МАТЕМАТИЧЕСКИЕ МОДЕЛИ ФУНКЦИОНИРОВАНИЯ

Основная проблема надежности технических систем

Проблемы создания высоконадежных систем

Сложные технические системы должны длительное время работать безотказно. Это требование диктуется необходимостью обеспечения высокой их эффективности, безопасности, живучести, готовности и других показателей качества.

Сложные системы состоят из десятков и сотен тысяч элементов, а время их работы исчисляется тысячами часов.

К таким системам предъявляются высокие требования по надежности. Например, вероятность безотказной работы Р(t)≥0,99, коэффициент готовности K_г≥0,98. Удовлетворяют ли таким требованиям современные технические системы?

Пусть система состоит из n = 1000 элементов, длительность ее работы — 2000 час, элементы, из которых состоит система, высоконадежны, имеют постоянную интенсивность отказов, среднее значение которой λ = 0,2 10^-6 час^-1.

Вероятность безотказной работы такой системы будет:

Такая система эксплуатироваться не может по причине низкой надежности: вероятность ее отказа превосходит требуемую (q = 0,01) в 33 раза. Для повышения ее надежности применим структурное резервирование. Расчеты показывают, что для обеспечения вероятности безотказной работы системы Р_с(2000) = 0,99 необходимо иметь 5 резервных систем в случае резервирования с постоянно включенным резервом и две резервные системы в случае резервирования замещением при условии, что автомат контроля и коммутации, обеспечивающий подключение резервной системы при отказе основной, идеальный в смысле надежности.

Существенно повысить работоспособность системы может восстановление резервированной системы при условии, что ремонт осуществляется без выключения системы. Расчеты показывают, что вероятность безотказной работы системы Р_с(2000) = 0,99 можно обеспечить при восстановлении дублированной системы со средним временем восстановления T_в≤100 час. При T_в = 100 час Р_с(2000) = 0,993.

Однако такой метод не всегда возможен. Нельзя ремонтировать двигатель или систему управления самолета в полете, спутника связи на орбите, океанский лайнер в плавании. Нельзя осуществлять ремонт техники в ее рабочем состоянии, если ремонт должен осуществляться в специальных мастерских. Следует также иметь в виду, что техническая реализация этого способа требует наличия системы диагностики отказов, что может привести к понижению надежности резервированной системы. Не следует также забывать, что резервирование существенно повышает стоимость системы, ее вес и габариты. В нашем случае при применении резервирования стоимость системы возрастет в 6 раз при общем резервировании и в 3 раза при резервировании замещением. На практике резервирование с восстановлением применяется редко. Причин для этого достаточно.

Надежность элементов непрерывно увеличивается. Появление материалов высокой прочности, защищенных от коррозии, твердых схем, не требующих большой энергии для их питания, существенно уменьшили интенсивность отказов элементов. Однако сложность технических систем и требования к показателям их надежности растут с такой же скоростью, как и надежность элементов. Поэтому надежность многих сложных технических систем практически не растет. В этом основная проблема надежности техники.

3.4.2. Технические проблемы обеспечения надежности сложных систем

Основным способом повышения надежности является структурное резервирование. При этом наиболее эффективным считается раздельное (поэлементное) резервирование. Такой вывод следует из теории. Он безусловно верен, но без учета практической реализуемости раздельного резервирования.

Пусть необходимо защитить систему управления от отказа дифференцирующей цепи, обеспечивающей устойчивость системы. Схема цепи приведена на рис. 3.6.

Передаточная функция дифференцирующей цепи имеет вид:

где Т = RС — постоянная времени цепи.

Применим поэлементное резервирование для повышения надежности цепи. Резистор наиболее часто отказывает из-за обрыва. Тогда для повышения надежности необходимо включить параллельно еще один резистор. Какой же величины должно быть сопротивление резервного резистора? Еели его сопротивление равно R (резистор такой же, как и основной), то общее сопротивление цепи с двумя параллельно включенными резисторами будет R/2, т. е. постоянная времени дифференцирующей цепи уменьшится вдвое и не обеспечит устойчивости системы. Если же оба резистора будут иметь сопротивление 2R, то цепочка будет иметь общее сопротивление R, но при отказе одного из резисторов (основного или резервного) сопротивление возрастет в 2 раза и вновь постоянная времени цепи выйдет за допустимые пределы. Наступит отказ системы управления. Таким образом, дублирование резистора привело к понижению надежности. В подобных случаях применяется резервирование с дробной кратностью.

Предположим, что устойчивость системы управления будет обеспечена, если сопротивление резистора изменится не более чем на 1/3. При таком условии защитить систему от одного отказа можно, включив параллельно 3 резистора, каждый из которых имеет сопротивление 3R. Кратность резервирования будет т = 1/2.

Конденсатор имеет два вида отказов — обрыв и короткое замыкание (пробой). Поэтому его резервирование можно осуществить только путем последовательно-параллельной схемы (рис. 3.7).

Таким образом, дифференцирующая цепь повышенной надежности будет иметь вид, показанный на рис. 3.8.

Обратим внимание на то, что схема защищена только от одного отказа. При отказе любых двух элементов постоянная времени Т может измениться на недопустимую величину, и устойчивость системы не будет обеспечена. Более того, эта схема не защищена от короткого замыкания конденсатора. Действительно, при коротком замыкании любого конденсатора емкость цепи увеличивается вдвое, т. е. вдвое увеличится постоянная времени Т.

Таким образом, мы создали схему, которая защищена лишь от одного отказа — типа обрыв, увеличив число элементов в 3,5 раза. При этом надежность схемы от короткого замыкания уменьшилась.

Подобные эффекты имеют место при резервировании любого электротехнического элемента и даже схемы, например: фильтра, реле, предохранителя и т.д.

Применить здесь общее резервирование (всей дифференцирующей цепи) вряд ли возможно, т. к. для этого потребуется автомат контроля и коммутации, который будет более сложным, чем цепочка RС, а значит, менее надежным, чем дифференцирующая цепь.

Приведем еще один пример. Для повышения надежности энергетической системы решено использовать дублирование генераторов. Пусть основной генератор имеет мощность W . Если резервный генератор будет иметь такую же мощность, то постоянное резервирование приведет к большому избытку мощности. Поэтому генераторы (основной и резервный) берут меньшей мощности, но тогда при отказе одного из них другой будет работать с перегрузкой. Экономически является более целесообразным применить резервирование с дробной кратностью т = 1/2, т. е. использовать три генератора, каждый из которых имеет мощность W/2. Тогда при отказе одного из них энергетическая система будет исправной, т. к. ее общая мощность станет равной W. При отказе двух генераторов наступит отказ системы, возникший из-за перегрузки системы. Однако такое резервирование приведет к снижению надежности энергетической системы длительной непрерывной работы, т. к. ее среднее время безотказной работы Т = 5/6·Т₀, где Т₀ — среднее время безотказной работы нерезервированного генератора. Такая схема позволяет повысить надежность энергетической системы короткого времени работы.

Система может иметь большой выигрыш в надежности при возможности ее ремонта без выключения из работы на период ремонта отказавшего генератора. Заметим, что в данном случае существенным является наличие последействия отказов, которое мы не учли при расчете среднего времени безотказной работы.

Из приведенных примеров следует, что методы анализа надежности сложных систем должны учитывать:

□ наличие последействия отказов энергетических систем и систем с восста­новлением;

□ два характера отказа электротехнических элементов;

□ изменение основного параметра электрической схемы при отказе элементов структурно резервированной системы;

□ структуру сложной системы при ее физической реализуемости (наличие системы контроля, автоматов коммутации и т. д.);

□ неодновременность работы элементов.

Математические модели функционирования сложных систем, в смысле их надежности, полученные без учета перечисленных выше факторов, не могут быть адекватными реальным системам.

Методы анализа надежности сложных систем с учетом их физической реализуемости будут рассматриваться в гл. 8.

3.5. Краткие замечания, касающиеся проблем анализа надежности систем

1. Существующие в настоящее время аналитические методы расчета и анализа надежности технических систем с произвольными распределениями отказов, случайных параметров и восстановлений элементов обладают следующими недостатками:

• методы сложные, не доведены до машинных алгоритмов и программ;

• позволяют анализировать системы только простой структуры;

• отсутствует единая математическая модель надежности функционирования систем;

• невозможность исследования зависимых процессов;

• трудности исследования нестационарных характеристик надежности;

• сложность, а часто и невозможность учета таких особенностей функционирования систем, как наличие структурной и временной избыточности, контроль состояния элементов, наличие нескольких видов отказов, существование скрытых отказов и т. д.;

• невозможность анализа систем с переменной структурой,

В связи с указанными обстоятельствами оценка надежности и эффективности функционирования сложных систем требует разработки новых подходов и методов анализа, учитывающих сложность системы и все многообразие ее отличительных особенностей.

2. Известные в настоящее время методы расчета надежности технических средств не позволяют оценить погрешности вычисления показателей надежности с необходимой для практики точностью. Более того, при надлежащем выборе законов распределения показатели надежности, полученные асимптотическими методами, могут совершенно исказить истинное значение показателей даже при дополнительном условии "быстрого" восстановления элементов.

3. Аналитические методы являются исключительно важными для исследования надежности реальных технических систем, поскольку для большого количества факторов, влияющих на надежность систем, высокая достоверность имитационного моделирования практически не достижима.

4. Использование экспоненциальных законов при анализе надежности реальных технических систем длительного функционирования в принципе неправомерно, т. к. исходные посылки в моделях не адекватны физическим процессам, протекающим в системах. При решении практических задач указанная идеализация реальных процессов отказов и восстановлений может приводить к существенным ошибкам.

5. При разработке математической модели функционирования сложной технической системы и методов ее анализа, как правило, сталкиваются с необходимостью учета важных особенностей ее функционирования, таких как контроль состояния элементов, последействие отказов, переключение на резерв, возможность реконфигурации системы во время ее эксплуатации, введение различных видов резервирования, наличие интервалов простоя элементов и т.д. Случайные параметры, характеризующие указанные особенности, обычно являются "неэкспоненциальными".

6. Традиционные методы ограничены возможностью анализировать надежность и эффективность функционирования технических систем с малым числом состояний (несколько десятков). Решение задач в случае систем с большим числом состояний (порядка сотен тысяч и более) требует разработки нестандартных подходов.

7. В настоящее время отсутствуют не только инженерные методы, но и теоретические разработки анализа надежности технических систем с переменной структурой, обусловленной ее многофункциональностью. Анализ надежности систем со статической и динамической реконфигурацией структуры представляет собой новое направление в теории надежности сложных технических систем.

8. Отсутствие инженерных методов анализа надежности сложных систем, учитывающих их свойства и особенности функционирования, объясняется следующими причинами: неадекватностью моделей физическим процессам, математическими трудностями, отсутствием статистических данных по надежности элементов.

ГЛАВА 4

ТЕХНИЧЕСКИХ ЭЛЕМЕНТОВ И СИСТЕМ В СМЫСЛЕ ИХ НАДЕЖНОСТИ

Расчет надежности сложных технических систем часто базируется на предположении о том, что время безотказной работы и время восстановления элементов имеют экспоненциальные распределения вероятностей. Как было показано в гл. 3, это допущение приводит к существенным ошибкам при вычислении показателей надежности. Более реальным является анализ надежности технических систем, если снять ограничения об экспоненциальности распределений времени до отказа, восстановления и .случайных параметров, сопутствующих функционированию системы. К таким параметрам относятся: время между очередными сеансами контроля и время его проведения, момент подключения в работу резервных элементов, время между очередными профилактиками и время их проведения и т. п.

4.1. Общая модель надежности технического элемента

Напомним, что под элементом в теории надежности понимается любой технический объект, имеющий показатель надежности, самостоятельно учитываемый при расчетах.

Элемент с восстановлением имеет два возможных состояния:

□ (0) — элемент работает;

□ (1) — элемент восстанавливается.

Пусть Y₀(s,t) — вероятность того, что на интервале [t, t+s] элемент находится в исправном состоянии, а Y₁(τ,t) — вероятность того, что на интервале [t, t+τ] элемент восстанавливается. Продифференцируем эти функции:

Функция y₀(s,t) представляет собой плотность распределения вероятностей исправной работы элемента на интервале [t, t+s], а функция y₁(τ,t) — плотность распределения вероятностей времени восстановления элемента на интервале [t, t+τ].

Предположим, что в начальный момент времени t=0 элемент находится в исправном состоянии, тогда

и потому

Момент перехода из состояния восстановления в состояние исправной работы показан на рис. 4.1.

На рис. 4.1 приняты следующие обозначения:

ξ— случайное время исправной работы элемента;

η — случайное время восстановления элемента;

t — момент времени, при котором элемент исправен;

х — произвольный момент времени, взятый на промежутке от 0 до t;

t - х — момент окончания восстановления отказавшего элемента;

s — время, в течение которого элемент исправен.

Вероятность того, что элемент исправно работал в течение времени х + s при условии, что в момент времени t-х произошло его восстановление, равна y₁(0,t-x)f(x+s).

Так как x — любой момент времени из интервала [0; t], то в результате интегрирования этой функции от 0 до t получим уравнение

в котором слагаемое f(t+s) обусловлено началом процесса функционирования и означает, что при отсутствии отказа до момента t элемент работает безотказно в течение времени (t+s). Аналогичное уравнение имеет место и для второй функции y₁(τ,t), но уже без свободного члена.

Это позволяет записать следующую систему интегральных уравнений относительно функций y₀ и y₁:

Система уравнений (4.1) связывает между собой две функции, содержащие предысторию процесса функционирования элемента. Это обусловлено наличием в аргументах функций y₀(s,t) и y₁(τ,t) дополнительных переменных s и τ, которые соответствуют остаточному времени работы и восстановления элемента.

Если остаточное время работы и восстановления равно нулю, то функции ω(t) = y₀(0,t) и ω_B(t) = y₁(0,t) являются параметрами потока отказов и восстановления соответственно. Обозначая φ_s(t)= φ(t+s), получим:

Последние формулы дают возможность выразить вероятности Y₀ при малых s и Y₁ при малых τ через важнейшие характеристики элемента: функции готовности и простоя и параметры потока отказов и восстановлений. Выражения имеют вид:

Тогда

Полагая в (4.2) s=0 и τ=0, получим

Отсюда следует, что

Вероятности р₀(t) и р₁(t) пребывания элемента в исправном и отказовом состояниях, очевидно, совпадают соответственно с функциями готовности и простоя. Нетрудно показать, что эти вероятности удовлетворяют уравнениям, аналогичным уравнениям Эрланга

Здесь λ(t) и μ(t) — интенсивности потоков отказов и восстановлений, определенные в разд. 2.6. Отсюда следует, что работу элемента можно описать простейшим графом состояний (рис. 4.2), в ветвях которого находятся функции λ(t) и μ(t). Этому графу соответствует система обыкновенных дифференциальных уравнений (4.4).

Согласно принятому ранее допущению вероятности р₀(t) и р₁(t) удовлетворяют начальным условиям: р₀(0)=1 и р₁(0)=0, означающим, что в момент времени t = 0 элемент исправен.

Следует иметь в виду, что решить систему уравнений (4.1) проще, чем вначале определять интенсивности λ(t) и μ(t), а затем решать систему дифференциальных уравнений (4.4). Наоборот, указанные интенсивности могут быть определены в результате решения системы (4.1).

Аналогичные рассуждения позволяют записать для оценки надежности математическую модель функционирования любой сложной системы. В следующем разделе мы получим такую модель в достаточно общей ситуации, однако для ее составления применим несколько иной способ.

ПРИМЕР 4.1. Предположим, что время безотказной работы и время восстановления элемента имеют экспоненциальные распределения с параметрами λ(t) и μ(t) соответственно. Требуется получить выражения для параметров потоков отказов и восстановлений, среднего суммарного числа отказов и восстановлений в течение времени [0; t], функций готовности и простоя, средней суммарной наработки и суммарного времени восстановления элемента в течение времени [0; t].

Решение. Из соотношений (4.3) на основании разд. 2.5 параметры потоков отказов и восстановлений в преобразовании Лапласа имеют вид:

отсюда

На основе формул ~разд. 2.6 определим среднее суммарное число отказов и среднее суммарное число восстановлений в течение времени [0; t]:

Из соотношений (2.32) и (4.3) функции готовности и простоя в преобразовании Лапласа имеют вид:

Отсюда

На основе формул разд. 2.6 определим среднее суммарное время безотказной работы и среднее суммарное время восстановления в течение времени [0; t]:

Приведенные соотношения будут часто использоваться в дальнейшем. Для распределений, отличных от экспоненциального (за редким исключением), не удается получить явных соотношений для рассмотренных показателей надежности.

4.2. Общая модель надежности систем в терминах интегральных уравнений

4.2.1«Основные обозначения и допущения

Предположим, что техническая система состоит из т элементов с известными распределениями времени безотказной работы и времени восстановления, а ее функционирование осуществляется в соответствии с заданной схемой расчета надежности. Все элементы условно разделим на рабочие и резервные. К первому классу отнесем также все элементы нагруженного и облегченного резерва, а ко второму — только элементы, находящиеся в ненагруженном состоянии. При отказе рабочего элемента и при наличии резервного он заменяется резервным, причем эта замена осуществляется мгновенно и абсолютно надежным устройством. Как будет показано в гл. 8, ограничение о мгновенной замене можно снять. При наличии нескольких резервных элементов порядок замены отказавшего рабочего элемента резервным будем считать известным. Контроль состояния элементов является непрерывным, и отказ любого элемента обнаруживается немедленно после его возникновения. Это условие также может быть снято (см. гл. 10). Предполагается, что число ремонтных бригад и порядок восстановления отказавших элементов известны, т. е. имеется указание о том, какие элементы и в какой последовательности будут приняты на обслуживание. Разумеется, этот порядок необходимо знать только в том случае, когда речь идет об ограниченном восстановлении и мо­жет появиться очередь на восстановление. Восстановление элемента начинается сразу же после его отказа или после обнаружения отказа контролирующим устройством при наличии свободной бригады или по очереди, согласно принятому приоритету обслуживания. В процессе ремонта элементов происходит полное восстановление их надежности.

На функционирование и на ремонт каждого элемента могут оказывать влияние остальные элементы системы. В связи с этим, любой элемент может пребывать в нескольких возможных состояниях: в состоянии работоспособности, в состоянии восстановления или в состоянии простоя. Причем состояние простоя элемента может быть обусловлено следующими причинами:

□ произошло прерывание работы элемента, что может быть в том случае, если данный элемент находится в составе узла, соединенного последовательно с отказавшим элементом или узлом;

□ произошло прерывание восстановления элемента, что может быть в том случае, когда дисциплина обслуживания системы такова, что ремонтные органы, восстанавливающие данный элемент, прекращают его восстановление и приступают к ремонту некоторого другого элемента (восстановление с приоритетом);

□элемент исправен, но по условиям функционирования он находится в очереди на работу, что может произойти, например, в случае ненагруженного резервирования;

□ элемент находится в отказовом состоянии, но по условиям обслуживания он не ремонтируется и находится в очереди на восстановление, что возможно, например, в случае ограниченного восстановления с прямым или назначенным приоритетом.

Указание возможных состояний каждого элемента системы существенно при описании ее функционирования в целом. Будем считать, что переход каждого элемента из одного состояния в другое осуществляется мгновенно вследствие отказа или восстановления данного элемента или какого-либо другого элемента системы. Дополнительно предложим, что отказ или восстановление любого элемента не влияет на законы распределения остальных элементов и время простоя элемента (если не оговорено особо) не сказывается на его характеристиках надежности, т. е., находясь в состоянии простоя, элемент сохраняет эти характеристики такими же, как и в момент прерывания работы или восстановления.

4.2.2. Матрица состояний

Множество всех состояний системы обозначим через Е, а через п — число этих состояний. В соответствии с заданным понятием отказа все состояния системы разбиваются на два класса: множество работоспособных состояний Е₊ и множество отказовых состояний Е_. В каждый фиксированный момент времени t и для каждого k-го состояния определяются шесть подмножеств множества всех элементов:

· R_k —множество номеров работающих элементов;

· W_k — множество номеров ремонтируемых элементов;

· R_k' — множество номеров элементов, находящихся в состоянии простоя вследствие прерывания их функционирования;

· W_k' — множество номеров элементов, находящихся в состоянии простоя вследствие прерывания их восстановления;

· R_k⁰ — множество номеров элементов, образующих очередь на работу;

· W_k⁰ — множество номеров элементов, образующих очередь на восстановление.

С каждым k-м состоянием (kϵЕ) свяжем вектор А_k = (а_1k, а_2k,..., а_mk), характеризующий состояния всех элементов системы в момент времени t. Компоненты вектора А_k предполагаются равными:

Если i ϵ R_k' (i ϵ W_k') то соответствующую компоненту будем иногда снабжать штрихом и писать s_i' (τ_i'). Если а_ik = 0, то соответствующую компоненту будем называть "нулевой" и для различия состояний будем писать а_ik = ОR, если 1-й элемент находится в очереди на работу, или а_ik = ОW, если i-и элемент находится в очереди на восстановление. "Нулевая" компонента должна содержать также четкое указание о порядковом номере очереди на работу или очереди на восстановление, если таких компонентов более одной. В некоторых случаях, когда это не может вызвать недоразумений, "нулевые" компоненты мы будем опускать.

Таким образом, функционирование любой восстанавливаемой системы полностью определяется матрицей состояний S размерности т×п, столбцами которой служат векторы А_k.

Для удобства матрица состояний дополняется верхней строкой, содержащей коды (или номера) соответствующих состояний, например совокупностью (упорядоченной или неупорядоченной) отказавших элементов, и нижней строкой, показывающей, к какому классу (Е₊ или Е_) относится состояние с номером k: 1, если k ϵ Е₊, или 0, если k ϵ Е_-.