоснИ • ЯдублТр) = 1 - (1 - • (1 - е^ХТр) (16)
С учетом того, что при выполнении условия X•t << 1, показательную функцию ем можно представить в упрощенном виде
ем = 1 - X • t (17)
произведя подстановку, получим
Р (t) = 1 - (X2 • Т ) • t = 1 - X • t (18)
ру р ру
Можно ввести обозначение X = (X2 • Т) (19)
ру р
где Xру= (X2 • Тр) - это интенсивность отказов резервированного узла, с временем восстановления отказавшего элемента равным Тр.
Из формулы 18 видно, что интенсивность отказов резервированного элемента прямо пропорциональна времени восстановления (ремонта).
Определим время восстановления равным 1 ч (Тр = 1,0 ч), как время установленное регламентом на восстановление отказавшего элемента.
Подставив данные из таблицы и с учетом формул (1-5) и (12-19) получим, что интенсивность отказа резервированного узла
Xру= (X2 • Тр) = 0,008 • 10-5 [1/час] (20)
Вероятность безотказной работы не резервированного узла, при времени непрерывной работы равном 720 ч, будет равна Р(720) = 0,8.
Вероятность безотказной работы резервированного узла, без восстановления отказавшего элемента, при времени непрерывной работы равном 720 ч, будет равна Рру(720) = 0,9.
Вероятность безотказной работы резервированного узла, с временем восстановления не более 1 ч, при времени непрерывной работы равном 720 ч:
Рру^) = 1 - (X2 • Тр) • t = 1 - (784 • 10-10 • 1) • 720 = 0,99994
Можно самостоятельно интерпретировать полученные результаты, используя статистическое представление вероятности безотказной работы. Выводы:
1. В случае применения дублирования элементов в системе, можно существенно повысить надежность системы, если проводить восстановление отка-
завшего элемента. Сокращение времени восстановления отказавших элементов в системах с резервированием является мощным средством повышения надежности.
2. Надежность функции в системе с резервированием существенно зависит от установленного времени восстановления (замены) отказавшего элемента.
3. Большое значение, для обеспечения быстрого восстановления (ремонта) имеют:
• наличие средств диагностики, позволяющие определить факт отказа и индицировать отказавший элемент;
• возможность «горячей» замены отказавших элементов, т.е. замены отказавшего элемента без остановки контроллера и технологического процесса;
• наличие и доступность ЗИП;
• организация службы технического обслуживания и ремонта, регламентация времени на восстановление отказавшего элемента.
7. Обоснованность требований на резервирование отдельных элементов системы с кратностью три
Формирование требований к надежности исторически были вызваны потребностью защиты оборудования от аварийных ситуаций. Система защит должна была не пропустить возникновение аварийной ситуации и при ее возникновении выработать управляющее воздействие, обеспечивающее защиту технологического оборудования и предотвращение развития аварийной ситуации.
В связи с высокой стоимостью датчиков с аналоговым выходом и их невысокой надежностью, по сравнению с датчиками с дискретным выходом, в качестве датчиков определяющих аварийное состояние процесса применялись датчики с дискретным выходным сигналом. Так как определить достоверность сигнала вырабатываемого датчиком с дискретным выходом невозможно, то для достоверности и надежности определения аварийного состояния применялось дублирование с организацией определения аварийной ситуации - один из двух. Однако возникающие в процессе эксплуатации ложные сигналы от датчиков аварийного состояния вызывали нежелательные ложные остановы защищаемого оборудования. Название «ложные» данные остановы получили потому, они вызваны сигналом датчика аварийной ситуации, когда фактически аварийной ситуации нет.
Развитие технического прогресса вызвало появление технологического оборудования большой единичной мощностью. Остановы или перерывы в работе данного оборудования приводили к значительным потерям в выпускаемой продукции. Таким образом, что бы ликвидировать экономические потери, появилось требование по недопущению ложных остановов технологического оборудования, т.е. автоматическая система, выполняя свои функции по управлению технологическим процессом и функции по защите технологического оборудования от аварийных ситуаций, не должна вызывать ложных (т.е. не обусловленных состоянием технологического процесса) остановов технологического оборудования.
Для объектов, где необходимо было исключить ложные остановы технологического оборудования, вызываемые ложными срабатываниями датчиков аварийных ситуаций с дискретным выходным сигналом, стали применять резервирование с кратностью три (троирование) датчиков с организацией опре-
деления достоверного сигнала как «два из трех». При этом «неаварийное» состояние процесса определялось нормально замкнутыми контактами (НЗ), что позволяло контролировать обрывы линий связи. Еще раз хочется подчеркнуть, что трехкратное резервирование применялось вследствие невозможности диагностировать достоверность сигнала от датчиков с дискретным выходным сигналом.
Применение резервирования элементов системы, кроме датчиков с дискретным выходным сигналом, с кратностью три встречается крайне редко. Однако иногда приходится слышать суждения, что надежность системы с резервированием кратностью три существенно выше надежности систем с дублированием элементов и восстановлением (заменой) отказавших элементов в течение минимально технически возможного времени.
На наш взгляд, применение резервирования с кратностью три целесообразно в случае невозможности выполнения ремонтных работ по замене отказавшего элемента в течение времени, обеспечивающего требуемые параметры надежности выполнения функции. В большинстве практических случаев, если это не беспилотный космический корабль или не объект в далекой тундре, обслуживающий персонал имеет возможность замены отказавшего элемента в течение небольшого промежутка времени, обеспечивающего высокие показатели надежности.
Надо иметь в виду, что в большинстве практических случаев, применение резервирования с кратностью три экономически нецелесообразно. Применение резервирования приводит к существенному увеличению количества элементов в системе, что уменьшает надежность системы, увеличивает трудоемкость обслуживания, увеличивает количество ЗИП, т.е. в целом увеличивает стоимость владения системой.
Целесообразность применения резервирования с кратностью три должна быть обусловлена расчетом вероятности отказа элемента за время выделяемого (предписанного регламентом) на ремонт.
Сравним вероятности безотказной работы в течение 7920 ч работы (11 месяцев) элементов системы (например, процессорный модуль МФК3000 РО5-02) для варианта с резервированием кратностью три и варианта резервированием с восстановлением в течение 0,5 ч.
Интенсивность отказов модуля, в соответствии с технической документацией на МФК3000 составляет X = 2,0 • 10-5. Узел, содержащий три резервированных модуля БЦП, будет иметь интенсивность отказов X ез = (2/3) • 10-5. Для случая дублирования БЦП с восстановлением в течение 0,5 ч, с учетом рассмотренных в предыдущем примере формул имеем
v = (\)2 • тр
где XРВ - интенсивность отказов дублированного БЦП с восстановлением; Xэ -интенсивность отказов одного БЦП; Тр - время восстановления.
Подставив значения для нашего случая, имеем:
XРВ = (2 • 10-5)2 • 0,5 = 2,0 • 10-10 [1/час]
Подставив данные значения в формулу вероятности безотказной работы, для времени работы 7920 ч, получим:
• при резервировании с кратностью три, вероятность безотказной работы за 7920 ч составит Р(7920) = 0,95.
• при дублировании с максимальным временем восстановления не более 0,5 ч, вероятность безотказной работы за 7920 ч составит Р(7920) = 0,999998.
Сравнивая два результата можно сделать вывод, что применение резервирования с кратностью три менее эффективно по отношению к дублированию с восстановлением отказавшего элемента, как с технической, так и с экономической точек зрения.
Выводы
1. Если ставятся требования по обеспечению надежности, то при применении резервирования всегда надо стремиться обеспечить быстрое восстановление отказавшего элемента. Чем меньше время, выделяемое на замену отказавшего элемента, тем выше надежность.
2. Применение резервирования с кратностью три целесообразно применять в случае физической невозможности выполнить замену отказавшего элемента за время, обеспечивающее требуемые показатели надежности.
3. Для обеспечения требуемых высоких показателей надежность системы необходимо:
• обеспечить примерно равную интенсивность отказов узлов составляющих систему путем применения дублирования наиболее ненадежных элементов;
• уменьшить время (Т ) требуемое на восстановление системы;
• применить резервирование ко всем элементам системы;
Только в случае, когда вышеприведенные варианты не дают приемлемого значения надежности (например, невозможно обеспечить приемлемое значение времени восстановления по причине большой удаленности или труднодо-ступности), необходимо выдвигать требования к резервированию элементов системы с кратностью три (троированию).
4. Заявленная ЗАО ПК «Промконтроллер» интенсивность отказов модулей УСО контроллеров МФК3000 и МФК 1500 составляет X = 10-5 [1/ч] и время восстановления (замены модуля) не более 0,5 ч. Таким образом, вероятность безотказной работы за время ремонта составит 0,99995, т.е. отказ, за установленное время ремонта, практически исключается.
Полученные расчетные данные позволили компании «ТЕКОН-Инжиниринг» совместно с Группой компаний «ТРАНСПРОГРЕСС» разработать по заказу ГК «Олимпстрой» на базе ПТК «ТЕКОН» оптимальный проект высокоэффективной системы управления пневмотранспорта (ТКПТ) большой протяженности. Данный пневмотранспорт предназначен для транспортирования на расстояния до 50 км в любое время суток, при любых погодных и климатических условиях рудных и нерудных материалов, а также различных штучных грузов в колесных контейнерах по трубопроводам за счет перепада давления воздуха, создаваемого стационарными воздуходувными агрегатами.
При использовании систем ТКПТ производительность труда в сравнении с автомобильным и железнодорожным транспортом увеличивается в 6-8 раз, себестоимость перевозок уменьшается в 3-5 раз, сокращается численность работающего персонала. Системы ТКПТ являются экологически чистыми, исключают вредные выбросы в атмосферу при транспортировке сыпучих грузов, улучшают экологические условия работы и жизни населения в районах их эксплуатации.
СПИСОК ЛИТЕРАТУРЫ
1. Надежность технических систем / Под ред. А.И. Ушакова. - М.: Радио и связь, 1985.
2. Дружинин Г.В. Надежность автоматизированных систем. - М.: Энергия, 1977.
3. Козлов Б.А., Ушаков И.А. Справочник по расчету надежности аппаратуры радиоэлектроники и автоматики. - М.: Сов. Радио, 1975.
КОРОТКО ОБ АВТОРАХ
4. ГОСТ 27.002-89. Надежность в технике. Основные понятия. Термины и определения.
5. ГОСТ 24.701-86. Надежность автоматизированных систем управления. Основные положения.
6. Можаев А.С., Громов В.Н. Теоретические основы общего логико-вероятностного метода автоматизированного моделирования систем. - СПб.: ВИТУ, 1999. ЕЛЗ
Полянский Павел Владимирович - кандидат технических наук, зам. начальника отдела ПСР,
Тимошенко Дмитрий Петрович - технический директор,
ЗАО ПК «Промконтроллер» ГК «ТЕКОН», e-mail: [email protected].
UDC 622:658.011.56
RELIABILITY OF PROCESSING ACTIVITY AUTOMATED CONTROL SYSTEM BASED ON THE SOFTWARE-AND-ENGINEERING SYSTEM TEKON
Polyanskiy P. V., Candidate of Technical Sciences, Deputy Chief of System Solutions Department , Timoshenko D.P., Technical Director,
Promkontroller Industrial Company, TEKON&Companies, e-mail: [email protected].
The article provides a definition of reliability, which are most often found in technical documentation and assess the value of which is required for elaboration of technicaltion requirements for the development of newly created or reconstruction of existing control systems and automatic protection systems on the example of Uses of program-technical complex «TEKON».
The following parameters of reliability is the probability of failure, the average uptime, system reliability and reliability of the function, reservation of the most unreliable elements, recovery time, in systems with overlapping elements, the validity of the requirements to reserve with multiplicity three separate elements of the system.
Key words: reliability of automated process control systems, the probability of failure-free operation, the average uptime, redundant equipment.
REFERENCES
1. Nadezhnost' tekhnicheskikh sistem. Pod red. A.I. Ushakova (Reliability of engineering systems. Usha-kov A.I. (Ed.)), Moscow, Radio i svyaz', 1985.
2. Druzhinin G.V. Nadezhnost' avtomatizirovannykh sistem (Reliability of computer-aided systems), Moscow, Energiya, 1977.
3. Kozlov B.A., Ushakov I.A. Spravochnik po raschetu nadezhnosti apparatury radioelektroniki i avtoma-tiki (Electronics and automatics reliability design handbook), Moscow, Sov. Radio, 1975.
4. Nadezhnost' v tekhnike. Osnovnye ponyatiya. Terminy i opredeleniya. GOST 27.002-89 (Reliability in engineering. Basic concepts. Terms and definitions. State Standart 27.002-89).
5. Nadezhnost'avtomatizirovannykh sistem upravleniya. Osnovnye polozheniya. GOST24.701-86 (Reliability of automated control systems. General provisions. State Standart 24.701-86)
6. Mozhaev A.S., Gromov V.N. Teoreticheskie osnovy obshchego logiko-veroyatnostnogo metoda avtom-atizirovannogo modelirovaniya sistem (Theory of general logical-and-probabilistic method of computer-aided engineering), Saint-Petersburg, VITU, 1999.