Стереотипы резервирования 

Стереотипы резервирования

Небольшой пример. Рассмотрим простейшую систему безопасности:

Рис. 1.3

Где Т1 - некий датчик, V1 - отсечной клапан (это может быть, например, контур защиты от превышения уровня, или давления в некотором аппарате посредством отсечки поступающего в аппарат продукта).

Сделаем оценку вероятности ложных (нижний индекс S) срабатываний Ps(1), и вероятности опасных (нижний индекс D) отказов PD(1) для данного контура. Вероятность ложных срабатываний и опасных отказов датчика:

Вероятность ложных срабатываний и опасных отказов клапана:

Тогда искомые вероятности ложных срабатываний и опасных отказов данного контура определяются простым сложением вероятностей данного события для составных элементов контура:

Теперь допустим, что нас беспокоит проблема ложных срабатываний данного контура защиты.

Можно просто поставить дополнительный датчик, но мы с целью дальнейшего развития предусмотрим сразу АСУТП, состоящую из системы управления и системы защиты, которую мы будем строить с учетом так называемого "доведения до норм".

При этом предполагается, что система будет иметь свои собственные средства контроля и управления, независимые от системы ПАЗ с тем, чтобы контроль над состоянием процесса не терялся ни при каких обстоятельствах.

Допустим, что нам сказочно повезло, и мы выбрали центральную часть системы защиты - программируемый логический контроллер, - такой, что имеет абсолютную надежность. То есть ПЛК имеет нулевую вероятность всех мыслимых отказов, и имеет все мыслимые разрешения от всех мыслимых инспекций, включая разрешение на безграничную од-ноканальную работу по максимально возможному уровню допуска. Но мы для безоговорочной уверенности в защите поставим дублированный вариант ПЛК. Вероятность отказа этого чудо - компьютера

то есть он таков, что не оказывает никакого влияния на надежность системы. Это означает, что его как бы и нету. Так и будем считать.

Теперь с расчетом "доведения до норм" заложим в нашу систему два датчика, подключенных по схеме 1оо2, что означает, что для срабатывания системы защиты достаточно сигнала от одного из них (см. схему (2) на рис. 1.4). Обозначим:

Работа по схеме 1оо2 имеет следующие особенности:

  1. Для того чтобы система осуществила ложное срабатывание ("безопасный" отказ), достаточно, чтобы
    - Любой из сенсоров подал ложный сигнал (и клапан его отработал),
    - Либо клапан ложно сработал.
  2.  Для того чтобы система в нужный момент НЕ сработала (опасный отказ), необходимо, чтобы
    - Либо оба сенсора не сработали,
    - Либо отказал отсечной клапан.

Рис. 1.4

Записываем логические выражения для вероятности каждого из этих событий. Для вероятности ложных срабатываний:

Для вероятности опасных отказов:

Пусть вероятности отказов датчика и отсекателя в течение 1 года равны 1.0 *103 (один из тысячи). Тогда

Результат, мягко говоря, обескураживает. Рассчитывая улучшить общие показатели контура и поставив 2 датчика вместо одного, мы получили совершенно неожиданный ре зультат:

Частота ложных срабатываний по вине датчика по сравнению с одноканальным вариантом возросла в два раза. Более того, если бы мы вообще не предпринимали никаких действий, результаты оказались бы, может, и не лучше, но и не хуже!

Ведь исходная схема (1) давала вполне сопоставимые значения:

Посмотрим, что произойдет, если мы поставим второй отсекатель - схема (3) на рис. 1.4.

Получаем:

То же, что и для схемы (2) .

Полученные результаты однозначно показывают, что при формировании спецификации требований к системе безопасности необходимо учитывать не просто характеристики надежности отдельных компонентов системы, но архитектуру и параметры всего контура безопасности для каждого контура безопасности - "от трубы до трубы". Именно это требуют современные международные стандарты безопасности.

Но пойдем дальше. Попробуем совместить достоинства схем (2) и (3), и поставим 2 датчика и 2 клапана. Количество вариантов архитектуры возрастает, но проверим хотя бы следующие два (рис. 1.5).

Рис. 1.5


Обе схемы имеют отличные характеристики по опасным отказам (по несрабатыванию), но

Вероятность ложных срабатываний по сравнению с исходной одноканальной Схемой (1) выросла в два раза!

Картина будет неполной, если не посмотреть еще один вариант архитектуры, который, как будет показано в дальнейшем, играет ключевую роль в архитектурах систем безопасности типа loo2D. Это - классическая архитектура 2оо2. Система работает, когда оба канала работают (рис. 1.6).

Рис. 1.6

Наконец, нам удалось найти схему с минимальной вероятностью ложных срабатываний, но, к сожалению, с самой высокой вероятностью опасных отказов (несрабатывания в нужный момент) - она в два раза выше одноканальной системы. Выигрыш одного параметра означает проигрыш другого.

Вот такое "доведение до норм". Где же выход? Ведь полученные характеристики являются органическим свойством рассмотренных архитектур. И, как мы видим, установка самого современного ПЛК и дополнительного полевого оборудования вовсе не является гарантией увеличения надежности и безопасности системы защиты.

Как добиться баланса архитектур полевого оборудования и логических устройств, чтобы система безопасности была соразмерной и обеспечивала приемлемый уровень интегральной безопасности?

Попытка ответить на поставленные вопросы и делается в настоящей работе. Простых решений не существует. И надо очень внимательно подходить к прямолинейным априорным решениям. Иначе эти решения могут привести совсем не к тем результатам, которые ожидались.