Сравнение надежности архитектур 1oo2D и 2ооЗ 

Сравнение надежности архитектур 1oo2D и 2ооЗ

В монографии автора "Основы построения АСУТП взрывоопасных производств", Синтег, 2006, приводятся результаты расчетов вероятностей отказов для базовых архитектур систем безопасности - от 1oo1 до 2ооЗ. Результаты этих расчетов довольно впечатляющи. В частности, неожиданным оказался следующий результат:

При прочих равных условиях, а именно однородность и однотипность составных элементов, вероятность всех видов отказа систем типа 2ооЗ в три раза выше вероятности всех видов отказа систем типа 1oo2D.

Данное обстоятельство объясняется тем, что вариантов отказа тройной системы в три раза больше, чем для системы 1oo2D. Сказанное подтверждается прямым счетом возможных вариантов отказа, и всех возможных путей к этим отказам.

В данном разделе мы рассмотрим сравнительную устойчивость архитектур 1oo2D и 2ооЗ по отношению к ложным остановам.

В стандартах МЭК и само понятие ложного останова, и, тем более, расчеты интенсивности и вероятности ложного отказа отсутствуют.

Вероятность ложного срабатывания архитектуры 1oo2D
В исходном состоянии система 1oo2D по отношению к ложным срабатываниям работает по схеме 2оо2. Для совершения внепланового останова необходимо, чтобы оба канала дали команду на останов. Поэтому для определения частоты ложных срабатываний системы необходимо учесть последовательность развития событий.

Вероятность ложного срабатывания системы будет определяться условной вероятностью повторного отказа P(PSP2 | Psp,) течение времени существования первого отказа. Свершиться ложный останов может двумя путями:

  • Сначала выдает ложную команду первый (условно) элемент, затем - второй.
  • Сначала выдает ложную команду второй (условно) элемент, затем - первый.

Приведем эти предпосылки к символическому виду (таблица 1.1).

Таблица 1.1

Здесь - условная вероятность отказа второго элемента (канала) после отказа первого;
- условная вероятность отказа первого элемента (канала) после отказа второго;
- некоторое характеристическое время существования одиночного отказа.
Следовательно, интенсивность ложных срабатываний определится выражением
При

Вероятность ложного срабатывания архитектуры 2ооЗ.
В системе 2ооЗ ложное срабатывание происходит по следующему элементарному алгоритму:

Команда на ложный останов может быть выдана любой парой из трех наличных элементов (каналов). А поскольку число сочетаний из 3 по 2 равно трем (1-2, 1-3, 2-3), то и частота ложных срабатываний по сравнению с системой loo 2D утраивается.

Что и подтверждается прямым счетом. Рассмотрим все возможные состояния системы 2ооЗ, и все возможные пути, приводящие к ложным срабатываниям (таблица 1.2).

Таблица 1.2

Поскольку ASP1 = ASP2 = ASP3 - Asp , получаем:

Полученное утроенное соотношение частоты и вероятности отказов систем 1oo2D и 2ооЗ соблюдается для всех видов отказов.

Когда знаешь правильный ответ, то сказанное объясняется довольно просто. Согласно определению,

MooN ( М out of N ) - специфическая аббревиатура для обозначения и определения архитектуры систем безопасности. Данное сокращение обозначает, что для правильного функционирования системы необходимо, чтобы т из п канонов работали нормально.
Если система построена на п каналах, и для нормальной работы системы необходимо т каналов, то это означает, что система способна пережить (п-т) отказов без потери функциональности. Соответственно, для отказа системы необходимо, чтобы отказали (п-т) + 1 каналов.

Поэтому основной характеристикой является число сочетаний по (п-т) + 1 элементов из п имеющихся элементов:

Число сочетаний для системы 1оо2 равно 1, а для системы 2ооЗ - трем. Соответственно вероятность отказа системы 1оо2 определяется всего одним сочетанием:

а системы 2ооЗ - тремя:

То же соотношение соблюдается и с учетом перестановок - обе вероятности синхронно удваиваются. Именно по этим причинам конфигурация 2ооЗ до последнего времени использовалась, в основном, в схемах резервирования датчиков, причем на альтернативной основе. А вот анализ достоверности их показаний возлагался собственно на PLC системы защиты.

В настоящее время появилась уникальная возможность проверки готовности полевого оборудования к выполнению функций защиты on-line с помощью специально выделенных автономных систем обслуживания, диагностики и управления оборудованием производства - Plant Asset Management Systems. Поэтому необходимость применения таких дорогостоящих конфигураций, как 2ооЗ, - даже для датчиков, -отпадает.

Яркими примерами таких систем являются Asset Management Solutions (AMS) фирмы Emerson, и Plant Resource Manager (PRM) фирмы Yokogawa Electric.

С появлением протоколов HART (Highway Addressable Remote Transducer) и цифровой полевой шины Fieldbus системы этого рода находят все большее применение в АСУТП, и дают колоссальный эффект выявления отклонений, сбоев и отказов полевого оборудования в оперативном режиме.