Принципы описания надежности автоматической системы управления технологическим процессом

Принципы описания надежности автоматической системы управления технологическим процессом

Содержание

1. Характеристика проблемы моделирования и оценки надежности АСУ ТП

2. Надежность АСУ ТП с учетом взаимосвязи с внешней средой

3. Взаимосвязь надежности и иных свойств АСУ ТП

4. Надежность АСУ ТП как совокупности комплекса технических средств, программного обеспечения и оперативного персонала

4.1 Надежность комплекса технических средств

4.2 Надежность программного обеспечения (ПО)

5. Оценка надежности ПО по аналогии с невосстанавливаемыми техническими системами

5.1 Оценка надежности ПО по наработке (модель Шумана)

5.2 Оценка надежности программ по числу прогонов (модель Нельсона)

5.3 Надежность оперативного персонала

6. Надежность АСУ ТП как совокупности функций. Критерии отказов и показатели надежности функций

Список литературы

1. Характеристика проблемы моделирования и оценки надежности АСУ ТП

Надежность современных автоматизированных систем управления технологическими процессами является важной составляющей их качества. Научно обоснованный анализ надежности АСУТП предусмотрен требованиями государственных и международных стандартов. Готовность организаций и предприятий, разрабатывающих и эксплуатирующих АСУТП, выполнять научно обоснованный анализ их надежности является обязательным условием государственной и международной сертификации. Такой анализ необходим практически на всех этапах жизненного цикла АСУТП и, прежде всего, на стадиях проектирования, внедрения и промышленной эксплуатации. Главной конечной целью анализа является своевременное получение достоверной информации, необходимой для выработки и реализации обоснованных решений в области обеспечения требуемой надежности АСУТП.

В основе научного анализа надежности современных сложных и высокоразмерных АСУТП лежат математические модели и компьютерные технологии. С их помощью должны осуществляться расчеты значений необходимых показателей, решаться задачи оптимизации, синтеза, выработки и обоснования управленческих решений. От обеспечения возможности достаточно точно и оперативно решать указанные задачи непосредственно зависит экономичность, ресурсосбережение и конкурентоспособность современного производства.

Как объект анализа, АСУТП современных предприятий можно охарактеризовать рядом особенностей, которые необходимо учитывать в математических моделях их надежности:

.        Современные АСУТП как правило состоят из большого числа элементов (до нескольких сотен и даже тысяч);

2.      Структуры современных АСУТП характеризуются высокой сложностью;

.        На различных этапах жизненного цикла структуры АСУТП могут существенно изменяться;

.        Элементы АСУТП характеризуются большим разнообразием типов (механические, электронные, эргатические, программные, обработки сигналов, обработки информации, датчики, исполнительные устройства, переключатели и т.д.);

.        Существенно неоднородными могут быть функциональные связи элементов и подсистем в АСУТП (механические, электрические, информационные, организационные и др.);

.        В АСУТП часто применяются многофункциональные элементы;

.        Возможно наличие элементов АСУТП с более чем двумя состояниями;

.        Могут иметь место стохастические зависимости параметров надежности элементов;

.        Современные АСУТП, как правило, являются многофункциональными, что приводит к необходимости строить модели и анализировать их надежность по каждой функции отдельно и по различным их комбинациям;

.        Отказы элементов могут приводить к возникновению различных аварийных ситуаций. Поэтому надежность АСУТП (в указанном смысле) необходимо анализировать одновременно;

.        Надежность АСУТП может существенно зависеть от наличия и реализации различных видов обеспечения - энергетического, информационного, технического обслуживания, ремонта и др.;

.        Современные АСУТП могут являться как системами I-го типа (имеют два вида состояний - полной работоспособности или полного отказа), так и системами II-го типа (имеют более двух видов состояний работоспособности, отказа и риска функционирования);

.        АСУТП в процессе эксплуатации могут иметь разные режимы технического обслуживания. Поэтому в процессе анализа их необходимо рассматривать и как невосстанавливаемые и как восстанавливаемые системные объекты;

.        Основным способом обеспечения надежности современных АСУТП является введение структурной и функциональной избыточности;

.        Цели, задачи, показатели и методики анализа надежности могут существенно различаться в зависимости от режима, условий работы, этапа жизненного цикла АСУТП (исследование, проектирование, эксплуатация, модернизация) и конкретной области применения (типа, вида, класса АСУТП, предприятия, организации).

Указанные особенности приводят к тому, что моделирование и расчет надежности современных АСУТП становится сложной и во многом еще не разрешенной научной, технологической и методической проблемой. До настоящего времени в организациях и на предприятиях промышленности моделирование и расчет надежности АСУТП не производится ни на стадиях проектирования, ни в процессе эксплуатации.

2. Надежность АСУ ТП с учетом взаимосвязи с внешней средой

Решение задач надежности АСУ ТП (как, впрочем, и любой сложной системы) требует учета взаимосвязи этой системы и внешней среды. Под внешней средой понимается все то, что окружает АСУ ТП и оказывает на нее воздействие или же само подвергается воздействию от АСУ ТП.

Рис.1 Взаимосвязь АСУ ТП и внешней среды при решении проблемы надежности

Автоматизированная система управления технологическим процессом вместе с технологическим объектом управления (ТОУ) образуют автоматизированный технологический комплекс (АТК). Элементом внешней среды АСУ ТП является и объект управления (рис.1). Рассмотрим существенные для решения вопросов надежности связи между АСУ ТП и ее внешней средой.

Связь "АСУ ТП - технологический объект управления" отображает наличие управляющих воздействий АСУ ТП на регулирующие органы объекта. Эта связь при решении вопросов надежности является одной из самых важных и проявляется в непосредственном влиянии отказов АСУ ТП на поведение объекта управления.

Связь "ТОУ - АСУ ТП" соответствует поступлению в АСУ ТП информации о состоянии объекта. Эта связь выполняется в изменении режима работы системы в зависимости от поведения объекта, например в виде отключений тех или иных подсистем в зависимости от режима работы объекта.

К компонентам внешней среды АТК, которые существенны для решения задачи надежности АСУ ТП, относятся:

а) органы управления вышестоящего уровня иерархии - например, АСУ предприятием или персонал, руководящий функционированием АТК при неавтоматизированном вышестоящем уровне;

б) окружающая среда, которую характеризуют условия эксплуатации (температура, влажность, вибрация, удары, наличие и характер индустриальных помех и т.д.);

в) ремонтный персонал, не входящий в состав АТК;

г) запасные части, необходимые для проведения ремонтов и технического обслуживания.

Связи между АСУ ТП и этими компонентами имеют различный характер.

Связь "органы управления вышестоящего уровня - АСУТП" осуществляется в виде плановых заданий по производительности объекта, изменению режимов работы установок и агрегатов, ограничениям на расход сырья и т.п. Такие воздействия могут изменять режим работы системы и требования к качеству ее функционирования.

Связь "АСУ ТП - органы управления вышестоящего уровня" соответствует поступлению сведений о выполнении заданий, основных показателях функционирования объекта. Отказы АСУ ТП могут приводить к неправильному вычислению этих показателей или вообще к невыдаче результатов вычислений.

Связь "условия эксплуатации - АСУ ТП" отражает тот факт, что на надежность существенно влияют внешние условия (например, от температуры в помещении зависит работа вычислительного комплекса).

управление технологический процесс система

Технические средства АСУ ТП подвергаются восстановлению после отказов и подлежат техническому обслуживанию. Это приводит к возникновению связи "АСУ ТП - ремонтный персонал", которая заключается в генерировании заявок на восстановление. Их необходимость появляется вследствие отказов. Связь "ремонтный персонал - АСУ ТП" заключается в исполнении заявок на восстановление и в выполнении технического обслуживания согласно инструкциям и регламентам.

Связь "АСУ ТП - запасные части" отображает поступление заявок на получение запасных частей, возникающих вследствие отказов технических средств. Связь "запасные части - АСУ ТП" соответствует отправке запасных частей.

3. Взаимосвязь надежности и иных свойств АСУ ТП

Надежность, хотя и является важным и ответственным свойством, представляет собой лишь одну составляющую качества системы. Качество можно определить как совокупность свойств системы, обусловливающих ее пригодность удовлетворять потребностям потребителя. Оценка и обеспечение надежности АСУ ТП являются частью более общей задачи - оценки и обеспечения качества этих систем.

Надежность нужно рассматривать во взаимосвязи с иными свойствами системы, входящими в понятие "качество", например, такими, как живучесть, безопасность, эффективность, точность управления (рис.2). При анализе качества необходим учет влияния показателей надежности на изменение показателей иных свойств АСУ ТП, а вводя показатели надежности АСУ ТП, нужно понимать возможность их дальнейшего применения в задачах качества.

Рис.2 Взаимосвязь показателей надежности и иных показателей качества АСУ ТП

Рис.3 Поведение управляемого параметра после отказов управляющей системы

Влияние надежности на показатели точности управления. Влияние отказов АСУ ТП на точность управления показана на рис.3. На отрезке времени (0, t₁) выполняется автоматическая стабилизация управляемого параметра y (t) относительно некоторого номинального значения y_НOM. В момент t₁ произошел отказ, под влиянием которого регулирующий орган начинает перемещаться в одно из крайних положений, что вызывает возмущающее воздействие на управляемый объект и приводит к резкому изменению управляемого параметра. Системы управления технологическими объектами проектируют таким образом, чтобы после отказа автоматической управляющей функции оперативный персонал имел возможность вмешаться в процесс управления, выполняя неавтоматическое управление (с худшим, как правило, качеством). Такое управление персонал начинает с момента t₂, перемещая регулирующий орган в направлении уменьшения сигнала ошибки y (t) - y_НОМ. Время t_{2 -} t₁ уходит на выявление отказа (если в системе нет средств автоматического контроля исправности), на принятие оператором решения и на его реализацию. Интервал (t₂, t₃) соответствует неавтоматическому управлению в нестационарном режиме при ликвидации последствий неправильного перемещения регулирующего органа, интервал (t₃, t₄) - неавтоматическому управлению в стационарном режиме, причем среднеквадратическое отклонение управляемого параметра на этом интервале, как правило, выше, чем на интервале (0, t₁). В момент t₄ закончилось восстановление и продолжается режим автоматического управления до следующего отказа в момент t₅ и т.д.

Показатели точности управления применяют для управляющих функций АСУ ТП, реализующих их локальных систем. Показатели точности включают в себя динамические и статические показатели (характеристики) функции автоматического или программного регулирования, показатели безошибочности и своевременности функций логического управления и др.

Влияние надежности на метрологические показатели. Метрологические показатели устанавливают для информационных функций АСУ ТП, реализующих их измерительных систем и средств измерений. В число этих показателей входят систематическая и случайная составляющие погрешности, вариация выходного сигнала, время установления показаний и др.

Из всех этих показателей наиболее важным является погрешность измерений как по своему практическому значению (например, по влиянию на точность управления), так и по степени ухудшения из-за отказов. Например, экспериментальное исследование надежности ряда автоматических потенциометров, мостов и других вторичных приборов показало, что выход погрешности за пределы вследствие отказа наблюдается в 2-3 раза чаще, чем иных метрологических показателей. Выход погрешности измерений за пределы связан с изменением и иных метрологических показателей. Так, в 95% выходов за допустимые пределы вариации показаний одновременно выходила за пределы и погрешность измерений.

Отказы измерительных систем могут приводить к полному прекращению их функционирования, когда персонал не получает никакой информации о значении измеряемого параметра: при изменении этого параметра отсутствует сигнал на выходе измерительной системы (например, из-за того что перегорела электронно-лучевая трубка дисплея, на который выводится информация). Такие отказы являются явными.

Отказы измерительных систем могут вызывать ухудшение метрологических показателей без прекращения функционирования. Если такие отказы обнаруживаются встроенными средствами автоматического контроля, то они практически немедленно устраняются персоналом. Устранение отказов, не выявленных автоматическим контролем, производится, как правило, через значительное время после возникновения - при проведении поверок с помощью специальных измерительных операций, требующих применения образцовых средств измерения. Такие отказы могут приводить к длительным последствиям, связанным со скрытым ухудшением качества управления объектом.

Влияние надежности на показатели живучести. Свойство систем выполнять некоторые заданные функции по управлению объектом с допустимыми эксплуатационными показателями при воздействии особо существенных внешних факторов, не предусмотренных условиями нормальной эксплуатации, называют живучестью АСУ ТП.

Внешние факторы, учитываемые при рассмотрении живучести, отличаются от факторов, имеющих место в процессе нормальной эксплуатации и учитываемых, например, при рассмотрении безотказности. Примерами существенных внешних факторов в задачах живучести являются сейсмические воздействия, пожар. Особенностями таких внешних факторов является то, что они обычно одновременно прикладываются к ряду элементов объекта и АСУ ТП; не предсказываются по моменту появления и по величине; являются редкими событиями, продолжительность которых мала по сравнению с промежутком времени между ними.

Показателем живучести при некотором значении воздействия х может являться вероятность Р (х) выполнения заданных функций АСУ ТП.

Отказы элементов АСУ ТП могут приводить к снижению живучести. Например, в момент воздействия элемент может находиться в состоянии восстановления после отказа или в нем может иметь место скрытый отказ (что особенно характерно для устройств, реализующих функцию технологической защиты). Кроме того, отказы могут происходить и при управлении объектом при возникновении воздействий (например, из-за ошибки оператора или несрабатывания защиты).

Влияние надежности на показатели безопасности. Свойство систем не допускать ситуаций, опасных для людей и окружающей среды, называют безопасностью. Это свойство особо существенно для атомных станций: согласно ГОСТ 26291 - 84 под безопасностью атомной станции понимают ее свойство с помощью технических средств и специальных организационных мероприятий исключать превышение установленных доз по внутреннему и внешнему облучению персонала и населения, а также превышение установленных норм содержания радиоактивных продуктов в окружающей среде. Вероятность отсутствия такого превышения является одним из показателей безопасности.

Отказы некоторых элементов АСУ ТП атомной станции (в первую очередь так называемых управляющих систем безопасности, выполняющих функции автоматического включения и контроля устройств защитных, локализующих и обеспечивающих систем безопасности) могут приводить к нарушению безопасности. Поэтому к надежности АСУ ТП атомных станций предъявляют особо высокие как количественные, так и качественные требования, а пути обеспечения надежности и безопасности этих систем во многом совпадают. Примерами качественных требований являются наличие не менее двух независимых каналов, проверка и испытания элементов в процессе эксплуатации, наличие бесперебойного энергопитания и др.

Влияние надежности на показатели эффективности. Свойство систем, проявляющееся при функционировании совместно с технологическим объектом управления и выражающееся в улучшении полезных результатов его функционирования, называют эффективностью АСУ ТП. В зависимости от видов результатов функционирования будем разделять показатели эффективности на технологические и экономические.

Технологические показатели эффективности отражают изменение количества и качества продукции, количества израсходованного топлива, энергии, сырья, изменение использования технологического оборудования вследствие применения АСУ ТП. Примерами этих показателей являются повышение среднесуточного количества выпущенной продукции, снижение удельного расхода сырья и т.п.

Экономические показатели эффективности отражают изменение экономических результатов функционирования объекта вследствие применения АСУ ТП и выражаются либо в денежных единицах, либо в единицах, определяющих степень соответствия затрат на АСУ ТП результатам функционирования объекта. Экономические показатели эффективности АСУ ТП определяются сравнением двух вариантов функционирования объекта: с АСУ ТП в составе АТК и некоторого базового варианта АСУ ТП (например, с применением только локальных автоматических систем).

Примерами экономических показателей эффективности являются:

годовой экономический эффект, определяемый соотношением

W₁ = (Ц_{1 -} Ц₀) - (С_{1 -} С₀) - Е_Н (К_{1 -} К₀),

коэффициент сравнительной экономической эффективности

W₂ = [ (Ц_{1 -} Ц₀) - (С_{1 -} С₀)] / (К_{1 -} К₀),

и др.

Здесь Ц - стоимость выпущенной за год продукции в оптовых ценах; С - себестоимость этой продукции; К - капитальные вложения (включая предпроизводственные затраты) на выпуск этой продукции; Е_Н - нормативный коэффициент экономической эффективности капиталовложений; индексы 1 и 0 относятся к автоматизированному технологическому комплексу, использующему АСУ ТП, и к базовому варианту без АСУ ТП.

Рассмотрим взаимосвязь между надежностью и эффективностью. С одной стороны, повышение надежности систем, как правило, связано с увеличением затрат. Улучшение элементной базы, введение избыточности, приобретение более надежных (и, как правило, более дорогих) технических средств - все это приводит к повышению единовременных затрат на содержание АСУ ТП. Введение более частого и более продолжительного технического обслуживания увеличивает текущие затраты, а значит, и себестоимость продукции, повышение надежности путем улучшения условий эксплуатации введением специального оборудования (например, кондиционеров) увеличивает как единовременные затраты на приобретение этого оборудования, так и текущие затраты на его содержание и обслуживание.

С другой стороны, отказы элементов АСУ ТП приводят к снижению эффективности, причем такое снижение может быть значительным.

Влияние отказов элементов АСУ ТП на технологические показатели эффективности проявляется в том, что последствия отказов элементов сказываются на поведении ТОУ.

Установление связи между надежностью и эффективностью является одним из основных вопросов, возникающих при исследовании надежности любых сложных систем, включая и АСУ ТП. Можно даже сказать, что проблема обеспечения надежности в принципе является частью более общей проблемы - повышения эффективности функционирования систем, причем уровень надежности обычно в значительной степени определяет эффективность.

Коэффициент сохранения эффективности К_ЭФ - это отношение значения показателя эффективности за заданный период эксплуатации к номинальному значению данного показателя, определяемому при условии, что отказы объекта в течение того же периода эксплуатации не возникают:

 (1)

где Э_Р - реальное значение эффективности, т.е. с учетом надежности; Э_НОМ - номинальное значение эффективности, т.е. эффективность безотказной системы.

На рис.4 показана связь между отдельными сторонами и видами надежности, а также показателями эффективности и надежности. На рисунке: Э_{НОМ i} - номинальная эффективность объекта в i-м режиме его работы; P_i (t) - вероятность i-ого режима работы на интервале времени 0 - t; Э_Рi - реальная эффективность объекта в i-м режиме работы;  - суммарная реальная эффективность объекта;  - суммарная номинальная эффективность объекта.

Рис.4 Схема связи между эффективностью и отдельными сторонами и видами надежности

Под режимом работы объекта в данном случае понимаются вполне определенный состав объекта, организация его работы, рабочий ритм и другие факторы, изменение которых приводит к изменению выходного эффекта.

В левой части рис.4 представлена схема алгоритма определения К_ЭФ. Вначале определяются показатели номинальной эффективности для каждого из возможных режимов работы (Э_{НОМ i}). Значения этих показателей умножаются на вероятности режимов, и полученные результаты суммируются. Так определяется показатель суммарной номинальной эффективности . Чтобы получить показатель суммарной реальной эффективности, каждое из произведений Э_НОМi, P_i (t) подвергаются преобразованию с учетом показателей надежности элементов системы.

Преобразованные значения указанных произведений суммируются. В результате получается значение суммарной реальной эффективности объекта . Частным от деления  на  будет значение К_ЭФ.

4. Надежность АСУ ТП как совокупности комплекса технических средств, программного обеспечения и оперативного персонала

Особенности АСУ ТП, существенные для решения задач установления и обеспечения требуемого уровня надежности, были перечислены в п.1. Анализ и отражение этих особенностей позволяют конкретизировать общие понятия теории надежности, изложенные в гл.1 (отказ, восстановление, состав показателей и др.), применительно к АСУ ТП.

Автоматизированную систему управления, как и любую сложную систему, представим в виде совокупности элементов и рассмотрим взаимосвязь этих элементов между собой. Выбор элементов в зависимости от способа декомпозиции АСУ ТП может быть различен. При декомпозиции по составу в качестве элементов могут быть приняты комплекс технических средств (техническое обеспечение), информационное обеспечение (включающее в себя нормативно-справочную информацию, системы классификации и кодирования информации и др.) и организационное обеспечение (совокупность документов, регламентирующих действия персонала). Свойства информационного и организационного обеспечения влияют на надежность АСУ ТП косвенно, через функционирование технических средств, программного обеспечения и персонала, поэтому ниже при решении вопросов надежности отдельно не будут учитываться.

При функциональной декомпозиции АСУ ТП как многофункциональной системы в качестве элементов системы рассматриваются ее отдельные функции.

Рассмотрим АСУ ТП как совокупность комплекса технических средств, программного обеспечения и оперативного персонала. В п.5 АСУ ТП рассматривается как совокупность функций, выполняемых этой системой.

4.1 Надежность комплекса технических средств

Надежность комплекса технических средств оказывает наиболее существенное влияние на надежность АСУ ТП, поэтому приближенно надежность АСУ ТП зачастую оценивают с учетом только комплекса технических средств.

Критерии отказов технических средств (ТС), как правило, устанавливаются в соответствии с требованиями, указанными в стандартах, технических условиях или другой технической документации на эти ТС. Поскольку большинство ТС имеют общепромышленное назначение, то требования задаются безотносительно к тем системам, в которых эти ТС функционируют. Критерии отказов ТС при этом не зависят от характеристик управляемого объекта и требований к качеству управления.

Рассмотрим классификацию отказов ТС. Отказы ТС в зависимости от характера изменения параметров ТС до момента возникновения отказа можно разделить на внезапные и постепенные.

По степени нарушения работоспособности отказы разделяют на полные (после которых функционирование ТС полностью прекращается) и частичные (после которых может продолжаться функционирование ТС с ухудшенными показателями).

По характеру внешних проявлений отказы разделяют на явные, т.е. обнаруживаемые непосредственно после возникновения, и неявные (скрытые), не обнаруживаемые непосредственно после их возникновения.

По связи с предшествующим отказом отказы разделяют на первичные, не являющиеся следствием ранее возникших отказов, и вторичные, являющиеся следствием ранее возникших отказов.

Конкретизируем определение времени восстановления ТС, для чего рассмотрим его основные составляющие. Время восстановления всегда включает в себя время Т_В1 поиска причины отказа и время Т_в2 его устранения (рис.5, а). Оперативное время восстановления

. (2)

При эксплуатации ТС в (2) могут быть добавлены времена:

 - ожидание от момента обнаружения отказа до начала поиска его причины (это время может существенно превышать Т_в1 и Т_в2 на предприятиях, где технологическое оборудование работает круглосуточно, а ремонтный персонал - в одну смену);

Рис.5 Примеры структуры времени восстановления

Т_{в4 -} обеспечение персонала инструментами, материалами, запасными частями; Т_{В5 -} ожидание от момента окончания устранения отказа до момента включения ТС; Т_в6 и Т_{В7 -} демонтаж и монтаж ТС.

На рис.5, б приведена структура времени восстановления, проведенного непосредственно на месте установки отказавшего ТС без его замены. Общее время восстановления

.

На рис.5, в рассмотрен случай, когда восстановление проведено путем демонтажа отказавшего технического средства, его последующего ремонта в мастерской и монтажа на прежнем месте. При этом общее время восстановления

,

где Т_В8 - длительность ожидания ремонта в мастерской; Т_в9 - время устранения отказа в мастерской.

Показатели надежности ТС задаются из числа перечисленных в п.1.2 и 1.5 Как правило, эти показатели устанавливаются при следующих условиях: температура окружающего воздуха (20±10)°С; относительная влажность 30 - 80%; давление 630 - 800 мм рт. ст., отклонение напряжения питания сети +10 - 15%. Время t₁, на котором задается вероятность безотказной работы, обычно принимается равным 2000 ч, за исключением ТС, предназначенных для атомных станций, где t₁ = 8000 ч. Отметим, что задание показателей безотказности и долговечности для ТС, входящих в состав ГСП, является обязательным.

4.2 Надежность программного обеспечения (ПО)

Интерес к оцениванию надежности ПО возник одновременно с появлением программ. Он был вызван естественным стремлением получить традиционную вероятностную оценку надежности технического устройства (ЭВМ), работа которого, в основном, и предназначалась для функционирования ПО. Последнее было определено, как одна из составляющих частей машины, поэтому подход к оцениванию надежности программной части первоначально мало отличался от оценивания надежности техники и заключался в переносе известных статистических методов классической теории надежности на новую почву, образовав ее отдельную ветвь - теорию надежности ПО. В целом этот подход сохранился до сегодняшнего дня. Однако по мере развития вычислительной техники пришло четкое понимание того, что ПО - не просто составная часть ЭВМ. В современных условиях развития цифровой техники специальное ПО перестало быть принадлежностью одной вычислительной системы (как это было раньше), а стало использоваться на сотнях и тысячах аналогичных ЭВМ (в основном - персональных). Даже если не касаться вопросов информационной безопасности, проблема обеспечения устойчивого функционирования расчетных программ, выявления их ошибок сегодня крайне остро стоит перед разработчиками.

При применении понятий надежности к программным средствам (ПС) следует учитывать особенности и отличия этих объектов от традиционных технических систем, для которых первоначально разрабатывалась теория надежности:

не для всех видов программ применимы понятия и методы теории надежности - их можно использовать только к ПС, функционирующим в реальном времени и непосредственно взаимодействующим с внешней средой;

при разработке и оценке качества программных компонент к ним не применимы понятия надежности функционирования, если при обработке информации они не используют значения реального времени и не взаимодействуют непосредственно с внешней средой;

доминирующими факторами, определяющими надежность программ, являются дефекты и ошибки проектирования и разработки, и второстепенное значение имеет физическое разрушение программных компонент при внешних воздействиях;

относительно редкое разрушение программных компонент и необходимость их физической замены, приводит к принципиальному изменению понятий сбоя и отказа программ и к разделению их по длительности восстановления относительно некоторого допустимого времени простоя для функционирования информационной системы;

для повышения надежности комплекса программ особое значение имеют методы автоматического сокращения длительности восстановления и преобразования отказов в кратковременные сбои, путем введения в программные средства временной, программной и информационной избыточности;

непредсказуемость места, времени и вероятности проявления дефектов и ошибок, а также их редкое обнаружение при реальной эксплуатации достаточно надежных программных средств, не позволяет эффективно использовать традиционные методы априорного расчета показателей надежности сложных систем, ориентированные на стабильные, измеряемые значения надежности составляющих компонент;

традиционные методы форсированных испытаний надежности систем путем физического воздействия на их компоненты не применимы для программных средств и их следует заменять на методы форсированного воздействия информационных потоков внешней среды.

С учетом перечисленных особенностей применение основных понятий теории надежности сложных систем к жизненному циклу и оценке качества комплексов программ позволяет адаптировать и развивать эту теорию в особом направлении - надежность программных средств.

К задачам теории и анализа надежности сложных ПС можно отнести следующие:

формулирование основных понятий, используемых при исследовании и применении показателей надежности программных средств (ПС);

выявление и исследование основных факторов, определяющих характеристики сложных программных комплексов;

выбор и обоснование критериев надежности для комплексов программ различного типа и назначения;

исследование дефектов и ошибок, динамики их изменения при отладке и сопровождении, а также влияния на показатели надежности ПС;

исследование методов и средств контроля и защиты от искажений программ, вычислительного процесса и данных путем использования различных видов избыточности и помехозащиты;

разработка методов и средств определения и прогнозирования характеристик надежности в жизненном цикле комплексов программ с учетом их функционального назначения, сложности, структурного построения и технологии разработки.

Классификация отказов ПС:

программными - из-за не выявленных ошибок в программе, которые возникают при определенном сочетании данных и команд, соответствующем спецификации;

информационными - результаты работы искажаются из-за ошибок входных данных;

аппаратными - возникают в результате перемежающихся отказов технических средств и/или возникновения ошибок в операционных средах (сбоев);

эргатическими - возникают из-за некорректных действий пользователей.

При определении надежности программных средств рассматривают, как правило, только программные отказы, обусловленные наличием не выявленных ошибок в программе.

Свойства программ:

1. Корректность - статическое свойство программы, определяемое как отсутствие ошибок в программе. Корректность программ обеспечивается отладкой (проверкой) на множестве исходных данных, регламентированных документацией.

Устойчивость - динамическое свойство программы, которое характеризует способность программы давать правильные результаты при аппаратных, информационных и эргатических воздействиях. При этом выделяют два вида устойчивости:

толерантность - способность программы продолжать свою работу и выдавать правильные результаты при наличии перечисленных воздействий.

консервативность - способность программы при наличии возмущений, не позволяющих правильно решить задачу, перевести вычислительную систему в состояние отказа, из которого с минимальными потерями можно выполнить процедуру рестарта. Устойчивость программ обеспечивают структурной, информационной, временной и алгоритмической избыточностью.

Показатели качества и надежности современных ПС. Формализации показателей качества ПС посвящена группа нормативных документов, в которых выделены характеристики, позволяющие оценивать ПС с позиции пользователя, разработчика и управляющего проектом. Рекомендуется 6 основных характеристик качества ПС, каждая из которых детализируется несколькими (всего 21) субхарактеристиками:

. Функциональная пригодность - это набор атрибутов, определяющий назначение, номенклатуру, основные необходимые и достаточные функции ПС, заданные техническим заданием заказчика или потенциального пользователя. Функциональная пригодность детализируется:

пригодностью для применения;

точностью;

защищенностью;

способностью к взаимодействию;

согласованностью со стандартами и правилами проектирования.

Надежность - это способность программы обеспечивать достаточно низкую вероятность отказа в процессе функционирования в реальном времени. Надежность рекомендуется характеризовать:

уровнем завершенности (отсутствия ошибок);

устойчивостью к ошибкам;

перезапускаемостью.

. Применимость описывается:

понятностью;

обучаемостью;

простотой использования.

. Эффективность рекомендуется характеризовать:

ресурсной избыточностью;

временной избыточностью.

. Сопровождаемость детализируется:

удобством для анализа;

изменяемостью;

стабильностью;

тестируемостью.

. Переносимость предлагается отражать:

адаптируемостью;

структурированностью;

замещаемостью;

внедряемостью.

Дестабилизирующие факторы, влияющие на надежность ПС. При любом виде деятельности людям свойственно непредумышленно ошибаться, результаты чего проявляются в процессе создания или применения изделий или систем. В общем случае под ошибкой подразумевается дефект, погрешность или неумышленное искажение процесса или объекта. При этом предполагается, что известно правильное, эталонное состояние объекта, по отношению к которому может быть определено наличие отклонения - дефекта или ошибки. Для систематической, координированной борьбы с ними необходимы исследования факторов, влияющих на надежность ПС со стороны случайных, существующих и потенциально возможных дефектов в конкретных программах.

Анализ надежности ПС базируется на модели взаимодействия основных компонент, влияющих на надежность ПС:

1.      Объекты уязвимости:

динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управляющих воздействий;

информация, накопленная в базах данных, отражающая объекты внешней среды, и процессы ее обработки;

объектный код программ, исполняемых вычислительными средствами в процессе функционирования ПС;

информация, выдаваемая потребителям и на исполнительные механизмы, являющаяся результатом обработки исходных данных и информации, накопленной в базе данных.

На эти объекты воздействуют различные дестабилизирующие факторы, которые можно разделить на внутренние, присущие самим объектам уязвимости, и внешние, обусловленные средой, в которой эти объекты функционируют. К внутренним дестабилизирующим факторам относятся следующие дефекты программ:

системные ошибки при постановке целей и задач создания ПС, при формулировке требований к функциям и характеристикам решения задач, определении условий и параметров внешней среды, в которой предстоит применять ПС;

алгоритмические ошибки разработки при непосредственной спецификации функций ПС, при определении структуры и взаимодействия компонент комплексов программ, а также при использовании информации баз данных;

ошибки программирования в текстах программ и описаниях данных, а также в исходной и результирующей документации на компоненты и ПС в целом;

недостаточную эффективность используемых методов и средств оперативной защиты программ и данных от сбоев и отказов и обеспечения надежности функционирования ПС в условиях случайных негативных воздействий.

Внешними дестабилизирующими факторами являются:

ошибки оперативного и обслуживающего персонала в процессе эксплуатации ПС;

искажения в каналах телекоммуникации информации, поступающей от внешних источников и передаваемой потребителям, а также недопустимые для конкретной информационной системы характеристики потоков внешней информации;

сбои и отказы в аппаратуре вычислительных средств;

изменения состава и конфигурации комплекса взаимодействующей аппаратуры информационной системы за пределы, проверенные при испытаниях или сертификации и отраженные в эксплуатационной документации.

Методы обеспечения надежности функционирования ПС. В современных автоматизированных технологиях создания и развития сложных ПС с позиции обеспечения их необходимой и заданной надежности можно выделить методы и средства, позволяющие:

создавать программные модули и функциональные компоненты высокого гарантированного качества;

предотвращать дефекты проектирования за счет эффективных технологий и средств автоматизации обеспечения всего жизненного цикла комплексов программ и баз данных;

обнаруживать и устранять различные дефекты и ошибки проектирования, разработки и сопровождения программ путем систематического тестирования на всех этапах жизненного цикла ПС;

удостоверять достигнутые качество и надежность функционирования ПС в процессе их испытаний и сертификации перед передачей в регулярную эксплуатацию;

оперативно выявлять последствия дефектов программ и данных и восстанавливать нормальное, надежное функционирование комплексов программ.

Комплексное, скоординированное применение этих методов и средств в процессе создания, развития и применения ПС позволяют исключать некоторые виды угроз или значительно ослаблять их влияние. Тем самым уровень достигаемой надежности ПС становится предсказуемым и управляемым.

Предотвращение ошибок и улучшение технико-экономических показателей создания ПС обеспечивается применением современных технологий и систем автоматизированного проектирования. Такие технологии позволяют исключать или значительно снижать уровень системных, алгоритмических и программных ошибок в ПС, передаваемых в эксплуатацию.

Для обнаружения и устранения ошибок проектирования все этапы разработки и сопровождения ПС должны быть поддержаны методами и средствами систематического, автоматизированного тестирования. Надежность функционирования ПС непосредственно зависит от полноты применяющихся комплектов тестов и адекватности генераторов тестов реальным объектам внешней среды и условиям будущей эксплуатации.

5. Оценка надежности ПО по аналогии с невосстанавливаемыми техническими системами

5.1 Оценка надежности ПО по наработке (модель Шумана)

Для прогнозирования надежности ПО в этой модели используются данные о числе ошибок, устраненных в процессе компоновки программ в систему ПО и отладки программ. По этим данным вычисляются параметры модели надежности, которая может быть использована для прогнозирования показателя надежности в процессе использования ПО.

Предполагается, что при последовательных прогонах программы наборы входных данных являются случайными и выбираются в соответствии с законом распределения, соответствующим реальным условиям функционирования.

Модель основана на следующих допущениях:

в начальный момент компоновки программ в систему ПО в них имеется Е₀ ошибок; в ходе корректировок новые ошибки не вносятся;

общее число I машинных команд в программах постоянно;

 (3)

где отношение числа ошибок, устраненных в течение времени отладки , к общему числу команд на машинном языке.

Таким образом, в модели различаются два значения времени: время отладки  (обычно измеряется месяцами) и время работы программы  - суммарная наработка программы (часы и доли часа). Время отладки включает затраты времени на выявление ошибок с помощью тестов, контрольные проверки и т.п. Время исправного функционирования при этом не учитывается.

Таким образом, значение интенсивности отказов  считается постоянным в течение всего времени функционирования (). Значение  изменяется лишь при обнаружении и исправлении ошибок (при этом время  вновь отсчитывается от нуля).

В силу принятых допущений для фиксированного  вероятность отсутствия ошибок программ в течение наработки времени ()

 (4)

Средняя наработка программы до отказа

 (5)

Для практического использования формулы (5) необходимо оценить  и  по экспериментальным данным. Для этого можно использовать метод моментов или метод максимального правдоподобия.

Применяя метод моментов и рассматривая два периода отладки программ  и  при  < , получаем

где  - продолжительность работы системы, соответствующие  и ;  и  - число ошибок в ПО, обнаруженных соответственно в периодах  и .

.2 Оценка надежности программ по числу прогонов (модель Нельсона)

В такой модели за показатель надежности программы принимается вероятность  безотказного выполнения n прогонов программы.

Вероятность того, что j-й прогон закончится отказом,

 (6)

где  - вероятность выбора i-ого набора входных данных при j-м прогоне некоторой последовательности прогонов;  - "динамическая переменная", принимающая значение 0, если прогон программы при i-м наборе входных данных оказывается успешным, и значение 1, если этот прогон заканчивается отказом; N - число возможных наборов входных данных.

На практике надежность программы может быть оценена путем прогона программы на n наборах входных данных и вычисления значения оценки

где  - число наборов входных данных, при которых произошли отказы.

Для получения  вначале находят "функциональный разрез" программы, т.е. множество вероятностей того, что будет сделан выбор i-ого варианта входных данных. Для этого разбивают все пространство входных переменных на подпространства и находят вероятности того, что выбранный набор входных данных будет принадлежать конкретному подпространству. Это можно сделать, оценивая вероятности появления различных входов в реальных условиях функционирования, для которых оценивается надежность программы.

Далее формируют случайную выборку из n наборов входных данных, распределенных в соответствии с  (например, с помощью датчика случайных чисел), и проводят n прогонов программы, находят  и вычисляют .

Чтобы установить связь между моделями по наработке и по прогонам, запишем

 (7) или  (8)

Обозначим  время выполнения j-ого прогона программы  - суммарное время выполнения первых j прогонов программы и примем, что

 (9)

при этом

 (10)

При  функция  может рассматриваться как функция интенсивности отказов.

Оценка надежности программ на ранних стадиях проектирования. Описанные выше модели надежности программ требуют оценки ряда параметров по статистическим данным, получаемым при тестировании, отладке программ или на этапе передачи программ в эксплуатацию. На ранних этапах проектирования программ отсутствует возможность проведения экспериментов, могут быть использованы статистические данные об отказах аналогичных программ, созданных ранее той же группой программистов.

Рядом исследователей выявлена стабильность относительной частоты ошибок в различных типовых конструкциях алгоритмических языков высокого уровня. Рассмотрим модель надежности программы, основанную на этом явлении и учитывающую структуру программы и распределение исходных данных.

В этой модели предполагается, что:

а) исходные данные выбираются случайно в соответствии имеющимся распределением их вероятностей;

б) ошибки в элементах программы независимы;

в) программа образована из элементов немногих s классов с одинаковыми вероятностями p_l правильного однократного исполнения элементов класса l.

При этих допущениях условная вероятность p_i правильного однократного пути исполнения программы при условии исполнения пути i

, (11)

где m_li - количество элементов l - ого класса в i-ом пути (путь - последовательность элементов программы, не содержащая ответвлений и используемая при выполнении программы с определенными исходными данными).

Вероятность правильного однократного исполнения всей программы

 (12)

где  - вероятность выбора i-ого пути (зависит от сочетания значений исходных данных).

Если программа в процессе эксплуатации не корректируется, т.е. проявившиеся ошибки не устраняются, вероятности p_i неизменны. При корректировании программ вероятность правильного однократного исполнения элемента l-го класса в период между (j-1) - й и j-й ошибками

 (13)

где  - вероятность правильного однократного исполнения элемента l-го класса до начала эксплуатации или отладки программы; q_{l -} параметр эффективности корректировки (показывает, во сколько раз изменяется вероятность появления ошибки в элементе l-ого класса после ее устранения).

При одинаковых q_l = q вероятность правильного однократного исполнения всей программы между (j-1) и j-м отказами

 (14)

где

p_C0 - вероятность правильного однократного исполнения программы до начала ее эксплуатации или отладки.

Если программа не корректируется после обнаружения в ней ошибок, q=1. Если корректировки неудачны, например, из-за плохого знания программы, q>1. При 0<q<1 корректировки повышают надежность программы.

Если элементами программы являются операторы алгоритмического языка высокого уровня, целесообразно объединить операторы в следующие группы:

1)      элементы ввода-вывода (включая операторы формата);

2)      элементы цикла: операторы цикла, в том числе и операторы условного перехода, с помощью которых организуется цикл;

)        логические элементы: операторы условного и безусловного переходов;

)        исполняемые элементы: вычислительные операторы, операторы присваивания, вызова подпрограмм;

)        неисполняемые элементы: операторы задания режимов, распределения памяти, закрепления устройств и т.д.

Для приближенной оценки выделяется всего два класса, в один из которых входят элементы групп 2 и 3, в другой - групп 1, 4, 5.

На практике наиболее часто используемые пути программы отлаживаются очень тщательно, вплоть до полного исключения возможных ошибок (полной отлаженности пути). Эту особенность можно учесть, предположив, что программа передается в эксплуатацию после полной отлаженности всех путей, вероятность выбора которых превышает . Учтя зависимость проявления отказа в элементе программы от исходных данных, имеем

 (15)

где первая сумма находится по всем путям с номерами i, для которых вероятность выбора  превышает , вторая - по маловероятным путям, вероятность выбора которых меньше .

Оценки p_C0 и q по экспериментальным данным находятся по числу  прогонов программы до обнаружения отказа. При этом максимально правдоподобные оценки получаются в результате решения системы уравнений:

 (16)

5.3 Надежность оперативного персонала

Оперативный персонал (оператор-технолог) в составе АСУ ТП принимает непосредственное участие в реализации ее функций. Роль оперативного персонала заключается в следующем: наблюдение за ходом технологического процесса и правильностью функционирования АСУ ТП; настройка, ввод установок, запуск и коррекция работы технических средств; принятие решения по управлению технологическим процессом по не алгоритмизированным правилам; непосредственное воздействие на ход технологического процесса включением и отключением регулирующих органов и механизмов в некоторых режимах работы объекта (например, пусковых) или при отказах технических средств.

Использование оперативного персонала в качестве резервного звена системы управления позволяет повысить надежность выполнения функций АСУ ТП. В то же время недостаточная надежность этого персонала при выполнении им основных функций управления снижает общую надежность функционирования АСУ ТП.

Под надежностью человека-оператора понимается совокупность его свойств, проявляющихся при его участии в функционировании АСУ ТП и влияющих на надежность АСУ ТП. Основными из этих свойств являются: безошибочность - способность человека-оператора выполнять все заданные операции в заданном порядке; своевременность - способность человека-оператора выполнять заданные операции за заданное время.

Алгоритмизируемой деятельности оператора по выполнению какой-либо функции АСУ ТП можно поставить в соответствие набор процедур, каждая из которых состоит в реализации определенных операций в заданной последовательности. Поток требований (запросов) на выполнение процедуры, во всяком случае при установившемся режиме работы объекта (например, базовом режиме энергоблока), можно принять простейшим. Длительность выполнения процедуры различна (от нескольких секунд при однократном обращении к дисплею при контроле по вызову до нескольких часов при неавтоматическом управлении после отказа технических средств).

В настоящее время сложилось два подхода к учету влияния человека-оператора на надежность АСУ ТП.

Один из них состоит в том, что понятия и методы теории надежности технических систем применяются к человеку-оператору как отдельному элементу системы "человек - техника", аналогичному техническим элементам. При этом рассматриваются показатели надежности человека-оператора аналогичные показателям надежности технических средств (интенсивность отказов, интенсивность восстановления, коэффициент готовности и т.д.). Показатели надежности человека-оператора учитываются в логических моделях безотказной работы системы. Например, иногда значение вероятности безотказной работы системы  находят как произведение вероятностей:

 (17)

где  - вероятность безотказной работы технической системы в течение времени t;  - вероятность безотказной работы человека-оператора в течение времени t.

Такие модели являются очень грубыми, не учитывают активную роль человека-оператора в системе и другие принципиальные отличия человека.

Показатели безошибочности человека-оператора

При идеальных условиях работы, хорошо обученные операторы делают в среднем не менее одной ошибки на 1000 операций; при стрессовых ситуациях - в среднем одну ошибку на 10 операций. Принято выделять два вида ошибок оператора:

) ошибки - пропуски сигналов;

) ошибки - искажения.

В качестве характеристики безошибочности работы оператора применяют частоту (вероятность) появления ошибок. Статистическое определение частоты ошибок в i-ом опыте:

 (18)

где n_i - количество предъявленных оператору сигналов в i-ом опыте;

m_i - количество ошибок оператора в этом опыте. В процессе обучения частота ошибок обычно уменьшается. Оператор считается обученным, если частота ошибок уменьшилась до установившегося значения q_c. Процесс обучения достаточно хорошо аппроксимируется экспоненциальной зависимостью

 (19)

где q₀ - начальное (до обучения) значение частоты ошибок; n - накопленная сумма предъявленных оператору сигналов в предыдущих опытах и половина числа сигналов в данном опыте; N - "постоянная обучения", т.е. некоторое среднее характеристическое число опытов. При N = n разность (q_{0 -} q_c) уменьшается на 63%. Считается, что значение q_c практически достигается при .

Стабильность обученности операторов характеризуется средним квадратическим отклонением статистических частот ошибок  от экспоненты :

 (20)

где  статистическое определение частоты ошибок в i-ом опыте;

q_i - соответствующее аппроксимирующее значение;

k - число опытов.

Согласно экспериментальным данным распределение частоты ошибочных реакций человека-оператора на зрительные и звуковые сигналы является модальным с положительной ассиметрией: вероятность появления соответствующей частоты быстро увеличивается до модального значения, затем медленно уменьшается в области больших частот.

В качестве показателя безошибочности можно рассматривать R₆ - вероятность безошибочного выполнения процедуры, т.е. вероятность того, что при выполнении рассматриваемой процедуры будут правильно выполнены именно те операции, которые составляют данную процедуру, и именно в заданной последовательности [например, вероятность безошибочного выполнения требования по управлению запорной (двухпозиционной) арматурой].

В качестве показателя своевременности чаще всего используют вероятность R_c своевременного выполнения процедуры, т.е. вероятность того, что совокупность всех операций, составляющих данную процедуру, будет выполнена за время, не превышающее допустимое (например, вероятность своевременного переключения регулятора с автоматического режима на неавтоматический за время не более заданного). Если же длительность t выполнения процедуры имеет порядок часа и более, то показателем надежности может быть вероятность P (t) безошибочных, своевременных (а также точных) действий оператора за время t (например, по неавтоматической стабилизации некоторого параметра).

Отметим, что кроме оперативного персонала в состав АСУ ТП входит эксплуатационный персонал, обеспечивающий нормальное функционирование системы; вопросы, связанные с поведением этого персонала в АСУ ТП.

6. Надежность АСУ ТП как совокупности функций. Критерии отказов и показатели надежности функций

Надежность (в частности, безотказность и ремонтопригодность) АСУ ТП связана со способностью системы выполнять требуемые функции. Тем самым становится естественным использование декомпозиции АСУ ТП как многофункциональной системы по выполняемым функциям. Надежность АСУ ТП при выполнении отдельных функций и будет рассмотрена ниже.

При задании показателей надежности АСУ ТП их функции можно классифицировать по двум признакам: по сложности и по временному режиму выполнения.

По сложности функции АСУ ТП делят на простые и составные. Простыми являются функции, рассматриваемые как неразложимые на составляющие. Составные функции включают в себя некоторую совокупность простых и (или) составных функций, объединяемых по общности цели, роли в процессе управления, конструктивным, информативным или другим признакам. Примерами простой функции являются автоматическое регулирование или измерение отдельного параметра; примерами составной функции - автоматическое регулирование или контроль всех параметров технологического объекта управления.

По временному режиму выполнения функции делят на непрерывно выполняемые - непрерывные, дискретно выполняемые - дискретные и комбинированные.

Для выполнения непрерывной функции при отсутствии избыточности необходима непрерывная работа всех элементов системы, участвующих в реализации данной функции, в течение всего периода ее выполнения. Примерами такой функции являются автоматическое регулирование или непрерывная регистрация параметров непрерывного технологического процесса.

Дискретные функции выполняют по запросам (периодическим или случайным) некоторые заранее заданные процедуры, заключающиеся в реализации определенных операций в заданной последовательности. Для выполнения процедуры требуется безотказная работа отдельных элементов системы в соответствующие, относительно короткие интервалы времени. Примерами такой функции являются дискретное управлением исполнительным механизмом или защита технологического агрегата от аварий.

Комбинированные функции характеризуются совокупностью признаков, свойственных непрерывным и дискретным функциям. Примером комбинированной функции является автоматическое регулирование в непрерывно-дискретном технологическом процессе.

Критерии отказов функций АСУ ТП. Для выбора показателей надежности, установления требований к ним, оценки надежности АСУ ТП на различных стадиях разработки и эксплуатации систем необходимо однозначно определить, что считается отказом АСУ ТП в выполнении каждой отдельной функции (далее сокращенно - отказом функции).

В общем случае отказом функции является событие, заключающееся в нарушении хотя бы одного из основных установленных требований к качеству ее выполнения, возникающее при заданных условиях эксплуатации АСУ ТП и функционирующем в заданных режимах технологическом объекте управления.

Событие, заключающееся в нарушении требований к качеству выполнения функции, произошедшее вследствие нарушения заданных условий эксплуатации (например, повышения температуры в помещении или снижения напряжения питания сверх допустимых пределов), как отказ функции не рассматривается.

Установление критериев отказов функций проводится с учетом приведенной выше классификации функций в зависимости от требований к качеству их выполнения.

В частном случае, если последствия отказов каждой из простых функций одинаковы, может быть задано требование по ограничению только общего числа одновременно не выполняемых простых функций.

Классификация отказов функций. Отказы функций можно классифицировать по следующим признакам:

по влиянию на работу объекта управления (вызвавшие аварию с повреждением оборудования, останов технологического процесса, ухудшение качества протекания технологического процесса, не повлиявшие на работу объекта и т.д.);

по причинам возникновения (из-за отказов технических средств, ошибок программного обеспечения, неправильных действий персонала);

по степени нарушения работоспособности (полные и частичные);

по наличию внешних проявлений (явные и неявные);

по виду нарушения для дискретных функции (несрабатывание, заключающееся в отсутствии сигналов или команд на управление исполнительными механизмами при наличии условий, требующих их функционирования, и ложное срабатывание, заключающееся в выработке сигналов или команд при отсутствии условий, требующих их функционирования).

Состав показателей надежности функций АСУ ТП. Показатели надежности АСУ ТП в выполнении отдельных функций (далее - показатели надежности функций) выбираются в соответствии с классификацией функций по временному режиму выполнения с учетом классификации и критериев отказов.

Основным показателем безотказности различных непрерывных функций является средняя наработка на отказ . Вместо нее допускается использовать параметр потока отказов , если поток отказов является стационарным. При рассмотрении поведения функции до первого отказа показателем безотказности является средняя наработка до отказа .

В тех случаях, когда можно выделить характерные длительности интервалов t₁ в работе АСУ ТП (например, периодичность капитальных ремонтов технологического оборудования, периодичность остановов из-за изменения производственной программы и т.д.), в качестве показателя безотказности может быть принята вероятность безотказного выполнения функции (вероятность безотказной работы) P (t₁). Этот показатель, в частности, может использоваться для таких функций АСУ ТП атомной станции, у которых технические средства не подлежат восстановлению при работе реактора на мощности.

Основным показателем безотказности и ремонтопригодности дискретных функций по отказам типа "несрабатывание" является вероятность R успешного выполнения заданной процедуры при возникновении запроса (например, вероятность успешного срабатывания технологической защиты при наличии запроса).

Если выполнение процедуры сводится к включению в течение малого интервала времени, то вероятность R может быть равна коэффициенту готовности k_Г. Если выполнение процедуры сводится к включению и дальнейшей работе в течение определенного интервала времени, то вероятность R может быть равна коэффициенту оперативной готовности k_О.Г. Комплексные показатели надежности k_Г, k_О.Г.,  могут применяться в качестве дополнительных и для непрерывных функций. Так, коэффициент готовности k_c при требованиях п.1, 2 для непрерывных функций выбирается тогда, когда существенна (например, по влиянию на эффективность) только доля времени, в течение которого выполняется функция.

Для некоторых дискретных функций успешность выполнения процедуры понимается как удовлетворение требований к безошибочности, своевременности и точности. В этих случаях в качестве частных показателей надежности могут использоваться:

вероятность R_б безошибочного выполнения процедуры;

вероятность R_c своевременного выполнения процедуры;

вероятность R_т достижения достаточной точности выполнения процедуры, т.е. вероятность того, что общая погрешность выполнения всех операций, составляющих данную процедуру, не будет превышать допустимую погрешность.

При независимости этих вероятностей

R= R_б R_c R_т. (21)

Основным показателем безотказности дискретных функций по отказам типа "ложное срабатывание" является средняя наработка на такой отказ (например, средняя наработка на ложное срабатывание функции технологической защиты).

Показатели безотказности комбинированных функций выбирают из числа указанных выше в зависимости от конкретных особенностей каждой функции. Например, для функций автоматического регулирования или непрерывного измерения в АСУ непрерывно-дискретным технологическим процессом основным показателем безотказности является вероятность безотказной работы P (t₁) за длительность t₁ цикла работы.

Основным показателем ремонтопригодности является среднее время восстановления  способности АСУ ТП к выполнению функции. В некоторых случаях применяют вероятность F_B (t) восстановления в течение заданного времени способности АСУ ТП к выполнению функции.

Критерии и классификация отказов АСУ ТП в целом. Описание надежности АСУ ТП в целом (без декомпозиции на компоненты) имеет смысл в связи с необходимостью рассмотрения надежности автоматизированного технологического комплекса, с учетом взаимосвязи АСУ ТП и ТОУ. При этом совокупность показателей надежности АСУ ТП и ТОУ позволит определить показатели надежности АТК.

Поведение АТК при анализе надежности описывается случайным процессом попадания АТК в определенные состояния. Примерами таких состояний могут быть работа на номинальной и пониженной мощностях, простой, сопровождающийся повреждением отдельных единиц технологического оборудования, простой, вызванный нарушением безопасности, и др.

Показателями надежности АТК могут быть параметр потока попаданий в каждое из этих состояний, или средняя наработка между попаданиями в такое состояние, или вероятность отсутствия этих попаданий за определенное время. Соответственно за отказы АСУ ТП в целом могут приниматься нарушения требований к качеству управления, приводящие к попаданию АТК в определенные состояния. Примерами такого требования является отсутствие вынужденных остановов технологического оборудования по вине АСУ ТП.

У сложных систем, таких как АСУ ТП, могут иметь место не только работоспособное и неработоспособное состояния, но и промежуточные между ними, отличающиеся, например, показателями эффективности. Поэтому одно из требований к АСУ ТП - поддержание значений показателей эффективности АСУ ТП не хуже заданных. Особенностью большинства показателей эффективности является их зависимость не только от состояния АСУ ТП, но и от поведения ТОУ, технологических возмущений, поступающих на объект, задания и т.п. Нарушением указанного требования следует считать ухудшение показателей эффективности, произошедшее только вследствие отказов компонентов АСУ ТП. Примерами критериев отказа при нарушении этого требования является снижение показателя качества продукции ниже допустимого уровня из-за отказа технических средств или неправильных действий оперативного персонала.

Отказы АСУ ТП можно классифицировать по виду состояния, в которое может попасть АТК после отказа АСУ ТП, и по причинам их возникновения. Кроме того, их можно разделить на отказы, приводящие к существенным последствиям только при возникновении запросов от объекта (для определения влияния этих отказов на процесс изменения состояний АТК необходимо учесть характеристики потока запросов), и отказы, приводящие к существенным последствиям без запросов от объекта (эти отказы непосредственно изменяют состояние АТК). Примером отказа АСУ ТП первого вида является несрабатывание аварийной защиты при поступлении запроса на ее срабатывание, приведшее к повреждению оборудования.

Состав показателей надежности АСУ ТП. Исходя из необходимости дальнейшего определения показателей надежности АТК, в качестве показателей надежности АСУ ТП принимаются:

средняя наработка на отказ, приводящий к попаданию АТК в определенное состояние (или соответствующий параметр потока отказов, или вероятность отсутствия таких отказов за определенный промежуток времени);

вероятность невыполнения АСУ ТП заданных действий при наличии запроса (например, несрабатывание защиты), приводящего к попаданию АСУ ТП в определенное состояние.

Указанные показатели задаются для различных состояний АТК.

Покажем, как эти показатели (совместно с показателями надежности объекта) могут быть использованы для определения надежности АТК. Рассмотрим параметр потока попаданий АТК в некоторое из указанных состояний (например, параметр потока остановов АТК)

,

где  - параметр потока отказов объекта, не предотвращаемых действиями АСУ ТП и приводящих к останову АТК;  - параметр потока отказов объекта, вызывающих запросы на выполнение некоторых действий АСУ ТП (показатели надежности объекта);  - вероятность невыполнения АСУ ТП указанных действий, приводящих к останову АТК;  - параметр потока отказов АСУ ТП, непосредственно приводящих к останову АТК (показатели надежности АСУ ТП).

При требовании поддержания значения показателя эффективности в качестве комплексного показателя надежности может использоваться коэффициент сохранения эффективности

, (22)

где W₁ и W₂ - показатели эффективности АСУ ТП с учетом отказов и в предположении, что отказы системы за это время не возникают.

Показателем долговечности АСУ ТП в целом (а также ее подсистем) является средний или установленный срок службы.

Список литературы

1. Ястребенецкий, М.А. Надежность автоматизированных систем управления технологическими процессами [Текст]: учеб. пособие для вузов/ М.А. Ястребенецкий, Г.М. Иванова. - М.: Энергоатомиздат, 1989. - 264 с.: ил.; 21 см. - Библиогр.: с.259-260. - 8700 экз. - ISBN 5-283-01549-1.

. ГОСТ 27.301-95. Надежность в технике. Расчет надежности. Основные положения. М.: Издательство стандартов, 1997. - 15 с.

. РД 03-418-01. Методические указания по проведению анализа риска опасных производственных объектов. Госгортехнадзор России, 2001. // Безопасность труда в промышленности. - 2001. - № 10. С.40-50.

. Черкесов, Г.Н. Надежность аппаратно-программных комплексов [Текст]: учеб. пособие/ Г.Н. Черкесов. - СПб.: Питер, 2005. - 479 с.: ил.; 24 см. - Библиогр.: с.473. - 4000 экз. - ISBN 5-469-00102-4.

. Вентцель, Е.С. Теория случайных процессов и ее инженерные приложения [Текст]: учеб. пособие для втузов/ Л.А. Овчаров, Е.С. Вентцель. - 2-е изд., стер. - М.: Высш. шк., 2000. - 383 с.: ил.; 21 см. - Библиогр.: с.378-379. - 8000 экз. - ISBN 5-06-003831-9.

. Вентцель, Е.С. Теория вероятностей [Текст]: учеб. пособие для вузов/ Е.С. Вентцель. - 5-е изд., стер. - М.: Высш. шк., 1998. - 576 с.: ил.; 21 см. - Библиогр.: с.573-575. - 12000 экз. - ISBN 5-06-003522-0.