Поделив числитель и знаменатель в (1) на n(0), получим:
λ =−()t
1 dP t( ). (2)P t( ) dt
Выражение для функции распределения длительности без отказной работы P(t) можно получить, решая дифференци альное уравнение (2) при начальном условии P(0) = 1:
⎛ t ⎞
P t()= exp⎜− λ∫ ( )t dt⎟ . (3)
⎝ 0 ⎠
Вероятность отказа Q(t) по определению равна:
Q t()= −1 P t(). (4)
Интенсивность отказов λ(t) обычно быстро уменьшается в начале эксплуатации изделия (период приработки), затем длительное время остаётся постоянной λ(t) = λ = const и по сле исчерпания срока службы резко возрастает.
Поскольку для средств промышленной автоматизации, как правило, указывают значение λ = const, выражение (3) в этом случае упрощается:
P t( ) = e−λt . (5)
Таким образом, вероятность безотказной работы устройст ва в интервале времени от t = 0 до t экспоненциально умень шается с течением времени, если устройство прошло этап приработки и не выработало свой ресурс. Эта вероятность не зависит от того, как долго устройство проработало до начала отсчёта времени [3, 10], то есть не играет роли, используется бывшее в употреблении устройство или новое. Это кажущее ся парадоксальным утверждение справедливо только для экспоненциального распределения и объясняется тем, что выражение (5) получено в предположении, что снижение ре сурса изделия с течением времени не происходит, а причины отказов распределены во времени в соответствии с моделью белого шума.
Вероятность отказа за время t по определению равна F(t) = 1 – P(t), а плотность распределения времени до отказа f(t) (частота отказов) является производной от функции распре деления
dF t( ) d[1− P t( )]
f t( ) =
= (6) dt dtи для экспоненциальной функции распределения (5) равна f t( ) = λe−λt . (7)
Зная плотность распределения (7), можно найти среднюю наработку до первого отказа Тср, которая по определению яв ляется математическим ожиданием случайной величины длительности безотказной работы t, то есть
∞ ∞Тср tf t dt( ) te dt
. (8)0 0
Интегрирование в (8) выполняется по частям.
Наработка на отказ Tср является основным параметром, который указывается в эксплуатационной документации на электронные средства промышленной автоматизации. По скольку при t = Tср из (5) получается P(Tср) = 1/e = 0,37, то наработку на отказ можно интерпретировать следующим об разом: если в системе автоматизации имеется 100 модулей вводавывода, то через время Tср после начала эксплуатации останется в среднем 37 работоспособных и 63 отказавших модуля. Иногда наработку на отказ неправильно интерпре тируют как время, в течение которого устройство почти на верняка будет работоспособно, и только после истечения этого времени наступит отказ.
При анализе надёжности систем, связанных с безопасно стью, вместо вероятности отказа используется понятие «ве роятность отказа при наличии запроса» [2], то есть вероят ность отказа при наличии необходимости быть в состоянии готовности. Например, если рассматривается система охра ны нефтебазы, то нужно учитывать вероятность отказа сис темы во время попытки проникновения нарушителей на ба зу, а не в то время, когда их нет. Отсюда следует вывод, что с точки зрения надёжности охраны нужно рассматривать ве роятность несрабатывания датчика охранной сигнализации в интервале времени, в течение которого может появиться нарушитель, и не нужно учитывать вероятность ложного срабатывания системы, поскольку она не влияет на выпол нение функции охраны. Классическая же теория надёжности учитывает оба вида отказов.
В системах, связанных с безопасностью, наработка до от каза рассматривается отдельно для опасных и безопасных от казов. Безопасным считается отказ, не вызывающий опас ную ситуацию на объекте. Рассмотрим, например, систему аварийного отключения, в которой исчезновение питания приводит к обесточиванию обмотки реле, и поэтому реле от ключает нагрузку, переводя её тем самым в безопасное со стояние. В такой системе отказ источника питания обмотки реле является безопасным отказом и поэтому не учитывается при расчёте вероятности отказа при наличии запроса. Одна ко отказ такого же источника питания в системе автоматиче ского пожаротушения, когда необходимо, наоборот, подать напряжение на насосы, рассматривается как опасный отказ. Поэтому средняя вероятность отказа при наличии запроса в двух рассмотренных системах будет различной, несмотря на применение блока питания с одним и тем же значением на работки до отказа.
Учёт обычной наработки до отказа при проектировании систем безопасности может привести к неоправданно зани женным показателям надёжности и невозможности дости жения требуемого уровня безопасности.
Фактические значения наработки до отказа систем с резер вированием оказываются гораздо ниже расчётных. Это связа но с существованием так называемых отказов по общей при чине (ООП), которые происходят одновременно у основного элемента и резервного и которые составляют основную долю отказов в системах автоматизации. Предположим, например, что резервированная система находится в помещении, кото рое оказалось затопленным водой или охваченным пожаром. Отказ основного элемента и резерва при этом наступит одно временно. Другим примером может быть одновременный об рыв основного и резервного кабеля в результате земляных ра бот. Третьим примером может быть применение двух кон троллеров с процессорами из одной и той же партии, которая была изготовлена с применением просроченной паяльной пасты. Следующим примером может быть применение двух датчиков давления одной и той же конструкции, от одного и того же производителя, которые окислились и разгерметизи ровались одновременно. Электромагнитный импульс мол нии или импульс в сети электропитания может явиться при чиной отказа основного и резервного оборудования одновре менно. Во всех приведённых примерах существует сильная корреляция между случайными величинами, вызывающими отказ основного и резервного элемента.Для уменьшения коэффициента корреляции (снижения влияния общих причин отказов) нужно по возможности вы бирать элементы системы от разных производителей, выпол ненные на разных физических принципах, с применением различных материалов, различных технологических процес сов и с разным программным обеспечением. Основное и ре зервное оборудование, включая кабели, датчики и исполни тельные механизмы, желательно разносить территориально, а монтаж основной и резервной системы должны выполнять разные люди, чтобы исключить появление одинаковых оши бок монтажа и одинаково ошибочную интерпретацию руко водства по эксплуатации монтируемого изделия.
Общие факторы, влияющие на всю систему, учитываются в моделях отказа как последовательно включённое звено со своей наработкой на отказ.
Несмотря на существование большого разнообразия ме тодов резервирования, в промышленной автоматизации по лучили распространение только два из них: «горячее» резер вирование замещением (hot standby) и метод голосования (2oo3 — 2 out of 3 voting, 1oo2 voting и др.). Реже использует ся «тёплый» резерв (warm standby).
Целью резервирования может быть обеспечение безотказ ности или обеспечение безопасности. Методы резервирова ния, используемые для достижения этих двух целей, сущест венно различаются. Основное различие состоит в том, что для обеспечения безопасности достаточно снизить вероятность только опасных отказов, в то время как для обеспечения без отказности требуется обеспечить работоспособность системы при всевозможных отказах. Поэтому системы, связанные с безопасностью, получаются проще, чем отказоустойчивые системы, при условии одинаковой наработки до отказа.
В основе метода резервирования лежит очевидная идея за мены отказавшего элемента исправным, находящимся в ре зерве. Однако реализация этой идеи часто становится доста точно сложной, если необходимо обеспечить минимальное время перехода на резерв и минимальную стоимость обору дования при заданной вероятности безотказной работы в те чение определённого времени (наработки).
Для замены отказавшего элемента достаточно иметь ре зервный (запасной) элемент на складе. Однако продолжи тельность ручной замены составляет единицы часов, что для многих систем автоматизации недопустимо долго. Сокра тить время вынужденного простоя позволяет применение контроллеров и модулей вводавывода с разъёмными клемм ными соединителями и с возможностью «горячей» замены [11] при условии наличия развитой системы диагностики не исправности. Для обеспечения «горячей» замены необходи мо предусмотреть следующее:
● защиту от статического электричества, которое может воз никать на теле оператора, выполняющего замену устройства; ● необходимую последовательность подачи напряжений пи тания и внешних сигналов (для этого используют, напри мер, разъёмы с контактами разной длины и секвенсоры внутри устройства);