Глава 13. Выбор и построение надежных и эффективных АСУТП 887
Заниматься этим в комплексе - от обследования техноло- гического объекта до разработки специального программного обеспечения - должны специально определенные для этих задач специальные организации, специально уполномоченные
Ростехнадзором.
И проверять адекватность "максимально приближен-
ных к реальным динамических моделей процессов", и да-
вать разрешение на их использование должен собственно
автор идеи - технадзор.
При этом не надо забывать, что основные усилия по управлению процессом должны быть направлены на обеспе- чение СТАБИЛЬНОСТИ производства, нежели выбрасывать время и деньги на бесконечный поиск и уточнение макси- мально приближенных к реальным "динамических" моделей нестабильной установки. В предыдущей главе были представ- лены методы усовершенствованного управления технологиче- ским процессом, способные привнести на установку значи- тельный позитивный эффект.
Поэтому совершенно нереальную для подавляющего большинства наших теперешних предприятий формулировку
Правил в части "реальных динамических моделей" необходимо ослабить, сделав основной упор на отработку навыков предот- вращения и устранения аварийных ситуаций - отработку Пла- на локализации и ликвидации аварийных ситуаций:
"С этой целью предприятия должны иметь компьютер-
ные тренажеры с моделированием режимов технологическо-
го процесса, необходимых для первоначального освоения и по-
следующего подтверждения знаний:
• Системы управления,
• Процедур пуска, планового и аварийного останова, и
• Для отработки Плана локализации и ликвидации ава-
рийных ситуаций (ПЛАС)".
Сценарии ПЛАС по поручению предприятия должны
разрабатываться Проектной организацией. Собственно
тренажерные комплексы должны разрабатываться спе-
циализированными организациями, уполномоченными на
то органами технадзора.
888
Справочник инженера по А СУТП' Проектирование и разработка 13.32. Приемо-сдаточные испытания Программа и методика приемо-сдаточных испытаний должны быть подготовлены самым подробным и тщательным образом с тем, чтобы проверка на
соответствие проекта и самой системы требованиям Технического задания дала возможность полностью удостовериться в этом соответствии.
Особого внимания требует проверка реакции системы на:
•
Технологические нарушения;
• Отказы полевого оборудования;
• Отказы компонентов основного оборудования системы управления и защиты.
Глава
"Программа и методика испытаний АСУТП" на- стоящей работы специально посвящена подробнейшему раз- бору процедуры приемо-сдаточных испытаний.
13.33. Оценка требуемого количества запасных частей Знание среднего времени наработки на отказ
MTBF по- зволяет сделать оценку количества запасных частей
NSPARE, необходимого для обеспечения работоспособности системы в течение всего жизненного цикла системы.
Это количество можно оценить исходя из пропорции:
=
J i ™ ^
о т к у д а
N TOTAL MTBF N
SPARS = N
total
^ ^
Г , где
Ntotal общее количество каких-либо однотипных компонентов, элементов, или модулей системы;
Тюти - предполагаемое время работы системы до ее списания.
Проделаем несложные расчеты количества и процента за- пасных частей к исходному количеству оборудования для предполагаемого времени жизни системы
TTOTAL =
1 0 л е т , и примем число используемых элементов (например, входных модулей)
Ntotal
=
200 штук. Глава 13. Выбор и построение надежных и эффективных АСУТП 889
Таблица 13.5 " * ; я (1/час) ' t,OS-OS
1.0Е-О6 1,0Е-07
MTBF=1/Я: 11,42 года
114 лет
1141 год
:-fy " } -
•"^шт * tO лет
10 ш т
10 лет
R = exp(-ATT07AL): 0,416 0,916 0,991
;
% о т т т : 5в,зе%
8,39%
0,87%
N : 14 TOTAL 200 200 200
' • „
'Jtqtal * ,
175,2 17,52 1,752
Требуемый % запчастей (NSPAR£/Ntotal) 100%: 87,6% 8,76% 0,876% Представленная таблица 13.5 ясно показывает, насколько важно для конечного потребителя знать истинные характери- стики надежности оборудования.
Таблица предъявляет довольно жесткие требования к на- дежности элементов системы:
Для обеспечения обычного процента запаса в 10% среднее время наработки на отказ должно быть в районе ста лет. С другой стороны, если производитель или поставщик оборудования имеет, и готов предоставить сведения об интен- сивности отказов, то стандартное требование 10% запаса мог- ло бы претерпеть значительные изменения.
Появилась бы возможность сделать индивидуальную оценку по каждому из компонентов оборудования. Таким об- разом, мы могли бы оперировать не только исходной ценой оборудования, но и с достаточной точностью определить и стоимость дальнейшей эксплуатации.
Вопрос в том, а готов ли
производитель предоставить эти сведения, и насколько достоверны его данные?
И главное: а продуктивны ли вообще средние оценки и»» тенсивности отказов?
890 Справочник инженера по А СУТП' Проектирование и разработка
13.34. Методы оценки параметров надежности
Перед производителем оборудования встает непростая за- дача:
Каждый отдельный компонент системы состоит, в свою очередь, из большого количества собственных компонентов, произведенных к тому же самыми разными изготовителями.
И единственный достоверный, и одновременно нереаль- ный способ проверки или доказательства заявленных характе- ристик - дождаться полного отказа этих самых двух или скольки-то еще сот модулей, причем в реальных условиях ре- альной эксплуатации на площадке заказчика.
Существующие методы оценки надежности электронных систем подразделяются на две основных категории:
1. Методы предсказания надежности.
2. Методы демонстрации надежности.
13.35. Методы предсказания надежности
Существуют общепризнанные методы предсказания на- дежности, выраженные в стандарте Министерства обороны
США M1L-HDBK-217, или отчетах типа Bellcore Technical
Reference TR-332 "Reliability Prediction Procedure for Elec-
tronic Equipment" но практически все производители, так или иначе, приспосабливают эти методики под свой опыт и под свою продукцию.
Одним из основных факторов воздействия на интенсив- ность отказов является температура. Влияние температуры на скорость прохождения химических и физико-химических про- цессов выражается классическим уравнением Аррениуса, от- ражающем экспоненциальный рост скорости реакции с ростом температуры:
R(T) = R
0
Е
КТ
где
R
0
- Предэкспоненциальный множитель;
Е - Энергия активации (eV);
К - Константа Больцмана, 8.6-10
5
eV/К ;
Т - Абсолютная температура в градусах Кельвина.
Глава 13. Выбор и построение надежных и эффективных АСУТП 891
Физические и химические процессы, приводящие к уве- личению количества отказов, также в основном непосредст- венно связаны с температурой.
Для оценки температурного фактора увеличения числа
отказов используется следующее соотношение, отражающее экспоненциальный рост тепловой нагрузки на элемент с рос- том температуры:
Т0 - Базовая температура;
Г, - Рабочая температура; к
т
- Температурный фактор.
Это соотношение используется при лабораторных испы- таниях, в том числе и для сокращения общего периода испы- таний, и определения тепловой устойчивости оборудования.
Если известна оценка интенсивности отказов при базовой температуре
Т0, то интенсивность отказов при температуре Г, определяется умножением базовой интенсивности отказов электронных компонентов Л
в на температурный фактор к
1
:
Для остальных факторов риска:
• Качества компонентов
(Quality); • Нагрузки
(Stress); • Напряжения
(Electricity), и т.д. также разработаны соответствующие методики оценки. В ито- ге формируется кумулятивное значение интенсивности отка- зов комплектного изделия (блока, модуля, ...):
Компания Tyco Electronic Соф. в своем отчете "
Reliability Concepts for Electronic Power Supplies2001, приводит ре- зультаты сравнения расчетной интенсивности отказов и сред- него времени наработки на отказ для своих блоков питания по трем известным методикам:
• Стандарт Министерства обороны США MIL-HDBK-217, Reliability Prediction of Electronic Equipment, U.S. Department of Defense; Ac(T1) = AB(T0).x л 1С „С v^ hi IB _r S _£
Л
— я ' 2-
W, -Л, • 7t, • /Г,
7Г, 7Tt • ..
892 Справочник инженера по А СУТП' Проектирование и разработка
• Bellcore TR-332, Issue 6, Reliability Prediction Procedure
(RPP) for Electronic Equipment, Telcordia Technologies;
• Tyco Reliability Information Notebook, (RIN).
Результаты просто удручающие - они расходятся в два- четыре раза (см. таблицу 13.6).
Таблица 13.6
Параметр
RIN
RPP
MIL-HDBK
Интенсивность
отказов (Fits)
729
1291
2714
MTBF 10
3
часов
1372
775
368
MTBF в годах
157
88
42
Нижеследующий график наглядно демонстрирует, что для методик RIN и MIL прогноз на десятилетний период дает соотношение 76% к 95%, а на двадцатилетний - 62% к 88% вероятности выживания.
1,о г
88%
62%
10
Время в годах
Рис. 13.18
В чем причины такого значительного расхождения?
1. Во-первых, в своих расчетах производители используют разные базы данных по базовой интенсивности отказов электронных компонентов Af .
Глава 13. Выбор и построение надежных и эффективных АСУТП 893 2. Во-вторых, результат в существенной степени зависит от полноты и подробности включения электронных компо- нентов в расчет: п и Л/,.
3. В-третьих, конкретные значения факторов корректировки по следующим показателям:
— качеству деталей к®,
- рабочей температуре п] ,
- нагрузке /r,
s
,
— напряжению xf практически всеми производителями устанавливаются исходя из собственного опыта.
Поэтому при выборе конкретных технических устройств, предназначенных для систем безопасности, пользователь дол- жен обратить внимание не только на итоговые значения ин- тенсивности отказов или времени наработки на отказ, но и присмотреться к методикам, по которым эти значения были получены.
Как мы только что имели возможность убедиться, в зави- симости от исходных предпосылок и методик
результаты рас- четов значительно расходятся, и могут ввести в заблуждение кого угодно.
13.36. Методы демонстрации надежности Наиболее продуктивными методами демонстрации явля- ются процедуры всесторонних испытаний продукции на са- мых жестких условиях:
• По температуре,
• По перепадам напряжения,
• По вибрации,
• По влажности.
При этом на первоначальных этапах испытаний для опреде- ления экстремальных границ существования оборудования, ис- пытания проводят до полного разрушения
(Destruct Limits). Окончательные испытания оборудования проводятся в бо- лее узких пределах
(Precipitation Screen, Detection Screen), но, тем не менее, выходящих за конечный рабочий диапазон (см. рис. 13.19).
894
Справочник инженера по А СУТП' Проектирование и разработка Stress Рис. 13.19 13.37.
Соотношения цены отказа для главных архитектур Конечно, можно думать, что вероятности отказа совре- менных электронных систем настолько малы, что трех или четырехкратное увеличение не играет особой роли.
Но если одна архитектура отказывает
• 1 раз в 1 условную единицу времени,
• другая - 3 раза,
• третья - 4,
• а четвертая - 12 раз, то надо хотя бы знать об этом.
Естественно, речь идет о соотношениях вероятностей от- каза для основных архитектур, которые были получены в мо- нографии автора "Основы построения АСУТП взрывоопасных производств", Синтег, 2006:
lm№ 12Ш /" = 1 / 3 / 4 / 1 3
И спорить с этим результатом не приходится:
Добавление второго элемента в канал вдвое увеличивает интенсивность отказа канала. А поскольку вероятность отказа и дублированной, и троированной системы связана с интенсивностью квадратичной зависимостью, то веро-ятность отказа увеличивается вчетверо. В данном случае - это цена, которую надо заплатить за повы- шенный уровень диагностики состояния канала.
Глава 13. Выбор и построение надежных и эффективных АСУТП 895
Нельзя выдавать средство диагностики, - два работаю- щих канала из трех возможных в архитектуре 2ооЗ, а средство повышения уровня самодиагностики, - два работающих на одной плате процессора в архитектуре 2*2 ("2оо4") - за резер- вирование каналов.
Архитектуры 2ооЗ и "2оо4" имеют столько каналов, сколько они имеют: первая - 3, вторая - 2. Разница между ни- ми состоит в том, что в архитектуре 2ооЗ резервные каналы являются средством диагностики, и после отказа одного кана- ла два оставшихся составляют последний рубеж, на котором архитектура способна сохранять самоконтроль.
Для архитектуры "2оо4" отказ одного из процессоров оз- начает отказ канала, - именно это и выражено формулой 4-2-
0. Эта архитектура по определению не может работать по схе- ме 4-3-2-1-0, ведь у нее только два канала, а не четыре. Еди- ничный отказ процессора на одном модуле выводит из работы сразу два процессора, то есть весь канал целиком. Отказ двух процессоров, находящихся на двух разных модулях означает полный отказ системы. Именно по этой причине архитектуры "2оо4" не рассматриваются в качестве самостоятельных архи- тектур в стандарте IEC 61508.
Архитектуры loo2D занимают самое достойное место в общей иерархии систем - то есть принадлежат к тому классу систем, которые имеют самые высокие показатели по надеж- ности и безопасности из ныне существующих, и без всяких натяжек. Уникальность систем loo2D вне зависимости от числа процессоров на плате состоит совершенно в другом:
2 набора модулей управления в сочетании с двумя на-
борами диагностических цепей создают уникальную че-
тырехполюсную архитектуру, которая имеет минимально
возможную вероятность ложных срабатываний, и мини-
мально возможную вероятность опасных отказов среди
всех известных на сегодня архитектур.
В завершение остается представить важнейшие результа- тов автора настоящей работы, впервые представленные в мо- нографии "Основы построения АСУТП взрывоопасных про- изводств", в 2-х томах, Синтег, 2006. Это - соотношения для вероятности и интенсивности опасного отказа, а также веро- ятности и интенсивности ложного срабатывания для систем произвольной архитектуры, отсутствующие в IEC 61508.
896
Справочник инженера по А СУТП' Проектирование и разработка 13.38. Общие решения для вероятности опасного отказа системы В стандарте IEC 61508 общие решения
не просто отсутст- вуют: для представленных в стандарте
IEC 61508-6 решений для элементарных архитектур lool, 1оо2, 2оо2, loo2D, 2ооЗ не указывается и даже не рассматривается способ их получе- ния. В данном разделе представлены общие соотношения для расчета вероятности отказа систем безопасности
произволь-ной архитектуры MooN на границах интервала диагностики.
Общее решение для PFD в случае обнаружения опас-ных отказов только во время автономного тестирования (DC=0). Вероятность опасного необнаруженного отказа оди- ночного канала на момент времени
t равна
ЛDUt. Для резерви- рованных систем безопасности типа
MooN (М out of N) веро- ятность отказа
(пчт+1) каналов на момент времени
t в общем случае будет определяться числом сочетаний
(пчт+1) отка-
завших каналов из п возможных, и теоремой умножения веро- ятностей независимых событий:
сп п—1- ( Я о и • t y -m Тогда среднее значение вероятности отказа в течение межпо- верочного интервала определится усреднением по времени:
PFDAVG [DC = 0]= C;- m+1
• ] (ADU •
T)^' •
D T / T , ,
или
0 PFDavg[DC = 0] = СГ• (Лои • T;rm+' /(n-m + 2), Сn-m+1 „ , .. n
- число сочетании
(n-m+1) отказавших каналов из п возможных:
Qn-m+1 _
П[ =
п!_ (п-т + 1)!{п -(n-m + 1))l (п - т + Щт -1))! Общее решение для PFH в случае обнаружения опас-ных отказов только во время автономного тестирования (DC=0). Аналогично предыдущему, для резервированных сис- тем безопасности типа
MooN (М out of N) вероятность опас- ного отказа одного канала, и вероятность отказа
(пчт+1) ка- налов в интервале времени
[OFTJ равны
ЛоиТ1 и
Сп-т +1 (л т \п -т + 1 п '{a
D
u Ч) соответственно.
Скачать 6.47 Mb.