БАРАШКО О.Г.- ПСА-_лекции_-v.1
.7.pdf
MTTF=1/λ . (4)
MTTR (Mean Time to Repair) - среднее время на восстановление - время в часах, требуемое на восстановление исходной конфигурации системы после возникновения отказа. В расчетах чаще всего принимают значение MTTR = 8 часам (если величина MTTR специально не оговаривается производителем оборудования).
T1 – интервал времени между процедурами тестирования, в часах. Стандартом МЭК 61508 предусмотрен следующий диапазон времени тестирования:
один месяц (730 ч) – только для PFH;
три месяца (2190 ч) – только для PFH;
шесть месяцев (4380 ч);
один год (8760 ч);
два года (17520 ч) – только для PFD;
десять лет (87600 ч) – только для PFD.
β- коэффициент, учитывающий долю опасных необнаруживаемых отказов, имеющих общую причину возникновения. Стандартом МЭК 61508 предусмотрен следующий диапазон β: 2%, 10%, 20%.
βD - коэффициент, учитывающий долю опасных обнаруживаемых отказов, имеющих общую причину возникновения. Стандартом МЭК
61508 предусмотрен следующий диапазон βD: 1%, 5%, 10%.
DC – уровень диагностического охвата, %. Возможные диапазоны диагностического охвата представлены в таблице 2.
tCE и tGE - эквивалентное среднее время простоя канала и системы соответственно, в часах.
3 . 2 . 2 . Суть методики анализа надежности
Основная цель методики – сделать проектную оценку (расчет) уровня интегральной безопасности SIL по каждому контуру безопасности, а также параметры MTTF, PFD, PFH, SFF.
Ключевыми компонентами контура безопасности являются:
дискретные и аналоговые датчики;
входные дискретные и аналоговые модули;
модули центрального процессора;
выходные дискретные и аналоговые модули;
исполнительные механизмы (приводы).
Таблица 2 –Возможные диапазоны диагностического охвата DC
201 |
Барашко О.Г. Лекции по ПСА |
Компонент |
Диагностический охват |
|||
|
|
|||
Процессор: |
в сумме менее 70 % |
|||
- регистр |
50 % - |
70 % |
||
- внутренняя регистровая память |
50% |
- |
60% |
|
- блок кодирования и выполнения |
50 % - |
70 % |
||
- устройство вычисления адреса |
50% - |
60% |
||
- счетчик команд |
50 % - |
70 % |
||
-указатель стека |
40% - |
60% |
||
Шина: |
|
|
|
|
- модуль управления памятью |
50% |
|||
- устройство управления шины |
50% |
|||
Обработка прерываний |
40% - |
60% |
||
Кварцевый тактовый генератор |
50% |
|||
Контроль выполнения программы: |
40% - |
60% |
||
- временное |
||||
- логическое |
40% - |
60% |
||
- временное и логическое |
|
- |
|
|
Постоянная память |
50 % - 70% |
|||
Непостоянная память |
50 % - 70% |
|||
Дискретное оборудование: |
|
|
|
|
- цифровой ввод/вывод |
70% |
|||
- аналоговый ввод/вывод |
50% - |
60% |
||
- источник питания |
50 % - |
60 % |
||
Устройство связи и запоминающее |
90% |
|||
устройство большой емкости |
||||
|
|
|
||
Электромеханические устройства |
90% |
|||
Датчики |
50%—70% |
|||
Оконечные элементы |
50%—70% |
|||
202 |
Барашко О.Г. Лекции по ПСА |
Рисунок 1 – Структура контура безопасности
Для определения SIL системы, состоящей из множества отдельных подсистем, необходимо знать значения вероятности PFDSYS или PFHSYS для всей системы в целом.
Рисунок 2 – Структура подсистем связанных с безопасностью
Для нахождения значений PFDSYS или PFHSYS для системы, состоящей из подсистем датчиков, средств обработки сигнала и испол-
нительных устройств, необходимо сложить величины средней вероятности отказа этих отдельных подсистем:
PFDSYS = PFDS + PFDL + PFDFE; |
(5) |
или |
|
PFHSYS = PFHS + PFHL + PFHFE, |
(6) |
где SYS – система в целом; S – подсистема датчиков;
L - подсистема средств обработки сигнала;
FE – подсистема исполнительных устройств.
Расчет средних вероятностей отказа аппаратных средств системы основывается на следующих предположениях:
интенсивность отказов каждого элемента системы постоянна в течении стадии жизни системы;
интенсивность отказов аппаратных средств задаются для одного канала подсистемы;
интенсивность отказов и диагностический охват одинаковы для всех каналов в архитектуре подсистемы;
для каждой подсистемы существует единый интервал времени между тестовыми испытаниями и среднее время восстановления.
203 |
Барашко О.Г. Лекции по ПСА |
3 . 2 . 3 . Базовые архитектуры построения подсистем
Архитектуру каждой подсистемы образуют один или несколько модулей:
Рисунок 3 – Подсистема состоящая из двух модулей CPU
Архитектура 1oo1 – предполагает использование одного канала, и любой возникающий в ней опасный отказ приводит к нарушению функции безопасности при обращении к ней.
Структурная схема и схема расчета надежности архитектуры 1oo1 представлены на рисунках 4 и 5.
Рисунок 4 – Структурная схема архитектуры 1oo1
Рисунок 5 – Схема расчета надежности архитектуры 1oo1
На рисунке 5 показано, что канал можно рассматривать как состоящий из двух компонентов, одного с интенсивностью опасных отказов λDU, а другого с интенсивностью опасных отказов λDD. Эквива-
204 |
Барашко О.Г. Лекции по ПСА |
лентное среднее время простоя канала tCE можно рассчитать, суммируя времена простоя для двух компонентов, tC1 и tC2, прямо пропорционально вкладу каждого компонента в вероятность отказа канала:
|
; |
(7) |
λDU=λ·(1-DC)/2; |
|
(8) |
λDD=λ·DC/2; |
|
(9) |
PFDG,1oo1=(λDD + λDU)·tCE; |
|
(10) |
PFDG,1oo1= λDU |
. |
(11) |
Архитектура 1oo2 – представляет собой два канала, соединенных параллельно, так что любой из каналов в состоянии самостоятельно и независимо обеспечить выполнение функции безопасности. Следовательно, для нарушения функции безопасности опасные отказы должны возникнуть в обоих каналах. Предполагается, что любое диагностическое тестирование только сообщает о найденных сбоях и не может изменить ни выходные состояния каналов, ни результат голосования.
Структурная схема и схема расчета надежности архитектуры 1oo2 представлены на рисунках 6 и 7.
Рисунок 6 – Структурная схема архитектуры 1oo2
λDU |
λD
λDD
tCE
Отказ по общей причине
tGE
Рисунок 7 – Схема расчета надежности архитектуры 1oo2 |
|
Эквивалентное время простоя системы: |
|
; |
(12) |
PFDG,1oo2=2·((1-βD)· λDD+·(1-β)· λDU)2 ·tCE· tGE+ |
|
+βD· λDD·MTTR+ +β·λDU·(T1/2+MTTR); |
(13) |
PFDG,1oo2=2·((1-βD)· λDD+·(1-β)· λDU)2 ·tCE+ |
|
+βD· λDD+ +β·λDU |
(14) |
Архитектура 1oo2D – представляет собой два канала соединенных параллельно. При нормальной работе для выполнения функции безопасности необходимы два канала. Кроме того, если диагностическое тестирование обнаруживает отказ в любом канале, то результаты анализа устанавливаются так, чтобы общее выходное состояние совпадало с результатом, выдаваемым другим каналом. Если диагностическое тестирование обнаруживает отказы в обоих каналах или несоответствие между ними, причина которого не может быть идентифицирована, то выходной сигнал переводит систему в безопасное состояние. Для обнаружения несоответствия между каналами каждый канал может определять состояние другого канала независящим от другого канала способом.
Структурная схема и схема расчета надежности архитектуры 1oo2D представлены на рисунках 8 и 9.
205 |
Барашко О.Г. Лекции по ПСА |
206 |
Барашко О.Г. Лекции по ПСА |
PFHG,1oo2D=2·((1-β)· λDU·((1-β)· λDU+(1-βD)· λDD + λSD) ·tCE’+ |
|
+βD· λDD·MTTR+ +β·λDU·(T1/2+MTTR). |
(19) |
Архитектура 2oo2 - состоит из двух параллельных каналов. Каждый канал должен самостоятельно обеспечить выполнение функции безопасности для того чтобы она могла быть выполнена при обращении к ней.
Структурная схема и схема расчета надежности архитектуры 2oo2 представлены на рисунках 10 и 11.
Рисунок 10 – Структурная схема архитектуры 2oo2
Рисунок 11 – Схема расчета надежности архитектуры 2oo2
|
|
|
PFDG,2oo2 =2·λD· tCE ; |
(20) |
|
|
|
(16) |
PFDG,2oo2 =2·λDU . |
(21) |
|
|
|
|
Архитектура 2oo3 - состоит из трёх каналов, соединенных парал- |
||
|
|
|
лельно с мажорированием выходных сигналов так, что |
выходное со- |
|
|
|
(17) |
стояние не меняется, если результат, выдаваемый одним из каналов, |
||
|
|
отличается от результата, выдаваемого двумя другими каналами. |
|||
PFDG,1oo2D=2·((1-β)· λDU·((1-β)· λDU+(1-βD)· λDD + λSD) ·tCE’· tGE’+ |
|
Структурная схема и схема расчета надежности архитектуры 2oo3 |
|||
|
представлены на рисунках 12 и 13. |
|
|
||
+βD· λDD·MTTR+ +β·λDU·(T1/2+MTTR); |
(18) |
|
|
||
|
|
|
|||
207 |
Барашко О.Г. Лекции по ПСА |
208 |
Барашко О.Г. Лекции по ПСА |
||
Канал
Диагностика
Канал 2oo3
Канал
Рисунок 12 – Структурная схема архитектуры 2oo3
Рисунок 13 – Схема расчета надежности архитектуры 2oo3
PFDG,2oo3=6·((1-βD)· λDD+·(1-β)· λDU)2 ·tCE· tGE+ |
|
+βD· λDD·MTTR+ +β·λDU·(T1/2+MTTR); |
(22) |
PFHG,2oo3=6·((1-βD)· λDD+·(1-β)· λDU)2 ·tCE· tGE+ |
|
+βD· λDD+β·λDU . |
(23) |
3 . 2 . 4 . Процедура расчета
Во всех расчетах принимаются следующие значения параметров:
β= 2%, βD = 1%, T1 = 10 лет, MTTR = 8 ч.
1.4.1Расчет средней вероятности опасного отказа для
низкого уровня требований по исполнению функции безопасности
Для определения PFD для каждой из подсистем необходимо строго придерживаться следующей процедуры:
1) рисуют структурную схему, изображающую компоненты подсистемы датчиков (датчики, защитные барьеры, входные согласую-
209 |
Барашко О.Г. Лекции по ПСА |
щие цепи), компоненты логической подсистемы (процессоры, модули ввода/вывода) и компоненты подсистемы оконечных элементов (выходные согласующие цепи, защитные барьеры и исполнительные механизмы). Представляют каждую подсистему соответствующей голосующей группой 1oo1, 1oо2, 1002D, 2оо2 или 2оо3. Определяют интенсивности отказа для каждого элемента. Определяют диагностический охват DC для каждой подсистемы/компонента из таблицы 2.
2)применяют соответствующие таблицы 3 – 6, в которых приведены шестимесячные, годовые, двухлетние и десятилетние интервалы между процедурами тестировании.
3)для каждой голосующей группы в подсистеме выбирают из таблиц 3 - 6:
- архитектуру (например 2оо3); - диагностический охват для каждого канала (например 60 %);
- интенсивность отказов для каждого канала;
4)получают из таблиц 3 - 6 среднюю вероятность отказа в обслуживании для голосующей группы;
5)если функция безопасности зависит от нескольких голосующих групп датчиков или исполнительных механизмов, то совокупную среднюю вероятность отказа в обслуживании дли подсистемы датчи-
ков PFDS или подсистемы оконечных элементов PFDFE определяют по следующим формулам:
(24)
(25)
где PFDi и PFDj - средние вероятности отказа в обслуживании для каждого из голосующем группы датчика или оконечного элемента, соответственно;
6) определяют значение вероятности всей системы PFDSYS по формуле 5;
7) определяют значение интенсивность отказов по формуле 1 для каждого контура и среднее время наработки до отказа MTTF по формуле 4;
8) используя результат расчета средней вероятности отказа и таблицу 1 определяют уровень интегральной безопасности системы.
210 Барашко О.Г. Лекции по ПСА
