Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия
Скачать 6.47 Mb.
|
ПРОЕКТНАЯ ОЦЕНКА НАДЕЖНОСТИ СИСТЕМЫ 11.1. Введение В отечественной практике основные положения по на- дежности автоматизированных систем (АС), основным пока- зателям надежности, составу и порядку обеспечения надежно- сти АС определяет ГОСТ 24.701-86 "Надежность автомати- зированных систем управленияВ соответствии с ГОСТ 24.701, оценка надежности производится по следующим пока- зателям: • Надежность реализации функций системы; • Опасность возникновения в системе аварийных ситуа- ций. Описание надежности системы по функциям осуществляют: • По отдельным составляющим надежности - единич- ными показателями; • По нескольким составляющим надежности совместно - по комплексным показателям надежности. Для описания надежности системы по непрерывно и дис- кретно выполняемым функциям ГОСТ рекомендует исключи- тельную по полноте группу показателей. Например, для опи- сания безотказности и ремонтопригодности по непрерывным функциям: • Средняя наработка системы на отказ в выполнении /- той функции (соответствующие показатели стандарта IEC 61508 - MTTF или MTBF); • Вероятность безотказного выполнения системой /-той функции в течение заданного времени (1 - PFD). / >ава 11 Проектная оценка надежности системы 703 Допускается использовать следующие показатели: • Средняя наработка системы до отказа в выполнении /- той функции (MTTF); • Интенсивность отказов системы в выполнении /'-той функции (PFH). В очередной раз необходимо констатировать высший профессионализм создателей советских ГОСТов: ВСЕ показа- тели ГОСТа 24.701 от 1986 года полностью соответствуют требованиям стандарта Международной электротехнической комиссии IEC 61508 от 2000 года. Причем за пятнадцать лет до появления стандартов МЭК поставлена задача оценки надежности не просто компонентов оборудования, но ФУНКЦИЙ системы. Более того, ГОСТ 24.701-86 определяет показатели, кото- рые либо вообще отсутствуют в стандартах МЭК, либо допус- кают неоднозначное толкование. Например, используются следующие показатели ремон- топригодности для отдельных функций: • Среднее время восстановления способности системы к выполнению /-той функции после отказа (MTTR); • Вероятность восстановления в течение заданного вре- мени способности системы к выполнению /-той функ- ции после отказа. А также комплексные показатели безотказности и ремон- топригодности: • Коэффициент готовности системы к выполнению /-той функции; • Коэффициент технического использования системы; • Коэффициент сохранения эффективности системы. ГОСТ 24.701-86 определяет показатели надежности сис- темы по аварийным ситуациям как при нормальных условиях функционирования АС, так и при воздействии экстремальных факторов. Определяются показатели долговечности отдельных под- систем и системы в целом, и т.д. и т. п. В целом по набору по- казателей надежности наш ГОСТ на порядок превосходит стандарты МЭК. Чего недостает, так это конкретных методик расчета этих показателей, и практических примеров их при- менения. 704 Справочник инженера по А СУТП' Проектирование и разработка Несколько важных определений. В соответствии с ГОСТ 27.002-89 "Надежность в технике. Основные понятия. Термины и определения", Под Отказом понимается событие, заключающееся в на- рушении работоспособного состояния изделия. ГОСТ 27.310-95 "Анализ видов, последствий и критично- сти отказов" в дополнение к терминам ГОСТ 27.002-89 вво- дит следующие термины, относящиеся к Аначизу видов, по- следствий и критичности отказов (АВПКО): Элемент - составная часть технического объекта, рас- сматриваемая при проведении анализа как единое целое, не подлежащее дальнейшему разукрупнению. Система - совокупность элементов, объединенных кон- струкционно и/или функционально для выполнения некото- рых требуемых функций. Вид отказа - совокупность возможных или наблюдаемых отказов элемента и/или системы, объединенных в некоторую классификационную группу по общности одного или несколь- ких признаков (причины, механизмы возникновения, внешние проявления и другие признаки). Тяжесть последствий отказа качественная или коли- чественная оценка вероятного (наблюдаемого) ущерба от от- каза элемента и/или системы. Категория тяжести последствий отказов - классифи- кационная группа отказов по тяжести их последствий. Харак- теризуется определенным, установленным до проведения ана- лиза сочетанием качественных и/или количественных учиты- ваемых составляющих вероятного отказа или нанесенного от- казом ущерба. Критический отказ - отказ системы или ее элемента, тя- жесть последствий которого в пределах данного анализа при- знана недопустимой и требует принятия специальных мер по снижению вероятности данного отказа и/или возможного ущерба, связанного с его возникновением. Критичный элемент - элемент системы, отказ которого может быть критическим. Примечание В процессе АВПКО конкретного изделия могут быть ус- тановлены иные признаки для отнесения элементов к катего- рии критичных, например критичным может быть элемент, Гпава 11 Проектная оценка надежности системы 705 отказ которого, безусловно, ведет к полному отказу систе- мы, независимо от тяжести его последствий. Критичный технологический процесс - технологический процесс, применяемый при изготовлении и/или монтаже сис- темы или ее элементов, нарушение параметров которого, или вносимые в ходе которого дефекты могут быть причиной кри- тического отказа. При АВПКО конкретного изделия могут быть установле- ны иные признаки критичности технологического процесса, например критичным может быть признан техпроцесс, влия- ние которого на надежность системы или ее элементов неиз- вестно, или недостаточно изучено. Показатель критичности отказа - количественная ха- рактеристика, учитывающая вероятность отказа за время экс- плуатации и тяжесть возможных последствий отказа. Анализ видов и последствий отказов (АВПО) - формали- зованная, контролируемая процедура качественного анализа проекта, технологии изготовления, правил эксплуатации и хранения, системы технического обслуживания и ремонта. Эта процедура заключается в выделении возможных отка- зов, в прослеживании причинно-следственных связей и воз- можных последствий этих отказов, а также - в качественной оценке и ранжировании отказов по тяжести их последствий. Анализ видов, последствий и критичности отказов (АВПКО) - процедура АВПО, дополненная оценками показа- телей критичности анализируемых отказов. Технический объект (объект) - любое изделие (элемент, устройство, подсистема, функциональная единица или систе- ма), которое можно рассматривать в отдельности. Из представленных определений следует, что при анализе и расчете характеристик надежности систем управления и за- щиты главное внимание должно уделяться, прежде всего, кри- тическим элементам системы, отказ которых способен при- вести к критическому отказу - отказу критических функций защиты. Важное замечание Существует отечественный нормативный документ РД 03-418-01 "Методические указания по проведению анализа риска опасных производственных объектовоснованный на анализе деревьев отказов и событий. 23—3110 706 Справочник инженера по А СУТП' Проектирование и разработка 11.2. Методики анализа надежности и рисков для автома- тизированных систем безопасности Практически все производители оборудования систем безопасности для нахождения базовых значений интенсивно- сти отказов отдельных компонентов, узлов, модулей исполь- зуют рекомендации справочника Министерства обороны США Military Handbook, "Reliability Prediction of Electronic Equipment " M1L-HDBK-217F, 2 December 1991. За прошедшие годы это справочное руководство превра- тилось de-facto в стандарт для производителей электронного оборудования всех отраслей промышленности на западе. MIL-HDBK-217F дает два базовых метода для предсказа- ния надежности: Первый метод заключается в предсказании характери- стик надежности на основе испытаний оборудования в стрес- совой ситуации, с корректировкой по сложности устройства, качеству изготовления, конструкции, температуре, перепадам напряжения, и по множеству других эксплуатационных фак- торов. Второй метод предсказания надежности применяется на ранних стадиях создания оборудования, когда изучается пове- дение нового компонента, модуля, устройства. Метод заклю- чается в изучении параметров надежности по каждому компо- ненту и по каждой категории компонентов (резисторы, кон- денсаторы, микросхемы и т.д.) с учетом качества, условий внешней среды, технологии изготовления. Комплексный под- ход к устройству требует детального изучения и анализа, ко- торый проводится после разработки и создания электронной схемы устройства (модуля). Таким образом определяются опорные значения характеристик надежности оборудования для систем безопасности. На основе этих данных рассчитыва- ются конкретные параметры надежности конкретных конфи- гураций оборудования. Особую ценность этим методикам придает то обстоя- тельство, что разные производители используют единооб- разный подход к оценке характеристик надежности обору- дования, и пользуются едиными базами данных по интен- сивности отказов отдельных компонентов устройств, мо- дулей, разьемов и т.д. / >ава 11 Проектная оценка надежности системы 707 Для оценки интегрального уровня безопасности абсолют- ное большинство поставщиков и разработчиков систем управ- ления и защиты опирается на Технический отчет безопасного I ехнического допуска dTR84.02 - ISA TR84.0.02 "Safety In- strumented Systems (SIS) - Safety Integrity Level (SIL) Evaluation Techniques" (Оборудованные под безопасность системы - Техника оценки интегрального уровня безопасности), разрабо- танный подкомиссией ISA SP84.02. Технический отчет рекомендует следующие методики анализа рисков для систем безопасности, позволяющие полу- чить ответ на основной вопрос, будет ли система в состоянии выполнить предопределенные функции, когда в этом возник- нет необходимость: • Метод логических блок-диаграмм; • Анализ дерева отказов; • Марковский анализ. Для каждой из перечисленных методик первым шагом яв- ляется получение исходной информации для расчета - интен- еивностей отказа, определенных и заданных изготовителем оборудования, - для каждого элемента, модуля, блока, или комплектной подсистемы. Для метода логических блок-диаграмм следующим шагом будет объединение (логическое сложение и умноже- ние) вероятностей отказов отдельных компонентов по каждой функции безопасности (управления / защиты). Однако и этот метод может оказаться не совсем простым, если в составе анализируемой цепочки компонентов оказыва- емся конкретная конфигурация из нескольких логических уст- ройств, множество разнородных сенсоров и исполнительных устройств, завязанных в единую физическую и логическую I юследовательность. В случае метода анализа дерева отказов следующим шагом после обретения базовых интенсивностей отказа будет создание диаграммы дерева отказов. На диаграмме отражается взаимосвязь различных компо- нентов процесса, вовлеченных в опасное событие. Взаимо- связь компонентов между собой отражается на диаграмме с помощью логических выражений. Далее вычисляется общая вероятность отказа для данного процесса. Анализ дерева отка- зов идеально подходит для анализа видов, последствий и кри- 708 Справочник инженера по А СУТП' Проектирование и разработка тичности отказов (ГОСТ 27.310-95). Поэтому по преимущест- ву этот метод используется при проектировании новых уст- ройств, а также при проектировании и исследовании алгорит- мов управления и защиты. И так же, как и в первом случае, по результатам расчетов производится сравнение полученной сводной вероятности отказа с требуемыми значениями. Марковский анализ на данном уровне используется ред- ко из-за фантастической сложности систем дифференциаль- ных уравнений, которые возникают для реальных систем управления и защиты, хотя в некоторых случаях может суще- ствовать численное решение. Для справки воспроизводится таблица стандарта IEC 60300-3-1 "Analysis techniques for dependability: Guide on meth- odologyв которой приведены ограничения на применение различных методов анализа надежности (см. таблицу 11.1). Надо сказать, что приведенные значения по количеству ком- понент (колонка Number of components) слишком оптимистич- ны, и вряд ли применимы для реальных систем. В таблице сделаны ссылки на сопутствующие стандарты МЭК: • IEC 60812 "Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA)"; • IEC 61025 "Fault tree analysis (FTA)"; • IEC 61078 "Analysis techniques for dependability - Reli- ability block diagram method"; • IEC 61165 "Application on Markov techniques". Принятые в таблице 11.1 сокращения и обозначения: FMEA - Failure Mode and Effects Analysis; FMECA - Failure Mode, Effects and Critically Analysis; () - Метод применим с ограничениями или Исключениями; пс - Метод не способен или не применим; с - Метод и способен, и применим. В настоящей главе рассматриваются два варианта реаль- ного расчета надежности оборудования АСУТП на примере двух ведущих фирм-производителей средств автоматизации технологических процессов: 1. Yokogawa 2 . H I M A . Обе методики расчета основываются на традиционном анализе логических блок-схем надежности. Характеристики методов анализа надежности (из Table 2 , IEC 60300-1) Таблица 11.1 Analysis method Characteristics Analysis method Ability of method to handle model characteristics as Attributes IEC Standard Analysis method Number of components Redundan t structur e Imeduabi e structur e F a lure/even t combination s an d dependencie s Tim e varyin g failure/even t rate s Comple x maintenanc e strategie s Simulatio n o f functiona l proces s Symbolic representation Approach Analysis Analysis effort IEC Standard Analysis method Number of components Redundan t structur e Imeduabi e structur e F a lure/even t combination s an d dependencie s Tim e varyin g failure/even t rate s Comple x maintenanc e strategie s Simulatio n o f functiona l proces s Symbolic representation deductiv e I ! S 1 I qualitativ e quanbtativ e IEC Standard F M E A Up to several thousands (no) no (no) yes no no List (nc) с с ПС high - 60812 FMECA Up to several thousands (no) no (no) yes no no List nc с с (С) high low 60812 Fault tree analysis Up to several thousands yes (yes) (yes) yes no no Fault tree с nc с С high medium 61025 Reliability block diagram Up to several thousands yes (yes) (yes) (yes) no no Reliability block diagram с nc (С) с medium medium 61078 Markov 2 to 100 yes yes yes (no) yes (yes) System state diagram ( П С ) с с с high medium 61165 Parts count 1 to thousands (no) (yes) no (no) - - List nc с ( П С ) с low low - Cause / consequence Up to several hundreds yes yes (yes) (yes) yes no Cause / consequence (C) с с с high low / high - Event simulator Up to several hundreds yes yes yes yes yes yes Any с с с с high high - System reduction Up to several thousands yes no (yes) (yes) (yes) no Reliability block diagram nc с ( П С ) с medium medium - Event tree 2 to 50 yes yes (yes) yes no yes Event tree с с ( П С ) с low low Truth table 2 to 50 yes yes yes - - Table nc с С ПС high 710 Справочник инженера по А СУТП' Проектирование и разработка Вкратце суть обеих методик основывается на следующих предпосылках. Структурная схема для расчета надежности любой из подсистем АСУТП рассматривается как сочетание последовательно и параллельно связанных элементов: • Последовательное соединение определяет подсистемы или элементы системы, работающие без резерва. • Параллельное соединение определяет резервирован- ные элементы. Исходные соотношения для расчета могут быть получены исходя из элементарных результатов теории вероятностей. Надежность системы, состоящей из п последовательных элементов: — 1 1 — — - ь — Рис. 11.1 каждый из которых необходим для функционирования систе- мы, и где отказы элементов не зависят друг от друга, равна: Rsenes (О = R, (t) R 2 (t) • .. R n (t) = П R, (t) 1=1 Допущение Л - Const позволяет рассчитать интенсив- ность отказов линейной системы в целом путем суммирования интенсивностей отказов индивидуальных компонент: я ^series в ^ е ^ Kenes = Z К I Для резервированных (параллельных) систем определе- ние вероятности отказа системы в целом начинается с вычис- ления вероятности отказа отдельного /-канала P,(t): P l (t) = 1-R,(t) 1 Г | 1 2 1 [ п | Рис. 11.2 Очевидно, что для независимых компонентов вероятность отказа системы: / >ава 11 Проектная оценка надежности системы 711 P pd r a „e l (t) = f\P l (t) = fl[l-R l (t)} i=1 i=1 Тогда вероятность безотказной работы (надежность) па- раллельной системы: R ^ ( t ) = i-Tl[i-R,(tj\ Для п идентичных элементов P pa r a „e<(t) = P(t) n =[lR(t)}\ RpsrsHel (t) = 1 P parallel (t) = 1-[l R(t)f На временном отрезке без отказов и восстановления значения надежности и готовности совпадают: A(t) = R(t). Представленные соотношения носят самый общий харак- тер. Однако применять их можно по-разному. Поэтому при их конкретной реализации могут возникать серьезные расхожде- ния в оценках. Именно этот аспект и рассматривается в на- стоящей главе. Выбор фирм совсем не случаен, поскольку внешняя про- стота метода логических блок-схем такова, что может прояв- ляться в совершенно разных, можно сказать, диаметрально противоположных ипостасях. Как будет показано, некоррект- ное применение метода приводит к удручающим результатам даже для самого надежного оборудования, каковым, безус- ловно, является оборудование систем семейства Centum фир- мы Yokogawa. В первом варианте расчета оценка надежно- сти производится при следующих предпосылках: • Расчеты на примере оборудования фирмы Yokogawa сделаны в предположении стопроцентного уровня са- модиагностики. • Соответственно, самостоятельная вероятность необна- руженных опасных отказов - отказов несрабатывания - не рассматривается. Для демонстрации подводных рифов, которые подстере- гают разработчика, в расчет сознательно внесены методиче- ские ошибки, которые часто допускаются при непродуманном применении данного метода оценки параметров надежности: • Берется абстрактная сумма всех интенсивностей отказа по всем устройствам. Таким образом, понятие крити- ческого отказа не рассматривается - все единичные отказы становятся критическими. 712 Справочник инженера по А СУТП' Проектирование и разработка • Кроме того, расчет ограничивается только основным оборудованием системы управления и защиты - на- дежность полевого оборудования в расчетах не учиты- вается. Во втором варианте представлена уже не искусственная, как в первом случае, а фактическая методика расчета парамет- ров надежности, используемая фирмой HIMA: • Расчеты фирмы HIMA сделаны в полном соответствии с требованиями стандарта IEC 61508. • Соответственно, учитывается декомпозиция отказов на обнаруженные и необнаруженные, опасные и безопас- ные отказы. • Расчету подлежит целостная функция безопасности от сенсора до исполнительного устройства. Более того, • Учтены доли общих отказов для всех функциональных групп оборудования. Особенностью расчета являются конфигурации полевого обо- рудования: • 2ооЗ для датчиков, и • 1 оо2 для клапанов, что удается соблюсти далеко не всегда. И открытой остается проблема общего отказа группы функций (контуров) безопасности. 11.3. Первая методика расчета Первая из процедур оценки надежности оборудования АСУТП будет проведена^ на примере оборудования системы Centum CS 3000 фирмы Йокогава. Методика расчета соответ- ствует представленным ниже соотношениям. Как всегда, ра- бота начинается с определения терминов и понятий. Интенсивность отказов Л в общем виде определяется как изменение количества отказов в единицу времени на еди- ницу работающего оборудования: №) ^ L где N op Jt) dt N oper (t),N fajl (t) - количество работающих, и отказавших единиц оборудования, соответственно. / >ава 11 Проектная оценка надежности системы 713 Среднее время наработки на отказ. Часто интерпрети- руется и воспринимается как время, определяющее для систе- мы, устройства или компонента системы средний промежуток времени между отказами. К сожалению это не так. Фактиче- ски среднее время наработки на отказ определяет характери- стический интервал времени, по истечению которого вероят- ность отказа составляет P(t) = 1-R(t) = 1-e-* i =1-е 1 =0.63 = 63% Немного далее этот аспект будет рассмотрен подробнее. Понятие среднего времени работы до отказа MTTF часто смешивается с понятием среднего времени работы между от- казами MTBF, и каждый из этих показателей в равной степени используется в качестве среднего времени наработки на отказ. Йокогава применяет следующее выражение для определения MTBF: MTBF = — Я Среднее время на восстановление. Среднее время на восстановление MTTR - среднее время в часах, требуемое на восстановление исходной конфигурации системы после воз- никновения отказа. В расчетах чаще всего применяют значе- ние MTTR = 8 часам (если величина MTTR специально не ого- варивается производителем оборудования). Готовность. Динамическая готовность - вероятностная оценка для обслуживаемой системы, устройства или компо- нента быть работоспособной ("готовой") в определенный мо- мент времени. На практике применяют выражение стационар- ной готовности. Замечание Йокогава в своем руководстве 77 33Q01K10-01E Reliabil- ity Manual, Aug. 2002, определяет готовность через MTBF, определяя к тому же этот показатель не как "Mean time be- tween failures", а как "Mean time to system failure", то есть под кодом MTBF подразумевается MTTF: _ MTBF (MTBF + MTTR) Хотя, строго говоря, стационарная готовность должна определяться не через MTBF, а через MTTF (см. Главы 2 и 4 настоящей работы): 714 Справочник инженера по А СУТП' Проектирование и разработка А - MTTF {MTTF + MTTR) Далее в руководстве TI 33Q01K10-01E даются еще не- сколько нижеследующих определений. Интенсивность отказов последовательного соединения элементов: Соответствующая стационарная готовность: Л, =А 1 -А 2 ... = ПА Интенсивность отказов параллельного соединения двух разнородных элементов: Л 1оо2 = 2 - Л 1 -Л 2 - MTTR Соответствующая стационарная готовность: А 1ОО7 =1-(1-А,)(1-А 2 ) Для одинаковых параллельных элементов формулы уп- рощаются: Л 1ОО2 =2 Л 2 • MTTR А = 1-(1-А) 2 - 2 • А- А 2 Замечание Из представленных соотношений следует, что данная методика исходит из предположения стопроцентного уровня диагностического охвата. Декомпозииия отказов на опасные Рис. 11.3 Рис. 11.4 / >ава 11 Проектная оценка надежности системы 715 и безопасные, обнаруженные и необнаруженные отказы не производится. Соответственно, в отличие от методики МЭК, ог{енка вероятности опасных необнаруженных отказов в данном случае не предусматривается. Поскольку MTTF = 1 / Л , то знание одного из этих показа- телей позволяет легко определить готовность: _ MTTF _ Л MTTF + MTTR Л + р Для дублированных элементов общий показатель MTTF можно найти из выражения Л 1оо2 =2 Л 2 MTTR = М Тогда _ _ _ MTTF 2 T002 Л 1ОО2 2 Л 2 " 2 MTTR Очевидно, что MTTF резервированных модулей сущест- венно увеличивает среднее время наработки на отказ по срав- нению с одиночным модулем. Как нам уже известно, для подсистем с архитектурой 2ооЗ общая интенсивность отказов ровно в три раза больше, чем для архитектуры 1оо2: Л 2 ООЗ = В Л 2 MTTR = м Соответственно, MTTF будет ровно в три раза меньше: м т т с 1 V М Т Т р 2 MTTF ^ = Л 2 ооз 6 Л 2 6 MTTR Еще раз необходимо обратить внимание, что как следует из представленных соотношений, здесь предполагается сто- процентный уровень диагностического охвата. Поэтому клю- чевые характеристики надежности стандарта IEC 61508 - ве- роятность и интенсивность опасного необнаруженного отказа - в данной методике расчета отсутствуют. Можно напомнить, что для архитектур 1оо2 и 2ооЗ эти характеристики опреде- ляются, как PFD 1OO2 =£ DU Ц- и PFD 2003 = ^ DU Т 2 too2 = 4и Т и Л 200 3 = з A 2du т соответственно. 716 Справочник инженера по А СУТП' Проектирование и разработка Замечание Знание среднего времени наработки на отказ MTTF само по себе не очень плодотворно, поскольку этот показатель не содержит предсказания, когда отказ на самом деле произой- дет, и какова вероятность отказа на межтестовом интер- вале. К тому же важно понимать, что MTTF — это совсем не среднее время жизни устройства, а общий индикатор на- дежности. Надежность на момент времени t = MTTF со- ставляет R(t) = 1 P(t) = е м =e t/MTTF =0.368. А соответствующая вероятность отказа имеет просто угрожающее значение: P(t) = 1 - R(t) = 63%, а вовсе не ноль, и девять в периоде. Для межтестового интервала Т 1 год более-менее прием- лемое значение надежности можно получить лишь для MTTF > 100лет : R(MTTF = 100- TJ = е- 001 = 0,99 Показатель стационарной готовности еще менее информа- тивен. Уже при самых скромных значениях MTTR = 8 часов и MTTF = 1 год (-8000 часов) MTTF + MTTR MTTF А если MTTF = 100 лет, то есть 8 10 5 часов, то готовность принимает и вовсе фантастическое значение: А = 1 -0.00001 - 0.99999 причем, как говорится, на ровном месте. Еще одна возможность для манипуляций - это искусст- венное сокращение MTTR. Если принять MTTR = 1 час, что вполне реально для современных модульных электронных сис- тем с исключительно высоким уровнем диагностики, то го- товность становится просто запредельной: А- 1 - 0.000001 = 0.999999 / Единственное, что может дать показатель готовности в практическом смысле - это количественная оценка стои- мости простоя и оборудования АСУТП, и технологического процесса. Нужно только использовать не абстрактные и слишком оптимистичные оценки MTTF и MTTR, а скорректи- ровать данный показатель по действительным потерям вре- мени и денег. В расчетах фактической готовности нужно / >ава 11 Проектная оценка надежности системы 717 использовать не абстрактное время восстановления, а фак- тические потери из-за отказов - и собственно средств ав- томатизации у и потери недополученной продукции. См. ГОСТ 24.701, п.2.3.3, "Комплексные показатели безотказности и ремонтопригодности: Коэффициент технического использо- вания системы ". Поскольку существуют группы параллельно работающих компонентов оборудования, например, модулей ввода-вывода, значительно превосходящих по количеству ординарное дуб- лирование, то соотношений для дублированных и троирован- ных подсистем может оказаться недостаточно. В монографии автора "Основы построения АСУТП взрывоопасных произ- водств" в главе 5 "IEC 61508 - Вероятность отказа. Альтер- нативные решения" было получено общее соотношение для интенсивности отказа резервированных элементов: Л / a v Т-Т + 1 MTTR П Т Лтооп = П - (п -1 ) •... • т - A dd • — —— = (п-т)! = (П - Т + 1) - С ПП Т + 1 • A ND DM+1 - MTTR П ' Т а в главе 4 "Теоретические основы надежности и безопасно- сти" - общее соотношение для стационарной готовности: = " f c r А п -'-(1-Ау i=0 Расчет надежности АСУТП. Переходим к непосредст- венным расчетам. Согласно исходным предпосылкам, первая методика будет предполагать не более и не менее, чем расчет надежности АСУТП в целом. В самом общем виде интенсив- ность отказов АСУТП может быть представлена следующим образом: ^ ACS = ^ D cs + ^ESD + ^PSS Индексы имеют следующие значения: ACS - АСУТП в целом, DCS - РСУ, ESD - ПАЗ, PSS - Система бесперебойного электропитания (Power Supply System). Соответствующее выражение для готовности (надежно- сти) АСУТП: А - А А А 'MCS DCS ™ESD ™PSS 718 Справочник инженера по А СУТП' Проектирование и разработка Дальнейшая последовательность действий сводится к де- композиции каждой из подсистем, и вычислению характери- стик надежности в зависимости от конкретной конфигурации. Детализация заканчивается теми блоками, модулями, компо- нентами подсистем, для которых известны интенсивности от- казов. На представленной ниже схеме показаны типичные устройства базовой конфигурации системы Centum CS 3000. Сеть Ethernet Рис. 11.5 В системе CENTUM базовые подсистемы называются станциями: • Операторские станции - станции технолога-оператора. • Полевые станции управления - контроллеры. • Инженерная станция. В соответствии с этим подразделением предположим, что РСУ имеет: • Две операторские станции - HIS, • Две станции управления - FCS, • Инженерную станцию - ENG. Допустим, что каждая из станций управления FCS имеет аппаратное резервирование вплоть до модулей ввода-вывода. Модули аналогового ввода-вывода, связанные с регулирова- нием, также резервированы. Дополнительное оборудование, установленное в промежуточных и кроссовых шкафах не ре- зервировано, за исключением блоков питания =24В. / >ава 11 Проектная оценка надежности системы 719 Далее предположим, что система противоаварийной за- щиты ESD построена на альтернативном специализированном оборудовании, и имеет архитектуру 2ооЗ. Для всего оборудования АСУТП (РСУ, ПАЗ, полевое оборудование) предусмотрим единую систему бесперебойного электропитания - Power Supply System - PSS, состоящую из собственно источника бесперебойного питания UPS (Uninter- ruptible Power Supply) и сопутствующего оборудования. Расчет начнем с наиболее громоздкой системы АСУТП - РСУ. Интенсивность отказов нашей простой, но вполне реаль- ной РСУ для выбранной конфигурации оборудования будет складываться из следующих компонент: Лdcs = 2 • Л 2Н1$ • MTTR + Л РС51 + A, FCS2 + J-ENG В данном выражении учтен тот факт, что станции опера- тора полностью дублируют функции контроля и управления, и отказ одной из операторских станций не приводит к отказу в выполнении функций контроля, управления и защиты, по- скольку на время восстановления контроль процесса может осуществляться со второй станции. Отказ же любой из стан- ций управления означает потерю функциональности. Поэтому интенсивность отказов операторских станций входит с выражением для дублированных подсистем, а интен- сивности отказов станций управления - линейно. Соответст- вующая готовность выражается следующим образом: А "DCS = 0 12 А А А FCS1 FCS2 ENG Mh,s + 2 • >A HfS • (1 A HIS )] • >4 FCS1 • Л FCS2 A ENG — = (2 • A HI$ — A HIS ) • A FCS1 • A FCS2 ' A ENG Для стандартной Станции Управления Участком FCS с блоком управления участком FCU, подключенным к узлам через шину RIO, используется: • Резервирование центрального процессора (CPU), • Резервирование блока управления участком FCU, • Резервирование шины RIO, а также • Опции монтажа в шкаф или в стойку. Шина дистанционного ввода-вывода RIO связывает FCU с узлами ввода-вывода и также имеет двойное резервирование (см. рис. 11.6). 720 Справочник инженера по А СУТП' Проектирование и разработка Архитектура дублированной станции управления FCS с шиной дистанционного ввода-вывода RIO Рис. 11.6 Блок управления участком (узел FCU) для МО. Блок управления участком FCU для RIO включает в себя плату цен- трального процессора, интерфейсные платы и блок питания. Для дуплексного FCU двойное резервирование имеют (см. рис. 11.7): • Процессорная плата, • Блок питания, / >ава 11 Проектная оценка надежности системы 721 • Аккумуляторный блок, • Интерфейсная плата шины RIO. Аккумуляторный блок Объединительный/ блок шины RiO •Блок питания f Интерфейсная плата шины RIO Процессорная плата Блок объединения Усети Аккумуляторный блок Блок внешнего интерфейса Панель распределения питания Воздушный Клеммы В/В фильтр питания Вентиляторный блок Рис. 11.7 Шина МО (рис. 11.8). Шина дистанционного ввода- вывода (шина RIO) подключает FCU к узлам ввода-вывода, и может иметь двойное резервирование. Узлы ввода-вывода не обязательно должны находиться в шкафу FCU, они могут на- ходиться на удаленном расстоянии. Для расстояний до 750 м используется кабель экранированной витой пары, а на более длинные расстояния до 20 км можно использовать повторите- ли шины или волоконно-оптические линии связи. Узлы (Nodes). Узлы состоят из блоков ввода-вывода, ко- торые осуществляют интерфейсную связь с аналоговыми и дискретными сигналами от полевых устройств, и интерфейс- ных блоков узла NIU, которые через шину RIO осуществляют связь с блоками управления участком FCU. Блоки дублированной корзины для установки моду- лей ввода-вывода - интерфейсные блоки - NIU. Интерфейс- ные блоки NIU включают в себя коммуникационные платы шины RIO и платы питания, и все они могут иметь двойное резервирование. 722 Справочник инженера по А СУТП' Проектирование и разработка Рис. 11.8 Блоки ввода-вывода (IOU). В состав блоков ввода- вывода входят гнезда для модулей ввода-вывода, включающие модули ввода-вывода, которые через кроссовые соединения подсоединяются к полевому оборудованию технологического процесса. Архитектура узла FCU с модулями ввода-вывода. Принимается следующая последовательность расчета надеж- ности станции управления: FCS = FCU + Nodes / >ава 11 Проектная оценка надежности системы 723 FCU (single field control unit) Рис. 11.9 Расчет будет приводиться в соответствии с логической блок-схемой для расчета надежности дублированного кон- троллера FCU с отображением тех устройств, которые будут резервироваться (см. рис. 11.6). Узлы рассчитываются по сле- дующей схеме: Node = NIU + l0U(l/0 Modules), где NIU - дублированный интерфейсный узел сопряжения модулей ввода-вывода с контроллером FCU. Пожалуй, самое сложное в проведении подобных расче- тов состоит не в громоздких вычислениях, а в нахождении достоверных данных об интенсивностях отказов базовых ком- понент системы. Далее в таблицах 11.2-11.4 приводятся неко- торые из проверенных на практике характеристик, дающих представление об уровне надежности современных средств автоматизации: • Барьеры искробезопасности • Реле • Автоматы питания 724 Справочник инженера по А СУТП' Проектирование и разработка • Модули ввода-вывода • Оборудование UPS. Во всех расчетах принимается, что среднее время восста- новления элемента системы, подсистемы, системы MTTR = 8 часов. Таблица 11.2 Данные о надежности модулей ввода-вывода РСУ Оборудование Интенсив- ность отказов (10 9 1/час) MTBF (час) Готов- ность AAI141 Аналоговый входной модуль (4 .20mA, 16-канальный, неизолированный) 3 000 333 333 0.999976 AAI841 Аналоговый модуль ввода-вывода (вход 4. 20mA, выход 4. 20mA, 8 входных каналов / 8 выходных каналов, неизолированные) 3 200 312 500 0.999974 ААР135 Частотный входной модуль (8-анальный, счетчик импульсов, 0 - 10kHz, каналы изолированные) 6 500 153 846 0.999948 ADV161 Дискретный входной модуль (64 канала, 24Vdc, 2 5mA, изолированный) 1 600 625 000 0 999987 ADV169 Дискретный входной модуль (64 канала, изолированный, общий минус на ка>кдые 16 каналов) 2 900 344 828 0 999977 ADV569 Дискретный выход- ной модуль (64 кана- ла, изолированный, общий минус на каждые 16 каналов) 4 400 227 273 0 999965 ALR121 RS-422/RS-485 Коммуникационный модуль (2 порта, 1200bps-115 2k bps) 2 400 416 667 0 999981 * В интенсивности отказов модулей учтены отказы, связан- ные с отказами разъемов. |