ВЪПРОС 7

ТЕХНОГЕННА БЕЗОПАСНОСТ НА СИСТЕМИТЕ

1. Пример с F-K структура

Дадена е структура от новото поколение осигурителни системи. Една функционална единица F, например компютър, получава входни данни и генерира изходни резултати като работи по зададен алгоритъм. Управляваният технологичен процес е отговорен - ОТП. Това значи, че отклоненията на параметрите му от нормативно-техническите, както и от предписания алгоритъм на работа, могат да доведат до опасност. Затова не може да се доверим само на информационно-обработващата единица F, а трябва да контролираме какъв сигнал излиза от нея. Контролът е поверен на специално устройство К (фиг.1). Предполагаме, че безопасното поведение на ОТП е fail- stop т.е, ако се изключи (спре) управлението не могат да настъпят опасни последствия.

Фиг.1

Ако получените команди към управляваните обекти УО са некоректни (не са перфектни) контролното устройство К сработва и изключва УО. По такъв начин се предотвратява получаването на грешна заповед от УО. Трябва да се има предвид обаче, че К-устройството не може да разпознава всички откази. Някои от тях водят до такива грешни резултати, които са неоткриваеми при заложения принцип на работа на контролното устройство. Два примера.

1. Ако критерия за отказ е четността на единиците в кодовия вектор на изхода на F всяка трансформация на вектор с четен брой единици в друг с четен брой е неоткриваема.

2. Ако К съдържа второ F- устройство и сравнява получените резултати на еквивалентност може да стане отказ по обща причина или два еднакви едновременни откази и в двете обработващи устройства. В резултат отказите могат да не се разпознаят.

Задачата е да се намери безопасността на тази система.

Да се намери безопасността на системата значи да се определят показателите на безопасността: вероятност за опасна работа и средно време между опасните откази MTBDF (при възстановимите системи), или вероятност за опасен откази и средно време до опасен отказ MTTDF (при невъзстановимите). Те се определят от характера на отказите, а това значи - от възприетия критерий за желано следотказово поведение.

За да говорим за техногенна безопасност на системата трябва да дефинираме желаното поведение след отказ на F-K системата. Всички откази, които нарушават критерия за желано поведение, са опасни и участват в определяне на показателите за безопасност.

Дефинираме трите състояния на двата елемента и системата:

F: р - работоспособно; о - опасно, ако отказът води до неразпознаваем некоректен резултат; з - защитно, ако некоректният резултат се разпознава от К-устройството.

К: р -работоспособно; о- опасно, ако отказът пречи К-устройството да изключва УО и те остават постоянно свързани към F; з -защитни, ако отказът води до изключване на УО и когато не е нужно.

S: Следотказовото поведение на системата трябва да е защитно, което значи, че тя не бива да подава към УО грешна команда. Ако такава проникне до процеса значи, че отказът е опасен. Ако контролното устройство изключи УО - отказът е защитен.

Да запълним Таблица 1 на пълното изброяване на състоянията при така направените предположения Таблица 1

	1	2	3	4	5	6	7	8	9
F	р	о	з	р	о	з	р	о	з
К	р	р	р	о	о	о	з	з	з
S	р	о	з	р	о	о	з	з	з

Deff. Парциално надеждностно състояние е съвкупността от надеждностните състояния на всички елементи на системата, в която всеки елемент участва само веднъж с едно от възможните си състояния. Всяко от състоянията i = е парциално състояние, което се образува като вектор от състоянията на двата елемента F и K. Тъй като всеки от тях има три състояния, то броят на парциалните състояния е

N = = 9;

В общия случай, когато елементите са n

(1) N =

Глобалните надеждностни състояния са три: работоспособно, опасно и защитно. Всяко от тях е множество от парциални състояния. Всяко парциално принадлежи към едно от трите глобални състояния.

За да се намерят показателите на безопасността на F-K структурата трябва да се определи принадлежността на всяко от парциалните състояния към глобалното. Това става като се изхожда от приетия критерий и се съпоставя всяко от тях - ако се съгласува, състоянието принадлежи на защитното множество, ако му противоречи - на опасното.

Формализирани методи не са известни. Разсъждава се за всяко парциално състояние поотделно.

В конкретния случай е очевидно, че парциално състояние 1 е работоспособно, а 7,8 и 9 са защитни. Състояние 2 е опасно, защото, макар и работоспособно, К не може да открие неразпознаваемите откази на F. Затова пък в 3 то ги разпознава и изключва УО. Колкото и подвеждащо да е, в състояние 4 системата е работоспособна, защото макар и опасно отказало, не се налага К да контролира откази. И в 5, и в 6 F греши, поради което опасният отказ на К веднага се изявява като опасен отказ на системата.

Чрез така направените разсъждения се определz принадлежността на парциалните състояния към глобалните: работоспособно (Р), опасно (D) и защитно (Z). Bероятността за всяко от тях, могат да се намерят като прости суми от вероятностите за съответните парциални състояния:

(2) P_s(t) = - вероятност за безотказна работа на системата (при възст. - готовност на системата)

(3) Q_o(t)=Dds(t) =- веротяност за опасен отказ (при възстановимите - за опасна работа)

(4) Q_з(t) =(t) - вероятност за защитни откази (при възстановимите - престои)

Първият показател за безопасността на F-K структурата е вероятност за опасен отказ. Той се получава като в горните уравнения за Р_i(t) се заместят формулите за безопасност на невъзстановими обекти.

Q_d(t = (1-р).(1 - е^-t ),

Q_з(t) = р(1 - е^-t )

Но той може да бъде и вероятност за опасна работа, ако структурата е възстановима. Тогава след t- коефициентът на опасната работа ще бъде:

(5) К_ds(t) =

Вторият показател за безопасността на F-K структурата е средно време между опасните откази MTBHF.

За да определим този показател е необходимо да построим графа на преходите между парциалните състояния, които системата може да извършва по време на стохастичния процес на откази и възстановявания. Като приемем, че този процес е ординарен, т.е. че едновременните откази в F и K не настъпват едновременно (в един и същи момент) и че няма откази по обща причина, графът ще има вида (фиг.2):