l. Оценка безопасности систем железнодорожной автоматики и телемеханики ( СЖАТ) по надежности ее элементов (стр. 1 )

l. ОЦЕНКА БЕЗОПАСНОСТИ СИСТЕМ ЖЕЛЕЗНОДОРОЖНОЙ АВТОМАТИКИ И ТЕЛЕМЕХАНИКИ ( СЖАТ) ПО НАДЕЖНОСТИ ЕЕ ЭЛЕМЕНТОВ

АННОТАЦИЯ.

Обсуждается правомерность концепции опасных и защитных отказов при оценке безопасности СЖАТ. Оценивается погрешность в расчетах уровня безопасности СЖАТ, основанных на концепции опасных отказов. Предлагается новый подход для разработки моделей безопасности СЖАТ, основанный на концепции «опасного» элемента. Разработаны для различных конфигураций системы три версии марковских моделей СЖАТ. Разработаны и исследованы компьютерные модели, получены численные значения показателей безопасности СЖАТ:

C вероятность опасного состояния СЖАТ;

C коэффициент безопасности;

C вероятность безопасной работы системы.

1.ПОНЯТИЕ БЕЗОПАСНОСТИ.

Понятие безопасности СЖАТ достаточно подробно обсуждалось в [1].Безопасноть систем управления, подобных СЖАТ, может быть внешней и внутренней.

Внешняя безопасность связана с сохранностью системы управления как обьекта и может нарушаться из-за внешних воздействий.

Внутренняя безопасность СЖАТ есть свойство системы сохранять исправное, работоспособное и защитное состояния. Рассмотривая задачу оценки безопасности, мы под безопасностью СЖАТ подразумеваем ее внутреннюю безопасность.

В поцессе эксплуатации СЖАТ может быть исправной и неисправной.

Если СЖАТ неисправна, то в таком случае система может находиться в одном из трех состояний:

Cнеисправном, но работоспособным, когда отказы некоторых элементов системы не оказывают существенного влияния на выполнение системой своих основных функций;

Cнеработоспособном, но защитном, при котором значения всех параметров, характеризующих способность системы выполнять свои функции по обеспечению безопасности движения поездов, соответсвуют требованиям нормативно-технической и ( или) конструкторской документации;

Cнеработоспособном, опасном, при котором значения хотя бы одного параметра, характеризующих способность системы выполнять заданные функции по обеспечению безопасности движения поездов, не соответсвуют требованиям нормативно-технической и ( или) конструкторской документации.

Таким образом, СЖАТ может быть в одном из четырех состояний.

Cисправном;

Cнеисправном работоспособном;

Cопасном.

В соответствии с концепцией, принятой в [1], переход системы из исправного состояния в одно из неисправных осуществляется под воздействием отказов двух типов:

Cзащитных, которые переводят систему из исправного или неисправного, но работоспособного состояния в неработоспособное, но защитное состояние;

Cопасных, появление которых переводит систему в неработоспособное опасное состояние.

Разделение отказов на опасные и защитные устанавливает определенную неравноценность отказов. Это, как отмечается в [1], ... дает возможность при построении системы сконцентрировать внимание, прежде всего, на защите от опасных отказов, что способствует повышению уровня безопасности и уменьшению обьема аппаратуры. Кроме того, разделение общего потока отказов на опасные и защитные дает возможность авторам работы [1] существенно упростить задачу оценки безопасности СЖАТ. Задача оценки безопасности СЖАТ при таком подходе сводится, в сущности, к расчетам по известным в теории надежности формулам. Если известны параметры потока опасных отказов, то используя экспоненциальную вероятностную модель надежности легко рассчитать основные показатели безопасности. В качестве показателей безопасности в [1] предлагаются показатели, идентичные показателям, используемым в теории надежности:

Рб(t) -вероятность безотказной работы – вероятность того, что в пределах заданной наработки t опасный отказ системы не наступает;

Qоп(t)- вероятность опасного отказа - вероятность того, что в пределах заданной наработки опасный отказ наступает хотя бы один раз;

Топ - средняя наработка до опасного отказа- математическое ожидание наработки системы до первого опасного отказа;

Кб - коэффициент безопасности - вероятность того, что система окажется в работоспособном или защитном состоянии в произвольный момент времени.

Если известно значение параметра потока опасных отказов lоп, то при экспоненциальном законе распределения времени безопасной работы перечисленные выше показатели безопасности определяются соотношениями:

Рб(t) = e-lопt

Qоп(t)= 1 - Рб(t);

Топ = ;

Кб =,

где Тв. ср - среднее время восстановления.

Таким образом, в концепции безопасности, принятой в [1], ключевым является допущение о том, что поток отказов в системе СЖАТ можно разделить на два различных потока: защитных и опасных.

Это допущение позволяет использовать вероятностые экспоненциальные модели надежности для оценки безопасности путем замены в этих моделях параметра потока отказов, характеризующих надежность, на параметр потока опасных отказов.

Однако остается открытым ряд вопросов:

Cкак из общего потока отказов, которые обьективно появляются в системе, выделить и определить параметры потока опасных отказов?

Cвозможно ли такое разделение общего потока отказов, который формируется в системе в соответствии с реальной надежностью элементов СЖАТ?

Cкак при решении задачи оценки безопасности СЖАТ найти значения параметра потока опасных отказов и насколько достоверными будут найденные значения?

2.OЦЕНКА ТОЧНОСТИ ВЕРОЯТНОСТНОЙ ЭКСПОНЕНЦИАЛЬНОЙ МОДЕЛИ БЕЗОПАСНОСТИ

Вероятностная модель безопасности и принятие на ее основе нормы безопасности являются наиболее распространенными и общепризнаными. Такие модели безопасности отражают вероятносную природу механизма появления отказов и процессов их устранения, однако следует отметить то, что эта модель не является безупречной.

Правомерность использования вероятностных моделей для расчета различных оценок, в том числе и оценок безопасности, может основываться только на достаточно большом обьеме статистических данных. Между тем, статистических данных по опасным отказам СЖАТ явно недостаточно для того, чтобы по этим данным построить достоверную вероятностную модель безопасности. Собрать необходимый обьем статистических данных по опасным отказам проблематично из-за самой природы этих отказов, которые появляются в системе чрезвычайно редко. Так в работе [1] приводятся статистические данные по опасным отказам в релейных СЦБ, собранные за период г. г. по сети железных дорог СССР. При количестве ж. д. станций 9754 на этой сети число опасных отказов с СЦБ за пятилетний период равно 77.

В таблице 10.4. этой же работы приведены рассчитанные по этим данным показатели безопасности:

Cинтенсивность опасных отказов на одну станцию:

lоп=;

Cсредняя наработка до опасного отказа на станции:

Тс=;

Cсредняя наработка до опасного отказа на сети железных дорог:

Тд=.

C вероятность безопасной работы в течение 20 лет:

P(t) =e-lоп t, t =365·24×20 часов.

P(t) = 0,969.

Эти расчеты выполнялись для принятого предположения о экспоненциальном законе распределения случайных интервалов времени между опасными отказами. Возникает вопрос: насколько точны и надежны оценки показателей безопасности, полученные по статистическим данным токаго малого обьема в предположении о экспоненциальном законе распределения?

Прежде всего следует отметить то, что принимая предположение о экспоненциальном распределении времени безотказной работы, существенно упрощают математические выкладки при разработке различных вероятностых моделей в теории вероятностей как « закон без памяти».

Иными словами, если еще система не отказала к моменту времени t, то распределение ее времени безотказной работы будет таким же, как если бы в этот момент времени начала использоваться совершенно новая система. Поэтому применяя этот закон, мы считаем, что интервалы времени между опасными отказами не изменятся и будут в среднем постоянными как в начале эксплуатации, так и через 5, 10, 20 лет.

Другое любопытное обстоятельство связано с дисперсией экспоненциального распределения времени между опасными отказами. Дисперсия в этом случае равна 1/, а среднее квадратичное отклонение равно математическому ожиданию, т. е. для отдельной СЖАТ ж. дорожной станции sоп = Тс = 5,548× 106 часов, что составляет более 633 лет. При таком разбросе интервалы времени между опасными отказами могут быть нулевыми, а могут равняться нескольким столетиям. В связи с этим достоверность оценок показателей безопасности СЖАТ, полученных с помощью экспоненциальной вероятстностной модели, вызывает определенные сомнения.

Вместе с этим, правомерность использования экспоненциального распределения при построении вероятностных моделей безопасности достаточно подробно обсуждается в [1]. В этой работе доказывается гипотеза о экспоненциальном распределении случайных интервалов времени между опасными отказами и делается вывод о том, что «время наработки между опасными отказами СЖАТ подчиняется экспоненциальному распределению». (стр.279). Здесь же излагается последовательность операций при оценке точности и надежности получаемых оценок безопасности, однако в этой работе не приводятся числовые значения для доверительных интервалов и доверительных вероятностей. Ниже рассматривается задача оценки точности и надежности одного из показателей безопасности в зависимости от обьема статистических данных.

Наша цель – установить точность и достоверность полученных оценок показателя безопасности (TC) в зависимости от обьема статистических данных при использовании экспоненциальной вероятностной модели безопасности СЖАТ.

Случайная величина, которую мы исследуем – это временной интервал между опасными отказами в устройствах СЖАТ отдельной станции. Будем использовать статистические данные таблицы 10.4., приведенной в работе [1] на стр. 270.По этим данным в соотвествии с принятыми допущениями в работе [1] были рассчитаны показатели lоп, Ti, P(t), эти расчеты и полученные приближенные значения этих показателей приведены выше.

Пусть Тm - математическое ожидание случайных интервалов между опасными отказами на ж. д. станции. Тс – это приближенная оценка Тм, поэтому Тм » Тс.

Будем считать, что приближенное равенство Тм » Тс имеет точность θ и достоверность d, если вероятность неравенства

| Тм-Тс | < θ равна d,

т. е. P( |Тм-Тс | < θ ) = d. (1).

Необходимо выяснить, как связаны между собой точность θ, достоверность d и обьем статистических данных N. Для этого воспользуемся неравенством Чебышева [2], которые для условий нашей задачи запишется в виде:

Р (|Тс - Тм | ³ θ £,

Здесь Dtc - дисперсия велчины Тс.

Преобразуем неравенство Чебышева:

Р(|Тс - Тм |< θ) = 1- Р (|Тс - Тм | ³ θ ) ³1 -.

Поэтому Р(|Тс - Тм | < θ ) ³ 1-.

Выразим дисперсию Dtc через среднее квадратичное отклонение s, используя известное в статистике соотношение: s(х) = ,

Где Х - среднее арифметическое n случайных величин;

s  -среднее квадратичное отклонение случайной величины.

Получим:

Р(|Тс - Тм |< θ) ³ 1-. (2)

Левая часть неравенства (2) - это достоверность d

D ³ 1 - (3)

Обозначим правую часть неравенства (2) через b и определим из уравнения

b = 1 - ( 4)

параметр θ , значение которого характеризует статистической оценки величины Тс

θ = sтс (5)

Подставим θ из (5) в уравнение (2), получим оценку достоверности:

d = Р(|Тс - Тм |< stc ³ b (6)

Выражение (6) интерпретируется следующим образом:

С доверительной вероятностью не меньшей b ошибка в определении математического ожидания случайных интервалов времени между опасными отказами будет не больше величины θ , определяемой уравнением (5).

Оценка ошибки:

|Тс - Тм |< stc . (7)

Пусть, например, задано значение доверительной вероятности b =0,95.

В таком случае величина ошибки для N = 77 и stc = Тс = 5,548 ×106 будет не больше значения ∆ :

∆ = |Тс - Тм | stc ; (8)

∆ = 5,548· 106 часов.

При увеличении N на порядок:

∆= 8,941×105 часов.

Таким образом, точность оценок показателей безопасности СЖАТ при использовании экспоненциальной вероятностной модели безопасности пренебрежимо мало. Ошибка в оценке такого параметра как математическое ожидание интервалов времени между опасными отказами при обьеме статистических данных менее 100 имеет порядок 106.

Увеличение обьема статистического материала при использовании экспоненциальной вероятностной модели безопасности не снижает существенно величину погрешности в оценке параметров безопасности, поэтому применение этой модели для вычисления показателей безопасности нецелесообразно.

3.КОНЦЕПЦИЯ ОПАСНОГО ЭЛЕМЕНТА.

Возможен другой подход в оценке безопасности СЖАТ. Сущность предлагаемого подхода состоит в том, что в анализируемой системе общий поток отказов не делится на два различных потока неопасных и опасных отказов. Все отказы элементов системы являются обычными отказами, которые приводят элемент или устройство в неисправное состояние. Интенсивность потока таких отказов, характеризует надежность элемента, сведения о интенсивности потока или другая информация о недежности обычно заносятся в технические паспорта элементов. Например, наиболее часто приводится такая характеристика надежности как средняя наработка на один отказ – Т, что соответствует интенсивности потока отказов l =1/ T.

Отвергая концепцию опасного отказа и опираясь на концепцию опасного элемента нет необходимости поток отказов с интенсивностью l делить на два разных потока – опасных и неопасных. Все отказы этого потока являются однородными, любой отказ потока пориводит элемент в неработоспособное состояние.

Однако неисправность элемента может привести систему, в состав которой входит элемент, в различные состояния.

Например, отказ одного из элементов приводит систему в неработоспособное, но неопасное защитное состояние, тогда как отказ другого элемента может привести систему в опасное состояние.

Разделение элементов СЖАТ на отдельные группы в зависимости от их влияния на состояния системы может быть выполнено путем анализа функциональных схем СЖАТ и алгоритмов функционирования системы. В результате анализа определяется какая часть элементов при отказе приводит систему в неисправное, но работоспособное состояние, какая часть элементов приводит систему в неработоспособное, но неопасное защитное состояние и, наконец, какие элементы системы при отказе приводят ее в опасное состояние.

Таким образом, все множество элементов СЖАТ Мс зависит от влияния на состояние системы можно разделить на отдельные подмножества:

Мн – подмножество элементов, отказ хотя бы одного элемента этого подмножества переводит систему в неисправное, но работоспособное состояние;

Мз - подмножество элементов, отказ хотя бы одного элемента этого подмножества системы переходит в защитное состояния.

Мо- подмножество элементов, отказ хотя бы одного элемента этого подмножества системы переходит в опасное состояния

4.Постановка задачи оценки безопасности СЖАТ по

надежности ее элементов.

В соответствии с определениями основных понятий теории надежности, приведенными в [3], система – это обьект, представляющий собой совокупность элементов, взаимодействующих в процессе выполнения определенного круга задач и взаимосвязанных функционально.

Элемент системы - это обьект, представляющий собой простейшую часть системы, отдельные части которого не представляют самостоятельного интереса в рамках конкретного рассмотрения.

Рассмотрим задачу оценки безопасности СЖАТ, элементом системы будем называть ее часть, при отказе которой система переходит в одно из состояний:

C неисправное работоспособное;

Cнеработоспособное защитное;

Cнеработоспособное опасное.

Пусть общее количество элементов системы равно N. В таком случае

N=nн + nз +nо ,

где nн, nз, nо - число элементов в подмножествах Мн, Мз, Мо соответственно.

В процессе работы СЖАТ может находиться в одном из следующих состояний:

So – исправное состояние системы, все N элементы системы исправны и в полном обьеме выполняют свои функции;

S1 – неисправное, но работоспособное состояние, когда некоторые элементы подмножества Мн неисправны. Отказ элементов этого подмножества не оказывает существенного влияния на работу сиситемы, поэтому при отказе этих элементов система способна выполнять свои основные функции;

S2 - неисправное, неработоспособное, но защитное состояние, в таком состоянии система переходит при отказе одного из элементов подмножества Мз;

S3 -опасное состояние.

Переход системы из исправного состояния So в одно из состояний S1, S2, S3 осуществляется при появлении отказов в элементах подмножеств Мн, Мз, Мо. Интенсивность потоков отказов в элементах этих подмножеств известны, значения интенсивностей характерируют надежность элементов и они обычно приводятся в технической документации элементов.

При появлении отказов в элементах подмножеств Мн, Мз, Мо работоспособность элементов восстанавливается техническим персоналом, обслуживающим СЖАТ. Среднее время восстановления элементов может определяться поьопыту эксплуатации СЖАТ на основе обработки накопленных статистических данных.

Итак, для решения задачи оценки безопасности СЖАТ известны следующие исходные данные:

Cnн, nз, nо - количество элементов в подмножествах Мн, Мз, Мо соответственно;

Clн , lз, lо - векторы значений интенсивностей потоков отказов в элементах подмножеств Мн, Мз, Мо соответственно. Элементы этих векторов lнi, lзj, lоk; i= 1,2,... nн, j = 1,2,...nз, k= 1,2...nо ;

C µн, µз, µо - векторы значений интенсивностей потоков восстановлений элементов подмножеств Мн , Мз, Мо соотвественно. Элементы этих векторов µнi , µзj, µоk; i=1,2...nн; j = 1,2,...nз , к= 1,2, ... no.

В качестве меры безопасности СЖАТ будем использовать вероятность того, что система в произвольный момент времени будет находиться в безопасном состоянии:

Роп - вероятность того, что система будет находиться в опасном состоянии.

Рб. с. –это вероятность того, что система окажется в работоспособном или защитном состоянии, этот показатель идентичен комплексному показателю безопасности системы Кб [1].

Окончательно задача оценки безопасности СЖАТ по надежности ее элементов формируется следующим обарзом:

По заданным значениям:

C количества элементов nн, nз ,nо в подмножествах Мн, Мз, Мо СЖАТ;

Cинтенсивностей потоков отказов в элементах подмножеств Мн, Мз, Мо ; lнi, lзj, lоk;

i=1,2...nн; j = 1,2,...nз, к= 1,2, ... no;

Cинтенсивностей потоков восстановлений элементов подмножеств Мн, Мз, Мо; µнi , µзj, µоk;

i=1,2...nн; j = 1,2,...nз, к= 1,2, ...no.

Определить коэффициент безопасности системы Кб = Рб. с. = 1 – Роп.

5.Марковские модеы безопасности СЖАТ.

5.1.Описание модемы с нерезервированными элементами.

Модель системы – марковская, т. к. по предположению потоки их восстановлений являются пуассоновскими. В модели представлено множество N нерезервированных элементов системы, разделенных на подмножества Мн, Мз, Мо.

В любой момент времени система может находиться в одном из четырех устойчивых состояний So, S1 , S2 , S3 . Изменение состояний системы осуществляется под воздействием суммарных потоков отказов в элементах подмножеств Мн, Мз, Мо и потоков восстановлений отказавших элементов.

Суммарные потоки отказов определяются соотношениями:

,

где l1, l2 , l3 – интенсивности суммарных потоков отказов элементов подмножеств Мн, Мз, Мо соответственно.

Средние значения интенсивностей восстановления элементов подмножеств Мн, Мз, Мо определяются соотношениями:

µ1 = , µ2 =, µ3 =,

где µн1 = , µзj =, µok =,

Tнi, Tзj, Tok - средние значения времени восстановления отказавших элементов в подмножествах Мн , Мз, Мо соответственно.

5.2.Граф состояний и система дифференциальных уравнений Колмогорова.

Граф состояний имеет вид:

По графу состояний составляем систему дифференциальных уравнений Колмогорова.

Решая эту задачу для начальных условий :

t=0, Po(t=0)= 1, P1(t=0) = 0, P2 (t=0)= 0, P3 (t=0)= 0 получим вероятности состояний Ро(t), P1(t), P2(t), P3(t) как функций времени.

5.3. Предельные вероятности состояний СЖАТ.

В процессе эксплуатации СЖАТ начальное при t=0 исходное состояние системы будет изменяться и при t®∞ значения вероятностей Ро(t), P1(t), P2(t), P3(t) будут стремиться к предельным стационарным значениям. Такие значения для СЖАТ существуют, т. к. число состояний системы конечно и из каждого состояния систем может перейти в любое другое состояние.

Предельные вероятности состояний Ро, Р1, Р2 , Р3 можно получить решая систему алгебраических уравнений :

Значения предельных вероятностей состояний Ро, Р1, Р2 , Р3 характеризуют средние относительные времена пребывания системы в соответствующих состояниях So, S1 , S2 , S3.

Так, например, если эти вероятности равны Р0 =0,9, Р1 = 0,05, Р2 =0,03, Р3 = 0,02, то это означает, что в установившемся режиме эксплуатации СЖАТ эта система в среднем будет 9/10 времени в исправном и работоспособном состоянии, 5/100 времени система будет неисправной, но работоспособной, 3/100 времени система будет неисправной, неработоспособной, но защищенной и 2/100 времени система будет находиться в опасном состоянии.

По результатам решения системы алгебраических уравнений определяются следующие показатели безопасности:

Cвероятность опасного состояния системы Роп, эта вероятность равна Рз;

Cкоэффициент безопасности системы: Кб = 1- Р3 ;

Cвероятность неисправного, но работоспособного состояния системы – Р1;

Cвероятность неисправного, неработоспособного, но защитного состояния системы – Р2.

Пример оценки безопасности СЖАТ с нерезервированными элементами представлены в приложении 1.

5.4.Марковская модель СЖАТ с резервированными элементами.

5.4.1.Резервирование всех элементов подмножества Мо.

Вероятность Р3 опасного состояния S3 можно снизить путем резервирования элементов, отказ которых приовдит систему в опасное состояния.

Для определения показателей безопасности СЖАТ с резервируемыми элементами модифицируем рассмотренную выше марковскую модель системы. Отличие модифицированной модели от модели описанной в §5.1. состоит в том, что все элементы подмножества Мо в модифицируемой модели резервируются с коэффициентом резервирования равном единице.

Отказ любого элемента подмножества Мо приводит систему в опасное состояние, поэтому подмножество элементов Мо необходимо представить в модифицированной модели в виде последовательной структуры, содержащей no элементов, соединенных последовательно.

Рассмотрим, как изменятся показатели надежности элементов подмножества Мо в результате их раздельного резервирования.

При раздельном резервировании с коэффициентов резервирования равном единице, вероятность отказа резервированного элемента за время t будет равна:

Q (t) = ( 1-Pk (t) )2 ,

где Рк (t) – вероятность безотказной работы нерезервированного элемента в течение времени t.

Вероятнтость безотказной работы к-го резервированного элемента равна:

Рк (t) = 1 – ( 1- Рк (t ) )2.

В этой формуле Рк (t) = e-lокt, где lок – интенсивность потока отказов к-го элемента подмножества Мо, к = 1,2 ... no.

Надежность последовательной структуры резервированных элементов подмножества Мо определится соотношением:

Рмо (t) =.

Среднее время наработки резервированных элементов подмножества Мо на один опасный отказ:

To = .

Интенсивность потока отказов резервированного подмножества элементов Мо:

Lо =.

Таким образом, в базовой марковской модели СЖАТ, описанной в §5.1, суммарная интенсивность потока отказов нерезервированных элементов подмножества Мо опоределялась соотношением:

l3 =.

В модифицированной модели интенсивность потока отказов подмножества Мо резервированных элементов равна:

Lо =.

Модифицированная марковская модель оценки безопасности СЖАТ представлена в приложении 2.

5.4.2.Частичное резервирование элементов подмножества Мо.

Необходимость в частичном резервировании элементов подмножества Мо может возникнуть в тех случаях, когда вероятности отказов отдельных элементо этого подмножества пренебрежимо мало и резервирование таких элементов нецелесообразно. Возможны также ситуации, когда некоторые элементы подмножества Мо по каким-либо причинам резервировать невозможно. В таких случаях используется частичное резервирование элементов.

Пусть в подмножестве Мо, содержащем no элементов, резервируется только часть этого подмножества с m элементами, m <no. Будем считать, что эти m элементов резервируются

по схеме раздельного резервирования с коэффициентом резервирования равном единице.

Разделим подмножество элементов Мо на две части:

C резервированную часть с числом m;

Cнерезервированную часть с числом элементов no - m.

Определим показатели надежности частично резервированных элементов подмножества Мо.

Надежность резервированной части элементов подмножества Мо:

Pмор(t) =.

Надежность нерезервированной части элементов подмножества Мо: Р)=× :

Надежность всей совокупности резервированных и нерезервированных элементов подмножества Мо:

Pмо1(t) =× .

Среднее время наработки частично резервированного подмножества элементов Мо на один опасный отказ:

То1 =× dt.

Интенсивность потока отказов частично резервированного подмножества Мо:

Lо1 =.

5.5.Компьютерные модели безопасности СЖАТ.

Свойства марковских моделей, безопасности, описания которых приведены в §.§.5.1-5.3 ,исследовалитсь путем разработки и реализации компьютерных моделей.

C с нерезервированными элементами Мо;

C с резервированием всех элементов Мо;

C с частичным резервированием элементов подмножества Мо.

Небольшое количество элементов в подмножествах Мн, Мз, Мо в компьютерных моделях было установлено с целью упрощения. В реальных системах количество элементов в подмножествах Мн, Мз, Мо может быть на порядок и более выше. Однако при увеличении количества элементов в этих подмножествах методика оценки безопасности СЖАТ будет такой же, как и для гипотетических исходных данных, используемых в компьютерных моделях.

В качестве исходных данных для всех версий моделей введены векторы интенсивностей потоков отказов элементов подмножеств Мн, Мз, Мо и средние значенния времен устранения отказов в элементах этих же подмножеств.

Исходные данные использовались для вычисления суммарных интенсивностей отказов l1, l2,l3 элементов и средних по –подмножествам Мн, Мз, Мо интенсивностей µ1, µ2 , µ3 устранения отказов.

В первой версии компьютерной модели безопасности СЖАТ, которая представлена в приложении 1, величины компьютерной модели безопасности СЖАТ, которая представлена в приложении 1, величины l1, l2, l3, µ1, µ2 , µ3 необходимы для построения графа состояний СЖАТ и составления дифференциальных уравнений Колмогорова, описывающих изменение вероятностей состояний системы во времени.

В результате решения дифференциальных уравнений получены вероятности Ро, Р1,Р2, Р3 состояний системы как функции времени.

Предельные вероятности состояний СЖАТ определялись путем составления и решения системы алгебраических уравнений.

В приложении 2 представлена модифицированная компьютерная модель, которая иллюстрирует особенности оценки безопасности СЖАТ для случаев, когда резервируются все «опасные» элементы подмножества Мо. При таком резервировании достигается существенное повышение безопасности СЖАТ. Вероятность опасного состояния системы снижается более чем в два раза. Значительное повышение уровня безопасности, при резервировании всех элементов подмножества Мо, может привести к неверному выводу о том, что все «опасные» элементы, независимо от уровня их надежности, следует резервировать.

Однако результаты компьютерного моделирования СЖАТ с частичным резервированием наименее надежных элементов показывает, что такой вывод не соответствует действительности. Компьютерная модель, приведенная в приложении 3, подтверждает целесообразность частичного резервирования. Дублирование только наименее надежных элементов подмножества Мо обеспечивает практически тот же эффект, что и при дублировании всех элементов этого подмножества.

Итоговая таблица результатов моделирования

ВЫВОДЫ:

Из за большого объема этот материал размещен на нескольких страницах: 1 2