CC BY
18
Радютеинчн »формации засоби
-□ □-
В cmammi приведена методо-логiя ощнки показнитв безпечно-cmi та HadiÜHoemi системи eid-повидального призначення RTP 3000 за допомогою програмного забезпечення RAM Commander та ASNA
Ключовi слова: надштсть, безпечтсть, FMEA/FMECA-ана-лiз, структурна схема надшно-стi, дерево вiдмов
□-□
В статье приведена методология оценки показателей отказобезопасности и надежности системы ответственного назначения RTP 3000 с помощью программного обеспечения RAM Commander и ASNA
Ключевые слова: надежность, отказобезопасность, FMEA/FMECA-анализ, структурна схема надежности, деревья отказов -□ □-
УДК 621.396.66
ОЦ1НКА ПОКАЗНИК1В НАД1ЙНОСТ1 ТА БЕЗПЕЧНОСТ1 ШФОРМАЦШНО-КЕРУЮЧОТ СИСТЕМИ RTP 3000 З ВИКОРИСТАННЯМ RAM COMMANDER
Л. Д. 03iрковськи й
Кандидат техычних наук, доцент* Контактний тел.: 067-673-34-45 E-mail: l.ozirkovsky@gmail.com Т.1. Панський* Контактний тел.: 097-914-37-59 E-mail: panskyy@gmail.com О.В. Сидорчук* Контактний тел.: 096-1 13-88-50 E-mail: sydorchuk90@gmail.com I. В. Кул и к Астрант*
Контактний тел.: 098-919-47-70 E-mail: kulyk.ew@gmail.com *Кафедра теоретично? радютехшки та радювимнрювання Нацюнальний ушверситет <^bBiBCb^ полЬехшка» вул. С. Бандери, 12, м. Львiв, УкраТна, 79000
1. Постановка задачi
2. Опис дослщжувано! системи
При застосуванш шформацшно-керуючих систем ввдповщального призначення важливим е забезпечення заданого рiвня ix надшност! Однак, особливштю таких систем е те, що необxiдно мiнiмiзувати наслщки ix ви-ходу з ладу, що юльюсно характеризуеться показником безпечносп (safety - англ., отказобезопасность - рос.). Безпечшсть - така властивкть системи, коли в нiй при виxодi з ладу окремих тдсистем чи системи в цiлому, не допускаеться ситуащя небезпечна для життя i здо-ров'я людей та навколишнього середовища. В бшьшо-CTi випадкiв при оцiнцi надiйностi складних систем юльюсною оцiнкою безпечностi (safety) нехтують. Це пояснюеться тим, що з одного боку в стандартах з надiйностi краiн СНД моделей i методiв для ощнки безпечностi немае, а з шшого - забезпечення заданого рiвня безпечностi потребуе зниження, а в окремих випадках i суттевого, рiвня надiйностi систем. Тому необxiдно розробити методолопю, яка дае змогу ощ-нити комплексно як показники безпечносп так i над-iйностi. Осюльки задача такоi оцiнки е трудомшткою i потребуе багатократного виконання при проведенш багатоварiантного аналiзу складноi системи на етат ii системо-теxнiчного проектування, то необхвдно також вибрати спецiалiзоване програмне забезпечення для такоi ощнки.
1нформацшно-керуюча система (1КС) вщпо-вщального призначення ЯТР 3000 призначена для управлшня процесами та системами безпеки атомних електростанцш, небезпечних виробництв, газо- та на-фтотранспортування тощо [1]. Вона може бути вико-ристана як в якосп автономного контролера безпеки, так i в якостi елемента системи управлiння для 1КС вiдповiдального призначення.
Структурна схема 1КС ЯТР 3000 приведена на (1) i включае node-процесори, chassis-процесор, модулi вво-ду/виводу. Ця система реалiзована як вiдмовостiйка система з дубльованими модулями вводу та node-про-цесорами.
Така конф^уращя повинна забезпечувати, згiдно специфжацш виробника, заданий рiвень безпечностi та надшносп з мiнiмальним числом модулiв. Однак кiлькiсних оцiнок безпечностi в специфжащях 1КС, представлених в [1] не виявлено.
Рис. 1. Структура системи RTP 3000
© Л.Д. Офковськиц TI. Панський, О.В. Сидорчук, I.B. Кулик, 2012
3. Вибiр програмних 3aco6iB для ощнки надiйностi та безпечноси
Переважна бшьшшть спецiалiзованих програмних 3aco6iB (ПЗ) дае змогу здiйснити лише оцшку надiйностi систем [2]. Комплексну оцшку можна отримати за допомогою ПЗ Relex (ReliaSoft) та RAM Commander (A.L.D.), виробники якого е свиовими лщерами в цiй галузi. Крiм цього дане ПЗ враховуе моделi та рекомендацiï з оцiнки надшноси i без-печностi i вщповщае вимогам таких стандартiв як: MIL-217, MIL-HDBK-217, Telcordia, FIDES, NPRD-95, MIL-STD-1629, CNET 2000, TR332-Bellcore Issue 6, Prism, NSWC-98, GJB299. Ще одним обмеженням при виборi спецiалiзованого ПЗ, яке дае можлившть ощ-нити безпечшсть, е його висока щна. Лiцензiя на про-дукти фiрм ReliaSoft чи A.L.D. становить 12-20 тис. доларiв за шт. Осюльки Нацiональний унiверситет «Львiвська полггехшка» веде сшвпрацю з A.L.D. [3] i щею фiрмою для проведення наукових дослщжень i навчального процесу надано 30 лщензш ПЗ RAM Commander, то в якоси шструмента вибрано програмне забезпечення RAM Commander.
4. Формування методологи оцшки надшносл i безпечност складно!' системи на основi ПЗ RAM Commander
Ощнка показникiв надiйностi та безпечностi здшснюеться за допомогою методологiï, яка враховуе вимоги мiжнародних стандартiв i в першу чергу MIL-217, MIL-HDBK-217, Telcordia та FIDES. Зпдно '¿х ви-мог, на першому етат, здiйснюеться побудова дерева системи та попередня ощнка ïï надiйностi (Reliability Prediction) без урахування засобiв забезпечення вщ-мовостiйкостi. Необхiднiсть цього кроку викликана потребою оцшки затрат на подальше техшчне об-слуговування системи. Крiм цього, дерево системи е вхщними даними для всiх наступних етатв оцiнки надiйностi та безпечность
На основi дерева системи будують структурну схему надiйностi - RBD (Reliability Block Diagram), що дае змогу оцшити середнiй час мiж критични-ми вiдмовами (MTBCF) та середнш час роботи до катастрофiчноï вiдмови (MTTF). Структурна схема надшноси дае змогу врахувати засоби забезпечення вщмовостшкоси, зокрема резервування, i вщобрази-ти це графiчно.
Наступним кроком - здшснюеться побудова дерева вщмов - FTA (Fault Tree Analysis). На вщмшу вщ структурноï схеми надiйностi, яка показуе при якш конф1гурацп система буде працездатною i е ана.и-
зом системи знизу догори, дерево вщмов дае змогу оцшити юльюсно ймовiрнiсть виникнення кожно1 вiдмови та прослiдкувати причину ii виникнення, i е дедуктивним методом аналiзу надiйностi. Це один з найб^ьш розповсюджених методiв аналiзу над-iйностi складних систем [4], застосування якого не регламентуеться вичизняними стандартами, але е обов'язковим згщно вимог, у«х без винятку, мiжна-родних стандартiв з надiйностi. Аналiз дерева вщ-мов дае змогу визначити рiзнi комбiнацii вiдмов, яю спричиняють ризик чи вiдмову системи та оцшити юльюсно ix чутлившть.
Для оцiнки безпечностi доцiльно використати методи FMEA/FMECA (Failure Mode and Effects Analysis/ Failure Mode Effects and Criticality Analys-is)-аналiзу, який е систематичною групою методiв спрямованих на розпiзнавання й оцшку потенцiйноi вiдмови системи чи процесу i наслiдкiв цiеi вiдмови, щентифжащю дiй, якi можуть усунути чи знизити iмовiрнiсть виникнення потенцiйноi вщмови. В ре-зультатi аналiзу отримують показник ризику - RPN (Risk Priority Number), який характеризуе безпечшсть системи. Якщо показник ризику не перевищуе 80, зпдно рекомендацш бiльшостi стандартiв, то рiвень безпечноси е задовiльним. Якщо значення по-казника е бiльше 80, то необхщно здiйснити заходи по зменшенню ризику - повторно здiйснити аналiз дерев вiдмов та FMEA/FMECA-аналiз. Цей процес е иеративним i може потребувати значних часових затрат.
5. Ощнка надшносп та безпечносл 1КС RTP 3000 на основi розроблено!' методологи з використанням RAM Commander
Розрахунок показникгв надшност1 за допомогою cmpyKmypnoï схеми надшност1. Для визначен-ня iмовiрностi безвiдмовноï роботи та середнього часу напрацювання до вщмови необхщно побудувати графiчну модель надiйностi - структурну схему над-iйностi (ССН) [6]. У вщповщноси до структури (1) вона буде складатися з двох паралельно з'еднаних вхщних модулiв, двох паралельно з'еднаних про-цесорiв вузла, шасi процесора та вихщного модуля. Структурну схему надiйностi 1КС RTP 3000, розро-блену в середовишд RAM Commander приведено на рис. 2.
На основi створеноï ССН в RAM Commander можна отримати наступш показники надшностк за-лежшсть iмовiрностi безвiдмовноï роботи вiд часу та середне напрацювання до критичноï вщмови (MTBCF).
Рис. 2. Структурна схема надшносп RTP 3000
грамному модулi ASNA дае змогу зробити висновок про адекватшсть моделi в щлому.
Рис. 3. Залежнiсть ímobíphoctí безвiдмовноí роботи вiд часу
Для верифшацп отриманих результатiв розро-блено структурно-автоматну модель (САМ) системи RTP 3000 за технолопею [5]. Побудова структурно-автоматно! моделi здiйснюеться на основi вербаль-но! моделi, яка задае вхщш данi у виглядi перелiку базових подiй, умов i обставин, при яких щ подп вiдбуваються. При розробцi структурно-автоматно! моделi необхiдно вирiшити наступнi задачi: сфор-мувати вектор станiв; визначити множину формаль-них параметрiв моделi; описати поведшку системи у виглядi базових подш, якi вiдбуваються у систем^ а також умов i обставин при яких вщбуваються цi подп; сформувати формули розрахунку штенсивно-стей переходiв iз стану в стан; сформувати формули розрахунку ймовiрностей альтернативних переходiв; встановити правила модифiкацi'i компонент вектора сташв.
Наступним кроком е побудова моделi системи у виглядi графа станiв i переходiв. 1нструментом для отримання показникiв надiйностi, а саме: залежно-стi iмовiрностi безвщмовно! роботи вiд часу та се-реднього часу напрацювання системи до вщмови, е програмне забезпечення ASNA. Це програмне забез-печення використовуе САМ як вхщш данi i автома-тизовано формуе граф сташв i переходiв, складае систему диференщйнихpiBHянь Колмогорова-Чепмена (Марков с ька модель), з д i й с -нюе Ti розв'язок i на ochobí от-риманого роз-
п о д i л у й м о - |-
в i р н о с т е й перебування у станах, формуе показники над1йносп дос л i д ж у в а н о i системи [6], яы представлен! в рис. 4.
Побудована модель системи RTP 3000 в про-
Рис. 4. Залежнють iMOBipHOCTi безвiдмовноí роботи вщ часу
Розрахунок показнитв над1йност1 за допомогою дерева в1дмов. Дерево вщмов - це графiчне пред-ставлення подiй в ieрархiчнiй CTpyKTypi типу дерева. Воно використовуеться для визначення рiзних ком-бiнацiй вщмов апаратного та програмного забезпечення i помилок, викликаних «людським чинником», якi виливаються в певний ризик або вщмову системи. На вершиш дерева знаходиться вiдмова системи [4]. Решта частина дерева представляе собою паралельш або послiдовнi подп, яы потенцiйно можуть призве-сти колiзil або вiдмови.
В найнижчих елементах дерева вказуеться 1хня iмовiрнiсть вщмови i далi програмне забезпечення RAM Commander розраховуе загальну iмовiрнiсть вщмови системи.
Дерево вiдмов 1КС RTP 3000 представлено на рис. 5.
Аналiзyючи дерево вщмов, визначено таю мшп мальнi перерiзи, якi показують послiдовнiсть вiдмов яких елементiв найбшьше впливае на надiйнiсть вае'1
системи.
Treel FTA RTP3000
Treel -1-1 Treel -1 -2
^-1^5.36е-006 ^i-^5.36e-006 ^i-^1.14e-005
Рис. 5. Дерево вiдмов (FTA)
Result for top event Q[mean]=1.56201 e-005 FTA Name: FTA_FlTP3000
Minimal Cut Sets1 Numbei of MCS 4 У 4 Order ol MCS. Min 1 Man 2
^^ Jl .IN % Gt Event 1 Event 2
1 1.14e-005 73.0 1 Tteel-3
2 4.22e-00G 27.0 1 Tteel-4
3 1.2996e-010 0.0 2 Tiee1-2-1 Ttee1-2-2
4 2.87296e-011 0.0 2 Ttee1-1-1 Tiee1-1-2
Рис. 6. ММшмальш перерiзи
Розрахунок показникгв надшностг за допомогою FMEA/FMECA. На 0CH0Bi дерева вщмов проводиться FMEA/FMECA-аналiз [7]. BiH дозволяе розрахувати показник безпечность Для оцiнки безпечностi системи визначаеться показник Risk Priority Number (RPN): RPN = SOD,
де S - Severity (оцшка серйозносп наслщку потен-цiйного виду ввдмови), O - Occurrence (оцiнка iмовiр-ностi того, що окрема причина виникае i виливаеться у вщмову), D - Detection ( це оцшка iмовiрностi того, що даш засоби управлiння виявляють вiдмову). Юльюсно RPN мае бути менше 80, а для системи вщповщального призначення не б^ьше 60. Результати FMEA/ FMECA аналiзу, проведеного в RAM Commander представлено в табл. 1
6. Висновки
Представлена методолопя дае змогу ощ-нити показники ефективноси складних радь оелектронних систем з використанням спещ-алiзованого програмного забезпечення RAM Commander та ASNA. На вщмшу вщ iснуючих, розроблена методолопя, дозволяе отримати як показники иад1йиост1, так i показники без-печноси складно! системи.
Для здiйснення тако! оцiнки необхiдно ви-рiшити наступну послвдовшсть задач:
- побудувати дерево складно! системи для поперед-ньо! оцiнки надiйностi;
- розробити модель надшноси у виглядi структурно'! схеми надшностГ;
- розробити модель надшноси у виглядi дерева ввдмов;
- здiйснити верифiкацiю розроблених моделей за допомогою структурно-автоматно! моделi;
- на основi розроблених моделей провести оцш-ку безпечностi складно! системи з використанням FMEA/FMECA-аналiзу.
Розроблена методолопя була апробована на при-кладi оцiнки показникiв безпечностi та надшносп системи вiдповiдального призначення RTP 3000.
Таблиця 1
Результати FMEA/FMECA аналiзу
№ Potential FM End Effect of Failure Result Severity Result Occurrence Result Detection Result RPN
1 Failure supervised digital output System failure 10 1 3 30
2 Failure chassis processors System failure 10 2 2 40
3 Failure 2 node processors System failure 10 2 2 40
4 Failure 2 analog input moduls System failure 10 1 2 20
Лиература
1. RTP corporation [Електронний ресурс] - Режим доступу: \www/ URL: http://www.rtpcorp.com/.
2. А. Строганов. Обзор программных комплексов по расчёту надёжности сложных технических систем. / А. Строганов, В. Жад-нов, С. Полесский. // «Компоненты и технологии», № 5 (70), 2007. - с. 74-81.
3. A.L.D. Advanced logistics development [Електронний ресурс] - Режим доступу: \www/ URL: http://www.aldservise.com/en/re-liability-products/rams-software.html.
4. Henley E., and H. Kumamoto. 1981. Reliability Engineering and Risk Assessment. Englewood Cliffs, N.J.: Prentice Hall.
5. Волочш Б.Ю. Технолопя моделювання алгоритмiв поведшки шформацшних систем/ Б.Ю. Волочш. -Львiв: Вид-во НУ"Ль-вiвська пол^ехшка", 2004. - 220с.
6. Половко, А.М. Основы теории надежности [Текст] / А.М. Половко, С.В. Гуров. - СПб.: БХВ-Петербург, 2006. - 702 с.
7. Николаева Н.Г. FMEA - анализ видов и последствий отказов [Текст]: учеб, пособие/ Н.Г. Николаева, С.М. Горюнова - К.: КГТУ, 2007. - 96с.
Abstract
The article includes the methodology for estimation of safety indexes and reliability responsible destination system RTP 3000. Was selected the appropriate software. Estimation of reliability and safety indexes was performed using software RAM Commander. This software takes into account the model and recommendations for estimation of reliability and safety and meets the requirements such standards as: MIL-217, MIL-HDBK-217, Telcordia, FIDES, NPRD-95, MIL-STD-1629, CNET2000, TR332-Bellcore Issue 6, Prism, NSWC-98, GJB299. Verification of the system was carried out in the software module ASNA. The article includes the description of object and application in different industrial areas. Step by step methodology was selected for estimation the system safety index, starting from reliability block diagram (RBD), fault tree analysis (FTA), which gives the opportunity to build Failure Mode and Effects Analysis (FMEA). Calculated RPN value satisfies the boundary conditions Keywords: reliability, safety, FMEA, realiability block diagram, fault tree
