Cтраница 4
С появлением стандарта IEC 61508 производители оборудования переходят на расчеты в терминах интегральной безопасности. Основное внимание в этих расчетах уделяется самым опасным видам отказов - оценкам вероятности опасных необнаруженных отказов. [46]
Понятие элемента с задержкой поясним следующим конкретным примером. Характер контроля работоспособности одиночного элемента влияет на время простоя элемента ( пребывание в состоянии необнаруженного отказа), но не влияет на время безотказной работы. [47]
Каждая проверка оборудования связана с определенными затратами; с другой стороны, не обнаруженный вовремя выход оборудования из строя приводит к потерям. Требуется выбрать такую последовательность моменте для проверки работы оборудования, при которой математическое ожидание-суммы потерь от необнаруженных отказов и затрат на проверки было бы минимальным. [48]
Задачи оптимальных профилактических проверок и предупредительных замен ( см. § 5.6) относятся к задачам оптимального управления, в том числе к задачам оптимальной остановки. В первом случае возникает необходимость определить такую периодичность проведения проверок работоспособности, чтобы пребывание системы в состоянии необнаруженного отказа не было слишком большим, но чтобы в то же время сами проверки не отнимали слишком много полезного рабочего времени системы. [49]
В заключение отметим, что в реальных системах не всегда удается обеспечить такие благоприятные условия использования резерва времени, которые рассматривались в гл. Из-за особенностей алгоритмов функционирования и неидеальности контроля работоспособности происходят дополнительные потери рабочего времени системы в связи с обесцениванием работ при отказе и появлением периодов необнаруженного отказа. Проведенный анализ надежности показывает, что эти факторы могут значительно снизить эффективность временного резервирования. Поэтому приходится принимать специальные меры по защите системы от так называемых вторичных последствий отказов, связанные с вмешательством не только в структуру, но и в алгоритмы функционирования системы. Необходимость таких мер свидетельствует о том, что временное резервирование далеко не простой метод повышения надежности, как это может показаться при первом ознакомлении. Анализ влияния мероприятий по защите системы от вторичных последствий отказов на надежность системы показывает, что их проведение целесообразно, несмотря на трудности, которые могут возникнуть при этом, так как они позволяют разбиением задания на участки и подбором оптимального периода контроля значительно улучшить показатели надежности системы с временной избыточностью. [50]
Новая Quad ( QMR) Architecture является главным прорывом в исполнении безопасности. Эта архитектура обеспечивает четыре ( 4) процессора - ДВА НА КАНАЛ, и снимает проблемы, связанные с двухпроцессорной архитектурой по отношению к опасным необнаруженным отказам одного из двух ( ДУБЛИРОВАННЫХ) процессоров. Обе пары процессоров синхронно выполняют одну и ту же пользовательскую программу. Аппаратный компаратор и отдельный отказоустойчивый сторожевой таймер отслеживают работу каждой пары процессоров с целью выявления и обработки отклонений. Таким образом, эта архитектура может работать при уровне SIL3 ( RC6) на одном или на двух каналах В ТЕЧЕНИЕ НЕОГРАНИЧЕННОГО ПЕРИОДА ВРЕМЕНИ. Она ( данная архитектура) достигает значительного увеличения, как безопасности, так и готовности ( доступности, непрерывности - см. соответствующие пояснения данной главы и определения главы 2 Современная концепция безопасности - ), которые превосходят эти показатели для троированных архитектур TMR В ТРИ РАЗА. [51]
Оптимизм, высказанный здесь с таким энтузиазмом, не имеет под собой абсолютно никаких оснований. В том и состоит проблема опасных отказов, что часть из них до окончания межтестового интервала остаются необнаруженными. Доказать абсолютное отсутствие опасных необнаруженных отказов по любому просто невозможно. И доказывать таким образом отказ от временных ограничений просто несерьезно. Преимущества способа диагностики посредством сравнения двух идентичных элементов в архитектуре 1оо2 по сравнению с физической диагностической цепью архитектуры loo ID могут быть вполне эфемерными, или просто мифическими. [52]
Отказ диагностической цепи не оказывает непосредственного влияния на нормальную работу трансмиттера. Однако этот отказ может препятствовать переходу трансмиттера в состояние безопасного отказа ( выходной ток 3.7 тА) в случае появления последующего отказа. Для проверки трансмиттеров на наличие опасных необнаруженных отказов, включая и проверку диагностических цепей, необходимо проводить периодическое автономное функциональное тестирование. В отчете ADQL-6 предоставлены все необходимые данные по частотам отказов, и даны рекомендации по периодичности автономного тестирования. [53]
На рис. 7.11 показана зависимость вероятности ошибок от величины параметра, на который настраивается датчик системы контроля. Как следует из анализа зависимостей 7Л и 7Н, изменением настройки датчика невозможно одновременно уменьшить вероятности ошибок. С уменьшением вероятности ложных сигналов увеличивается вероятность необнаруженных отказов, и наоборот. Однако можно ввести суммарную характеристику точности системы у дл 7н которая имеет минимальную величину при определенных значениях параметра настройки датчика тй. [54]