Надежность технических систем и оценка риска - Хенли Э.Дж., Кумамото Х.

1.5. Отношение общественности и социальные аспекты управления степенью риска
1.6. Законодательные вопросы, относящиеся к риску
1.8. Методика изучения риска — стадия II: выявление последовательности опасных ситуаций, дерево событий, дерево отказов
1.9. Методика изучения риска — стадия III: анализ последствий
1.11. Другие приемы анализа риска: анализ критичности
1.12. Другие приемы анализа риска: изучение опасностей и работоспособности
1.13. Другие приемы анализа риска: анализ причин — последствий
1.14. Оптимальное распределение средств, предназначенных для уменьшения риска
Глава 2. ПОСТРОЕНИЕ ДЕРЕВА ОТКАЗОВ И ТАБЛИЦЫ РЕШЕНИЙ
2.4.3. Технические характеристики системы
2.4.4. Пример предварительного анализа в прямой последовательности
2.5. Процедура построения дерева отказов
2.5.2. Условия, создаваемые логическими знаками «И» и «ИЛИ»
2.6. Построение дерева отказов при помощи таблиц решений
2.7. Построение дерева отказов для систем со сложными контурами регулирования
2.7.2 Графы прохождения сигналов для систем с многоконтурным регулированием
2.7.5. Определение конечных событий
2.7.6. Классификация отказов типа обрыва в контурах регулирования
2.7.7. Представление уровня L через переменные параметры источника
2.7.8. Дискретное представление переменных параметров источника
2.7.9. Определение исходных отказов, ведущих к опасным состояниям в системе
Глава 3. КАЧЕСТВЕННЫЙ АНАЛИЗ СИСТЕМ
3.2. Проходные сочетания
3.3. Минимальные аварийные и проходные сочетания
3.8.3. Определение аварийных сочетаний с общим характером отказов
3.9. Упрощение таблиц решений: основные импликанты
3.10. Применение таблиц решений для систем, имеющих контуры регулирования
3.10.2. Определение системы и предварительное рассмотрение
3.10.3. Таблицы критических переходов
Глава 4. КОЛИЧЕСТВЕННАЯ ОЦЕНКА ИСХОДНЫХ СОБЫТИЙ
4.1.3. Другое выражение для условной вероятности
4.1.4. Независимость
4.1.5. Правило моста
4.2. Вероятностные параметры элементов с двумя возможными состояниями
4.2.3. Вероятностные параметры для процесса ремонт — отказ
4.2.4. Вероятностные параметры для процесса отказ — ремонт
4.2.5. Вероятностные параметры для полного цикла
4.3. Основные зависимости между вероятностными параметрами
4.3.2. Соотношения для процесса отказ — ремонт
4.4. Анализ моделей при постоянной частоте отказов и частоте ремонтов
4.4.2. Процесс отказ — ремонт при постоянной частоте ремонтов
4.4.3. Использование преобразования Лапласа для анализа полного цикла
4.4.4. Марковский анализ полного цикла при постоянной частоте
4.5. Статистические распределения параметров для процессов ремонт—отказ и отказ— ремонт
4.6 Анализ полного цикла с общей частотой отказов и ремонтов
4.7. Определение параметров распределения
4.7.2. Определение параметров для процесса отказ — ремонт
4.8. Количественная оценка элементов с несколькими видами отказов
4 9. Количественная оценка воздействий со стороны окружающей среды
4.10. Количественная оценка ошибок человека
Глава 5. ДОВЕРИТЕЛЬНЫЕ ГРАНИЦЫ ДЛЯ ПАРАМЕТРОВ НАДЕЖНОСТИ
5.2. Классическое определение границ доверительности
5.2.2. Виды ресурсных испытаний
5.2.3. Нижняя и верхняя границы доверительности для средней наработки до отказа
5.2.4. Доверительные границы для биномиального распределения
5.3. Бейесово распределение и границы доверительности
5.3.2. Теорема Бейеса для непрерывных переменных
Глава 6. БАЗЫ ДАННЫХ
6.2. Данные, связанные с появлением событий
6.3. Банки данных по показателям надежности
6.4. Банки данных по возможным последствиям
Глава 7. КОЛИЧЕСТВЕННЫЕ АСПЕКТЫ АНАЛИЗА СИСТЕМ
7 2. Коэффициенты готовности и простоя для простых ситем с независимыми исходными событиями
7.2.2. Система с одним логическим знаком «И»
7 2.3. Система с одним логическим знаком «ИЛИ»
7.2.5. Вычисление коэффициента готовности на основе структурной схемы надежности
7.3. Определение коэффициентов готовности и простоя при помощи таблиц истинности
7.3.2. Система с одним логическим знаком «ИЛИ»
7.4. Определение коэффициентов готовности и простоя при помощи структурных функций
7.4.2. Представление системы в виде структурных функций
7.4.3. Вычисление коэффициента простоя с использованием структурных функций
7.5. Определение коэффициента простоя при помощи минимальных аварийных или минимальных проходных сочетаний
7.5.2. Определение коэффициента простоя при помощи минимальных проходных сочетаний
7.5.3. Определение коэффициента простоя при помощи частичного осевого разложения
7.5.4. Определение коэффициента простоя при помощи принципа включения — исключения
7.6. Нижний и верхний пределы коэффициента простоя системы
7.6.2. Нижний и верхний пределы по Эзэри и Прошану
7.6.3. Определение нижнего и верхнего пределов с использованием частичных минимальных аварийных и проходных сочетаний
7.7. Количественная оценка систем при помощи машинной программы KITT
7.7.2. Параметры для минимального аварийного сочетания
7.7.5. Другие параметры системы, вычисляемые при помощи программы KITT
7.7.8 Замечания по методам количественных оценок
Глава 8. КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМ ДЛЯ ЗАВИСИМЫХ ИСХОДНЫХ СОБЫТИЙ
8.2. Количественная оценка систем, включающих резервирование
8.3. Количественная оценка систем, подверженных отказам с общей причиной
Глава 9. КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМЫ: НАДЕЖНОСТЬ
9.2. Двухэлементная система последовательного типа
9.3. Система из ? элементов последовательного типа
9.4. Системы параллельного типа
9.4.2. Система параллельного типа с числом элементов более двух
9.5. Система типа «два из трех»
9.6. Верхний и нижний пределы ненадежности системы
9.7. Ручной метод вычисления верхнего предела показателя ненадежности системы
10.7. Значимость по последовательности воздействий
10.8. Изменение значимости со временем
10.8.2. Значимость аварийных сочетаний по Барлоу — Прошану
Глава 11. РЕЗЕРВУАРЫ, СИСТЕМЫ ЗАЩИТЫ, НЕНАГРУЖЕННЫИ РЕЗЕРВ И СИСТЕМЫ ВЫБОРА
11.1.2. Резервуары, заполняемые в процессе работы: временные задержки
11.1.3. Безусловная интенсивность отказов о>те(0 для «пустого резервуара»
11.1.4. Коэффициент простоя для жидкости, поступающей из резервуара
11.1.6. Приближенные вычисления в примере 2
11.1.7. Опорожнение резервуара в процессе работы
11.1.8. Другие правила, применяемые к резервуарам
11.2. Анализ опасности с учетом систем защиты
11.2.2. Определение переменных параметров
11.2.3. Допущения
11.3. Нагруженный и ненагруженный резервы, системы выбора
11.3.3. Ожидаемое число отказов систем, построенных по принципу выбора
Глава 12. ИСПОЛЬЗОВАНИЕ МЕТОДОВ МОНТЕ-КАРЛО ДЛЯ КОЛИЧЕСТВЕННОЙ ОЦЕНКИ СИСТЕМЫ
12.2. Генератор равномерно распределенных случайных чисел
12.3. Генераторы для различных распределений
12.3.2. Экспоненциальное распределение
12.3.3. Бинарная случайная переменная
12.4. Метод прямого моделирования
12.5. Моделирование методами Монте-Карло распространения ошибок при помощи деревьев отказов
12.6. Оценка коэффициента простоя системы по методу Монте-Карло с ограниченной выборкой
12.6.2. Постановка задачи
12.6.3. Метод Монте-Карло с непосредственной выборкой
12.6.4. Метод Монте-Карло с ограниченной выборкой
12.7. Оценка коэффициента простоя системы методом Монте-Карло с кинжальной выборкой
12.7.3. Оценка, основанная на кинжальной выборке
12.8. Оценка показателя надежности системы по методу Монте-Карло для переходов состояний
12.8.2. Метод Монте-Карло с непосредственной выборкой
12.8.3. Метод Монте-Карло для переходов состояний
12.8.4. Вычисление коэффициента простоя методом Монте-Карло для переходов состояний
Author: Хенли Э.Дж. Кумамото Х.
Tags: общие характеристики теория надежности инженерия машиностроение издательство машиностроение надежность
Year: 1984
Similar
Надежность технических систем. Справочник
Основы теории ускоренных испытаний на надежность
Надежность и техническое обслуживание. Математический подход
Надежность и эффективность в технике. Том 5. Проектный анализ надежности
Text
                    Ε. J. Henley H.hmwmoto
• ■ ■*■

RELIABILITY
ENGINEERING
AND
RISK ASSESSMENT
Ernest J. Henley
Department of Chemical Engineering
University of Houston
Hiromitsu Kumamota
Deparwnt of Precision Mechanics
Kyoto University
Prentice-Hall, Inc., Englewood Cliffs, N.J. 07632

Э. Дж. Хенли
X. Кумамото
НАДЕЖНОСТЬ
ТЕХНИЧЕСКИХ
СИСТЕМ
И ОЦЕНКА
РИСКА
Перевод с английского
В. С. СЫРОМЯТНИКОВА, Г. С. ДЕМИНОЙ
Под общей редакцией
д-ра техн. наук В. С. СЫРОМЯТНИКОВА
МОСКВА
« МАШИНОСТРОЕНИЕ »
1984

ББК 30.14
Х38
УДК 62-192.001.1=03.20 = 82
Хенли Э. Джм Кумамото X.
Х38 Надежность технических систем и оценка риска:
Пер. с англ. В. С. Сыромятникова, Г. С. Деминой.
Под общ. ред. В. С. Сыромятникова. — М.:
Машиностроение, 1984. — 528 с, ил.
В пер. 2 р. 80 к.
Рассмотрены методы качественного анализа надежности и
безопасности простых и сложных систем, позволяющие воздействовать на
характеристики последних при отсутствии точных данных о
количественных параметрах отдельных компонентов. Исследована возможность
углубленного количественного анализа систем с получением важных:
практических результатов. Использованы исследования ведущих
специалистов мира по надежности в различных областях техники.
Для инженеров-практиков, занятых обеспечением надежности
и безопасности технических систем.
2107000000-78
038(01)-84
■ 78-84
ББК 30.14
Эрнест Дж. Хенли,
Хиромицу Кумамото
НАДЕЖНОСТЬ ТЕХНИЧЕСКИХ
СИСТЕМ И ОЦЕНКА РИСКА
Редактор Д. П. Бут
Художественный редактор
С. Н. Голубев
Переплет художника
С. Н. Голубева
Технический редактор
Т. И. Андреева
Корректоры А. А. Снастина и
Л. Е. Сонюшкина
ИБ № 3993
Сдано в набор 13 04 84.
Подписано в печать 26.07.84.
Формат 60X90'/i6. Бумага типографская № 1.
Гарнитура литературная. Печать высокая.
Уел печ. л 33,0. Усл. кр -отт. 33,0.
Уч-изд л. 35,81. Тираж 2 000 экз
Заказ 533. Цена 2 р. 80 к.
Ордена Трудового Красного Знамени
издательство «Машиностроение»
107076, Москва, Стромынский пер., 4.
Московская типография № 8
Союзполиграфпрома при Государственном
комитете СССР по делам издательств,
полиграфии и книжной торговли,
101898, Москва, Центр, Хохловский пер., 7,
1981 by Prentice-Hall, Inc., Englewood Cliffs, N. J. 07632
© Перевод на русский язык, «Машиностроение», 1984 г.

УСЛОВНЫЕ ОБОЗНАЧЕНИЯ 1
А —матрица пХп (прил. 9.1)
А —событие (4.1)
A(t) —коэффициент готовности (прил. 4.6)
а — постоянная в преобразовании Лапласа (4.93)
В—функция (12.65)
b — бинарный вектор (12 6)
bi —ί-й компонент вектора b (12 33)
С—последствие (рис. 13.1)
С —производительность оборудования (11.34)
С —событие (4.1)
с—вектор выборки (12.11)
Сг —коэффициент критичности для элемента системы (разд. 1.11)
D —частота отказов установки без средств защиты (11.39)
D — определитель графа (2.1)
di — событие в ί-м минимальном аварийном сочетании (7.74)
Е(х) — ожидаемое значение (прил. 4.2)
вг —событие, заключающееся в реализации ί-го минимального
аварийного сочетания (7.107)
F(r) —вероятность по Пуассону (прил. 4.3)
f(t) — плотность отказов
F(t) —показатель ненадежности (прил. 4.6)
Gh — проводимость (рис. 2.37)
G(t) —распределение ремонтов (прил. 4 6)
g(t) —плотность ремонтов (прил. 4.6)
g(t) —функция значимости (10 5)
£(Q) —функция вероятности конечного события (10.5)
h —функция (12.33)
h(t) —функция (4.92) ·
I —единичная матрица (прил. 8.1)
/вр —значимость по Барлоу — Прошану (табл. 10.1)
/cr —значимость по критичности (табл. 10.1)
/SG —значимость по последовательности воздействия (табл. 10.1)
/UF—функция модернизирования (табл. 10.1)
/fv —значимость по Фусселю — Везели (табл. 10 1)
К — вероятность отсутствия ремонтов верхнего оборудования (11.2)
К — событие появления аварийного сочетания (9 25)
К—аварийное сочетание (12.32)
К а — коэффициент загрузки в выражении для коэффициента
критичности (разд. 1.11)
Ке — коэффициент окружающих условий в выражении для
коэффициента критичности (разд. 1.11)
L—статистически независимые коэффициенты (12.33)
1 В скобках указаны номера формул, разделов или таблиц с данными
обозначениями.
5

L — отношение числителя к знаменателю (2.3)
L —уровень (2.5)
L — преобразование Лапласа (4.92)
L(y) —нижняя бейесова доверительная граница (5.43)
L(st) —число живущих в момент t (табл. 4.1)
Μ — число отказов (12 2)
M{st) —ожидаемая масса содержимого в резервуаре (11.30)
m(t) —частота ремонтов (прил. 4.6)
N —общее число выборки (4.10)
N —общее число блоков, имеющихся в наличии (11.67)
N —общее число образцов (12.11)
N — последний критичный вид отказа в выражении для коэффициента
критичности (разд. 1.11)
TVc —общее число минимальных аварийных сочетаний (7.73)
η(t) —число смертей (4 10)
Ρ — проходное сочетание (12 35)
Ρ — проводимость пути (2.2)
Ρ—вероятность перехода (4.116)
Рг — вероятность (4 1)
Q(t) —коэффициент простоя (прил. 4.6)
г — число отказов (прил. 4 4)
г —общее число отказов (5.4.1)
г —число блоков, требуемых для работы (11.67)
r(t) —частота отказов (прил. 4 6)
R(t) —показатель надежности (прил. 4.6)
S —продолжительность существования системы защиты (11.37)
S —число критических состояний (11.72)
S —измеренная характеристика образца (разд. 5.2.1)
S — появление аварийного сочетания (7.24)
5 — переменный параметр преобразования Лапласа (4.92)
s —случайные выборки (12.29)
Τ —матрица пХп (прил 9 1)
Т-1 —обратная матрица от Τ (прил. 9.1)
Τ —интервал между проверками системы защиты (разд. 11.2.2)
Τ —время опорожнения бака (11.1)
t — время
U —срок службы установки (11.38)
U (у) —верхняя бейесова доверительная граница (5.44)
V(t) —ожидаемое число ремонтов (прил. 4.6)
v(t) —безусловная интенсивность ремонтов (прил. 4.6)
Vi —собственный вектор (прил. 9.1)
W — событие (4 3)
W — ожидаемое число отказов (прил. 4 6)
X —переменный параметр источника (2.1)
χ — /г-размерный вектор-столбец (прил. 9.1)
χ —вектор состояния исходного события (12.6)
Хг —состояние исходного события (12.6)
х* —линейное преобразование от χ (прил. 9.1)
x(t) —вспомогательный переменный параметр (4.65)
Υ—промежуточный переменный параметр (2.1)
Υ—безусловная интенсивность отказов (11.73)
У — бинарный вспомогательный параметр для исходных событий (7.30)
у — наблюдаемые значения (5.39)
ζ —вектор состояний для кинжальной выборки (12.48)
Zi —нормированный переменный параметр (2.5)
Греческие буквы
а —уровень значимости (рис. 5.1)
а — отношение данного вида отказа к критичному виду отказа
(разд. 1.11)
β —параметр формы в распределении Вейбулла (4.128)
6

β — параметр для бета-плотности вероятности (задача 5 8)
β — условная вероятность в выражении для коэффициента
критичности (разд 111)
γ —параметр в распределении Вейбулла (4.128)
γ —момент, когда данный элемент начинает отказывать (4.128)
γ—постоянная частота переходов (12 55)
у ι —собственное значение (прил. 9 1)
Г—параметр (12 59)
θ —случайный переменный параметр (5 12)
θ — параметр (8 48)
θ —истинное значение характеристики для совокупности изделий (5 1)
λ (t) —условная интенсивность отказов (прил 4 6)
λα — собственная частота отказов в выражении для коэффициента
критичности (разд 111)
μ (0 —условная интенсивность ремонтов (прил 4 6)
μ — параметр в логарифмически нормальном распределении (4.122)
μ — момент K-ΐλ степени относительно среднего значения (прил. 4 3)
π — параметр (8.45)
ρ — структурная функция минимального проходного сочетания (7.64)
σ — характеристический срок службы (4 128)
σ — стандартное отклонение (прил. 4 3)
σ—параметр в логарифмически нормальном распределении (4 122)
σ — стандартное отклонение для образцов (задача 5 1)
σ2 — дисперсия (прил. 4.3)
ψ—бинарная функция (12.8)
ψ(Υ) —вспомогательный параметр для конечного события, структурная
функция (разд 7 4)
ψζ,(Υ) —структурная функция для нижнего предела (7.80)
ψι/(Υ) —структурная функция для верхнего предела (7 81)
κ — структурная функция минимального аварийного сочетания (7.57)
χ2 — процентное соотношение для хи-квадратного распределения (5.22)
Нижние индексы
С—непосредственная выборка (12.11)
с—ненагруженный резерв (11.68)
с — минимальные аварийные сочетания (7.80)
D — кинжальный (12 48)
L — нижний предел (7.80)
т — мода (рис. 12 16)
/V —полное число параллельно соединенных блоков (11.66)
о — медиана (рис 12.16)
ρ — минимальные проходные сочетания (7 81)
У?—-ограниченная выборка (12 29)
SD —ниже по потоку системы (нижнее) (разд 11.1)
SU —выше по потоку системы (верхнее) (разд. 11.1)
ТЕ—пустой бак (11.1)
TF — полный бак (разд. 1117)
U — верхний предел (7.81)
Верхние индексы
•К· — параметр для аварийного сочетания
резерв (разд. 8 2.1)
отрицание события
• — производная
Сокра щения
ОЧО — ожидаемое число отказов (разд. 4.2.5)
СВМО — среднее время между отказами (прил. 4.6)
СВМР —среднее время между ремонтами (прил. 4.6)
СНДО — средняя наработка до отказа (прил 4 6)
СПР — средняя продолжительность ремонта (прил. 4 6)
7

WSUM — ожидаемое число отказов (табл. 7.8)
НДО — наработка до отказа (прил. 4.6)
ПР — продолжительность ремонта (прил. 4.6)
Математические символы
Π —произведение
[ ] — квадратные скобки заключают значение функции, например
R==C/T выражается как R[С/Т]
L[f(t)] —преобразование Лапласа от функции f(t) (4.92)
т ) (п —т) ! т\
Σ*— сумма
V — булева сумма
Д — булево произведение
(J — объединение
Π — пересечение
оо — бесконечность

ПРЕДИСЛОВИЕ
За исключением средств охраны окружающей среды и вычислительной
техники никакая другая отрасль науки и техники не получила за последнее
десятилетие такого широкого применения, как методы анализа безопасности, риска и
надежности. В начале 60-х годов анализ безопасности основывался на
эмпирических методах. Термин анализ риска был, по-видимому, неизвестен, а слово
надежность использовалось только в аэрокосмической и военной промышленности.
В литературе по химической промышленности до 1966 г. не было ни одной статьи
по надежности и лишь несколько работ появилось к 1970 г.
Начиная с 1970 г., проблемы, связанные с качеством продукции, охраной
окружающей среды и вмешательством правительственных органов в
проектирование, строительство и эксплуатацию предприятий, в первую очередь в
западноевропейских странах, привели к широкому внедрению принципиально новой
техники и технологии. Широкое освоение последних было долгим и трудным, так
как техническая литература была сложной и нередко разочаровывающей, а
математические методы незнакомы большинству инженеров. Разнообразие применения
и обескураживающее количество документации и номенклатуры, типичное для
быстроразвивающейся области техники, основанной на широком спектре
физических принципов, представляют значительные трудности как для начинающих
исследователей, так и для включившихся в решение этой проблемы опытных
специалистов.
Данная книга основана на кратком курсе лекций, прочитанных для
инженеров-практиков, который организован Американским институтом
инженеров-химиков. С 1974 г. этот курс читался 16 раз, и авторы признательны многим
слушателям за представление фактического материала и высказанные идеи. В 1975 г.
Институт Слоана выделил небольшой фонд, который позволил вести дальнейшую
разработку теории, включая материалы гл. 7, 11 и 13, написанных в 1976 г.
в Центре машинного проектирования в Кембридже (Великобритания) при
содействии Хиромицу Хосимо. Этот материал был впервые использован в кратком
курсе, организованном совместно Центром машинного проектирования и
Национальным центром по надежности систем атомной энергетики
(Великобритания).
Организованный Институтом перспективных исследований по проблемам
надежности (ИПИ) при участии Дж. Вольта в качестве одного из руководителей
состоявшийся в Италии в 1978 г. двухнедельный семинар положил начало
разработке материала гл. 4, 6 и 13. Л. Калдаролла, Б. Тейлор, Э. Грин и Дж. Фуссель
(член руководящего комитета ИПИ) являются соавторами идей, которые легли
в основу материала, в окончательном варианте изложенного в книге. С. 1975 по
1979 г. произошло так много событий и так много изменилось, что авторы
вынуждены были исключить значительную часть материала.
Книга предназначена для читателей двух категорий: инженеров-практиков
и аспирантов и студентов старших курсов. После краткого исторического обзора
в гл. 1 читатель ознакомится с различными методами изучения степени риска,
такими, как предварительный анализ опасностей, анализ видов отказов и
возможных последствий, метод дерева событий. Гл. 2 и 3 посвящены методикам
построения дерева отказов и таблиц решений с последующим развитием качест-
9

венных методов, при разработке которых использованы такие понятия, как
аварийное и проходное сочетания, отказы с общей причиной, главные импли-
канты.
В гл 4 начато обсуждение количественных методов путем раскрытия
зависимостей между параметрами отдельных элементов и данными по отказам
системы Может показаться, что материал этой главы необоснованно усложнен из-за
разработки полного набора параметров, относящихся к условным и безусловным
отказам и ремонтным характеристикам. Однако необходимо четкое
представление о связях между этими параметрами для понимания теории кинетики дерева,
которая, несмотря на ее недостатки, является в настоящее время единственным
широко используемым методом при определении параметров отказов технических
систем.
В гл 5 введены понятия границы ошибок и доверительные пределы для
характеристик отказов. При написании гл. 4 и 5 авторы предполагали, что читатель
имеет подготовку по теории статистики В целом, однако, они не уверены, что
сложные статистические методы являются важным инструментом для инженеров,
работающих в области надежности, так как лишь в редких случаях имеется
достаточно данных по отказам для использования с помощью сложных
статистических методов Авторы отдают себе отчет в том, что статистика является
важнейшим инструментом при контроле качества производимой продукции.
В гл. 6 преподнесен материал, который без сомнения, будет принят
инженерами-практиками: подробное исследование данных по отказам и банка этих
данных в целОхМ
Гл. 7, по всей вероятности наиболее трудная в книге, развивает теорию
кинетики дерева отказов. Хотя эта теория не является строго последовательной, с ее
помощью можно правильно вычислить ожидаемое число отказов (ОЧО) как для
аварийных ссчета* ι.и, так и для системы в целом. Авторы считают, что ОЧО в
настоящее время ьвляется наиболее полезным и достаточно простым параметром
системы, существенно более полезным, чем параметр, характеризующий
надежность. В последующих главах сравнена теория кинетики дерева с
непосредственными результатами, полученными методами Маркова, и показано, что
допущенные приближения в разработанной теории вовсе не являются .слишком
ограниченными.
В гл. 8 развиты методы Маркова, а в гл. 9 показано, как надежность
системы, которую нельзя получить с помощью теории кинетики дерева, может
бьпь вычислена с использованием цепей Маркова. Здесь, так же как и в
остальных разделах книги, подчеркнута важность граничных теорем, упрощенных
методов и инженерных приближений.
В гл. 10, 11 приведен материал менее общего характера (параметры
значимости, системы защиты, ненагруженный резерв, надежность емкостей для
хранения и др.). Методы Монте-Карло, являющиеся наиболее гибкими приемами
моделирования, являются предметом изложения гл. 12. Авторы надеются, что
читатели найдут интересными новые методы «кинжальной выборки», изучения
состояний и переходов и др. Книгу завершает гл. 13, в которой на ряде
практических примеров проиллюстрированы возможности методологии и приведены
полученные результаты.
В книгу в качестве приложения включены описания некоторых специальных
математических методов, которые могут быть незнакомы отдельным читателям.
При написании книги был разработан ряд вычислительных программ для ЭВМ.
Существенную помощь авторам при написании книги и определении ее
содержания оказал Дж. Фуссель. Авторы книги в то или иное время
пользовались средствами из фонда ENG-75-16713A01 Национального научного
общества.
Хиромицу Хосимо написал вчерне гл. 7 и 11. Существенная часть
вычислений в гл 7, 10 и 11 выполнена им в Центре машинного проектирования в
Кембридже (Великобритания) в 1976 г., и авторы признательны персоналу этого
центра за широкую поддержку. Большинство программ для ЭВМ гл. 12
разработал Кацуо Танака.
Ρ Барлоу взял на себя труд прочесть первоначальные варианты рукописи
и помог авторам выбрать наиболее правильный путь. Ч. Донак с самого начала
внес свою лепту в общее дело. Его разделы по теории Маркова и методам Мон-
Ю

те-Карло не были полностью использованы в книге, однако придали авторам
уверенность в отсутствии принципиальных ошибок. Авторы также обязаны Б.
Тейлору и Дж Расмуссену, идеями которых авторы широко пользовались.
Л. Колдаролла, Э Грин, Дж. Вольта, С. Гарриба, Г. Пауэре, Дж. Апостола-
кис, Дж. Линн, А. Карнино, М. Локс и Р. Эванс, каждый из которых просмотрел
по меньшей мере часть рукописи в течение пятилетнего периода работы над ней,
оказали большую услугу, и авторы благодарны им за это.
Авторы выражают также благодарность всем работникам издательства
«Прентис-Холл» и, в частности, издателю Л. Опре и менеджеру X. Кеннеди.
Следовало бы посвятить эту книгу проф. Коити Иноу, дружеская помощь
и научные наставления которого постоянно вдохновляли обоих авторов.
Эрнест Хенли,
г. Хьюстон, Техас, США
Хиромицу Кумамото,
г. Киото, Япония

ИСТОРИЧЕСКИЙ ОБЗОР
По очевидным причинам начальный импульс к созданию численных методов
оценки надежности был дан авиационной промышленностью. После первой
мировой войны в связи с увеличением интенсивности полетов и авиационных
катастроф были выработаны критерии надежности для самолетов и требования к
уровню безопасности В частности, проведен сравнительный анализ
одномоторных и многомоторных самолетов с точки зрения успешного завершения полета
и выработаны требования по частоте аварий, отнесенных к 1 ч полетного
времени. К I960 г., например, было установлено, что одна катастрофа приходится в
среднем на 1 млн посадок Таким образом, для автоматических систем посадки
самолетов можно было бы установить требования по уровню риска, не
превышающего одной катастрофы на 107 посадок. Р. X. Дженнингс приводит
хронологию развития теории и техники надежности в 40—70-х годах.
Р. Луссер, математик, определил, что старый закон «цепь не прочнее, чем
самое слабое ее звено» неприменим к системам последовательного типа. Затем
Луссер получил закон произведения для последовательных элементов, а именно:
надежность системы из последовательно соединенных элементов равна произве-
п
дению надежностей этих элементов (RS = R\R2R3 ... Rn или Rs= Π Ri, как это
ί = ι
записывается в настоящее время). Таким образом, в системе последовательного
типа надежность отдельных элементов должна быть значительно выше для
удовлетворительного функционирования системы.
В США в 40-х годах основные усилия для повышения надежности были
сконцентрированы на всестороннем улучшении качества. Улучшенные
конструкции, прочные материалы, повышение твердости и качества обработки
изнашиваемых поверхностей, совершенные измерительные инструменты и т. д. — все было
направлено на то, чтобы увеличить активную долговечность узлов и агрегатов.
Электротехническое отделение фирмы «Дженерал моторе» (General Motors),
например, увеличило активный ресурс приводных двигателей локомотивов с
400 тыс. до 1,6 млн. км за счет использования улучшенной изоляции и
применения усовершенствованных конических и сферических роликовых подшипников,
а также проведения испытаний при высокой температуре. Долговечность дизелей
была намного увеличена благодаря разработке фирмой «Токко» (Тоссо)
технологии повышения твердости опорных поверхностей цанг и кулачков. Был достигнут
прогресс в разработке ремонтопригодных конструкций и в обеспечении
предприятий оборудованием, инструментом и документацией для выполнения операций по
техническому обслуживанию и профилактических работ. Другая форма прогресса
была продемонстрирована в 40-е годы благодаря повышенному интересу
руководителей промышленных предприятий к составлению и утверждению типовых
графиков периодических проверок, карт контроля высокопроизводительного
станочного оборудования, выработке уровней оценки и экономически обоснованного
подхода к качеству продукции. Данные мероприятия ознаменовали вступление
инженеров, работающих в промышленности, в эту область, и, как результат,
большинство инструкций и учебных курсов по надежности было посвящено
обеспечению и контролю качества и относящимся к ним статистическим методам.
12

50-е годы. Большое значение придавалось безопасности, особенно в
аэрокосмической и атомной областях Эта декада отмечена началом использования
основных понятий по надежности элементов, таких как интенсивность отказов,
ожидаемая долговечность, соответствие конструкции заданным требованиям и
прогнозирование качества.
Министерство обороны США обнаружило, что ненадежное оборудование
требовало огромного объема работ по техническому обслуживанию и ремонту.
Подсчитали, что годовая стоимость обслуживания вооружения составляет 2 долл.
на каждый доллар стоимости самого оборудования электронного типа. Таким
образом, при десятилетнем сроке эксплуатации необходимо 20 млн. долл. для
содержания оборудования закупочной стоимостью в 1 млн. долл. Эти факты
Продемонстрировали правительству, что гораздо благоразумнее закладывать
основы надежности конструкции при проектировании, чем ожидать, пока
оборудование откажет, и после этого производить его ремонт.
Именно в начале 50-х годов были затрачены значительные усилия на то,
чтобы понять и научиться исправлять ошибки человека, приводящие к отказам
систем Одна из первых количественных оценок возможностей человека была
выполнена в 1952 г в лаборатории «Сандиа». Было проведено исследование системы
ядерного оружия на самолетах с использованием метода, базирующегося на
экспериментальных оценках среднего количества ошибок оператора на
выполняемую операцию. Задачи оператора были подразделены на две категории в
зависимости от условий, в которых они выполнялись: частота возникновения ошибок
принималась равной 0,01 для операций, выполняемых на земле, и 0,02 — в
воздухе. Эти значения были введены в уравнения, описывающие надежность работы
.системы, наряду с другими событиями, относящимися к системе.
60-е годы. В 60-е годы стала очевидной острая необходимость в новых
методах обеспечения надежности и более широкого их применения в различных
приложениях. Центр внимания переместился от анализа поведения отдельных
элементов различного типа (механических, электрических или гидравлических) на
последствия, вызываемые отказом этих элементов в соответствующей системе.
Вступление в эру межконтинентальных баллистических ракет и последующая
разработка пилотируемых ракетно-космических кораблей, таких как «Меркурий»
и «Джемини», ускорили реализацию девиза «успех любой ценой». Эти
обстоятельства усугублялись требованием поражения цели «с одного выстрела»,
кульминация которого достигается при предстартовом отсчете перед запуском реактивных
двигателей и других систем ракеты на пусковом столе.
Значительные усилия были затрачены на испытания систем и отдельных
элементов в течение первых лет космической эры. Все данные по каждому отказу
и результаты анализа тщательно регистрировались наряду с информацией по
другим техническим недостаткам, вскрытым при анализе. Вид, механизм и
причина каждого отказа любого элемента и вызываемые ими воздействия на систему
оценивались с целью внесения изменений, исключающих их повторение. Анализ
систем с использованием блок-схем в качестве основных моделей получил бурное
развитие и широкое распространение для достижения высокой степени
надежности и безопасности.
С увеличением сложности более изощренно составленных блок-схем
появилась необходимость в другом подходе. В 1961 г. впервые X. А. Уотсоном из
лаборатории фирмы «Белл телефоун» (Bell Telephone) был предложен новый
принцип анализа с помощью дерева отказов в качестве программы для оценки
надежности системы управления запуском ракет «Минитмэн». Позднее фирма
«Боинг» (Boeing) модифицировала этот принцип с целью моделирования на
ЭВМ. В 1965 г. Д Ф. Хаасль развил методику построения дерева отказов
применительно к широкому кругу различных технических проблем, относящихся к
надежности и безопасности
Изучение безопасности систем как отдельной независимой деятельности было
•официально введено в практику в 1962 г. после катастрофических аварий на
четырех подземных комплексах запуска межконтинентальных баллистических
ракет (МБР). В 1966 г. министерство обороны США (МО) приняло стандарты
ВВС и ввело требование по проведению анализа надежности на всех
этапах разработки всех видов вооружения. Эти стандарты непрерывно
дополнялись и перерабатывались, а в 1969 г. МО приняло стандарт MIL-STD-882 «Про-
13

грамма по обеспечению надежности систем, подсистем и оборудования:
Требования» в качестве основного стандарта для всех промышленных подрядчиков по
военным поставкам.
Параллельно МО разработало требования по надежности,
работоспособности и ремонтопригодности промышленных изделий Такие стандарты, как,
например, MIL-STD-471, «Ремонтопригодность (проверка, подтверждение, оценка)»
и MIL-STD-781 «Испытания на надежность (экспоненциальное распределение)»
являются документами, которые в частности определяют высокую степень
загруженности инженеров и консультантов по надежности среди военных и
гражданских специалистов.
60-е годы также отмечены началом широкого издания книг и журналов в
описываемой области. Монография И Базовски «Надежность: теория и
практика» была опубликована издательством «Прентис-холл» (Prentice-Hall) в 1961 г,
а к концу десятилетия появились по меньшей мере еще 15 книг (библиография
приведена в конце данного раздела). В этот период увидел свет журнал IEEE
«Transactions on Reliability», который под руководством д-ра Р. Эванса стал
ведущим периодическим изданием в данной области Видные математики, такие,
как 3. У. Бирнбаум, Р. Барлоу, Ф. Прошан, Д. Ж. Эзари и У. Вейбулл,
проложили дорогу разработке статистических методов, относящихся к проблемам
надежности и ремонтопригодности.
Кампания, начавшаяся в 50-х и ускорившаяся в 60-х годах, привела к
накоплению и систематизации данных по параметрам элементов, системам и ошибкам:
человека-оператора. Разработка в этой области является предметом гл. 6.
70-е годы. Интенсивная работа по оценке риска, связанного с эксплуатацией
атомных электростанций, была организована Комиссией по атомной энергии США
и завершилась в 1977 г. выпуском отчета «WASH-1400. Анализ безопасности
реактора». Проф. Н. Расмуссен и руководимая им группа исследователей с
многомиллионным бюджетом проанализировали широкий спектр аварий, относящихся
к атомной энергетике, численно классифицировали их в порядке вероятности,
появления, а затем оценили потенциальные последствия в отношении населения.
Дерево событий, дерево отказов и техника оценки риска и последствий,
использованные в этом отчете, были затем взяты на вооружение в химической и других
отраслях промышленности Исследования «по Расмуссену» получили
распространение в странах Европы, Азии и в США.
Возрастающая озабоченность общественности в отношении
индустриальных опасностей в сочетании с возрастающей степенью потребления и влиянием
на окружающую среду произвели значительное воздействие в течение этого
десятилетия. В Западной Европе вслед за серьезными промышленными авариями
в Фликсборо (Великобритания) и Червеза (Италия) был принят ряд законов,
предписывающих проведение исследований основных источников риска перед
началом строительства любого предприятия. Новый закон по токсическим
материалам, принятый в Великобритании, может повлиять на любое предприятие,
имеющее хотя бы одну емкость со сжатым газом. В США введены законы об
охране здоровья на производстве и об ответственности за качество продукции;
интересно отметить, что расходы предприятий химической промышленности в
связи с выходом этих законов оценены в 1977 г. в 2 млрд. долл.
СПИСОК ЛИТЕРАТУРЫ
Green A. E., Bourne A. J. Reliability Technology, John Wiley & Sons, Inc.,
New York, p. 3. 1972.
Jennings R. H. Historic and Modern Practices in Reliability Engineering,
Paper Presented at the AIChE Meeting, Washington, 1974.
Henney KM et al. Reliability Factors for Ground Electronic Equipment,
McGraw-Hill Book Company, New York, 1956.
Reliability and Maintainability Symposia Proceedings (known bv different
names starting in 1954, annually since 1956), Institute of Electrical and'Electronic
Engineers, New York. IRE, Inc.: Reliability Training Text, New York, 1959
14

Chorofas D. N. Statistical Processes and-Reliability Engineering, Van Nostrand
Reinhold Company, New York, 1960.
Gryna F. M., Ryerson N. J., Swerling S. (eds.), Reliability Training Text,
2nd ed. 1 East 79th Street, Institute of Radio Engineers, New York, 1960.
Dummer, G., Griffin N. Electronic Equipment Reliability, John Wiley & Sons,
Inc., New York, 1960.
Bazovsky I. Reliability Theory and Practice, Prentice-Hall, Inc., Englewood
Cliffs, N. J, 1961.
Lloid D. K., Lipow M. Reliability: Management, Methods and Mathematics,
Prentice-Hall, Inc, Englewood Cliffs/N. J., 1962
Zelen Μ S. Statistical Theory of Reliability, University of Wisconsin Press,
Madison, 1962.
Calabro S. R. Reliability Principles and Practice, McGraw-Hill Book Company,
New York, 1962.
Barlow W. R., Hunter L., Proschan F. Probabilistic Models in Reliability
Theory, John Wiley & Sons, Inc, New York, 1962.
Cox D. R. Renewal Theory, John Wiley & Sons, Inc., New York, 1962.
Wilcox M. H., Mann W. С (eds.) Redundancy Techniques for Computing
Systems, Spartans Press, Washington, D. C, 1962.
Piemschka E. Princioles of Reliability, Printice-Hall, Inc., Englewood Cliffs,
N. J., 1963.
sandier G. System Reliability Engineering, Prentice-Hall, Inc., Englewood
Cliffs, N. J., 1963.
Ankenbrands F. L. Maintainability Design, Engineering Publishers, Division
of A C. Book Company, Inc., Elizabeth, N. J., 1963.
Landers R. Reliability and Product Assurance, Prentice-Hall, Inc., Englewood
Cliffs, N J., 1963.
Lipson C, Kerawalla J., Mitchell L. Engineering Applications of Reliability,
The University of Michigan Press, Ann Arbor, 1963.
Reliability Control in Aerospace Equipment Development, Society of Automotive
Engineers, inc., SAE Technical Progress Series, Vol. 4, 1963.
Goldman Α., Slattery T. Maintainability: A Major Element of System
Effectiveness, John Wiley & Sons, Inc., New York, 1964.
Handbook of Reliability Engineering, Bureau of Naval Weapons Handbook,
NAVWEPS 100-65-502, 1964.
Haviland R. I. Engineering Reliability and Long Life Design, Van Nostrand
Reinhold Company, New York, 1964.
Myers R. et al Reliability Engineering for Electronic Systems, John Wiley
& Sons, Inc., New York, 1964.
Roberts N. Mathematical Methods in Reliability Engineering, McGraw-Hill
Book Company, New York, 1964
Reliability Engineering Handbook, NAVAIR 00-65-502/NAVORD OD—41146, 1.
June, 1964.
Buckland W. R. Statistical Assessment of the Life Characteristic, Griffin, 1964
(available from NTIS, Springfield, VA, 22151).
Aeronautical Radio, Inc., Reliability Engineering, Prentice-Hall, Inc.,
Englewood Cliffs, N. J., 1964.
ARINC Research Technical Staff, Reliability Engineering, Prentice-Hall, Inc.,
Englewood Cliffs, N. J., 1964.
Levenback G. J. System Reliability and Engineering Statistical Aspects, Am.
Scientist, September, 1965.
Hackler, J. Methoden fur die Untersuchung der Zuverlassigkeit, Institut fur
Datenverarbeitung, Dresden, 1965.
Barlow R. E., Proschan F. H. Mathematical Theory of Reliability, John Wiley
& Sons, Inc., New York, 1965.
Gryna F. M. (ed.) Reliability Theory and Practice, Sixth Annual Workshop,
Chikago, June 22—24, 1965. Sponsored by Electrical Engineering Division of ASEE
at the Illinois Institute of Technology (available from ASEE Headquarters).
Pierce W. Failure Tolerant Computer Design, Van Nostrand Reinhold Company,
New York, 1966.
15

Stewart D. A. Probability, Statistics and Reliability, Draughtsmen's and Allied
Technicians Association, Richmond, Surrey, 1966.
Dummer G. W., Griffin N. B. Electronic Reliability: Calculation and Design,
Pergamon Press, Inc., Elmsford, N. Y., 1966.
Lloyd E. N. Quality Control and Reliability, Industrial Press, New York, 1966.
Ireson W. G. Reliability Handbook, McGraw-Hill Book Company, New
York, 1966.
Kenney D. P. Application of Reliability Techniques, Argyle Publishing
Corporation, New York, 1966.
Gedye G. R. A Manager's Guide to Quality and Reliability, John Wiley & Sons,
Inc., New York, 1968.
Haugen E. B. Probabilistic Approaches to Design, John Wiley & Sons. Incr
New York, 1968.
Polovko A. M. Fundamentals of Reliability Theory. Translation edited by
Pierce W. H. Academic Press, Inc., New York, 1968 (оригинал на русском языке).
Research Triangle Institute, Practical Reliability (in five volumes), National.
Aeronautics and Space Administration, 1968.
Shooman M. Probabilistic Reliability: An Engineering Approach, McGraw-Hill
Book Company, New York, 1968.
Dummer G. W. Winton R. С An Elementary Guide to Reliability, Pergamort
Press, Inc., Elmsford, N. Y., 1968.
Chapouille P. Fiabilite des Systemes, Masson te cie, Paris, 1968.
Gnedenko B. V., Belyayev Yu. K., Solovyev A. D. Mathematical Methods c<f
Reliability Theory. Translation edited by Barlow R. E., Academic Press, New
York, 1969 (оригинал на русском языке).
International Electrotechnical Commission, Managerial Aspects of Reliability,.
Geneva, 1969.
Smith Ch. S. Quality and Reliability: An Integrated Approach., Pitman Press,
New York, 1969.
Tromason R. An Introduction to Quality and Reliability, Machinery Publiching
Company, Brighton, England, 1969.
Barlow R. E., Scheuer E. M. An Introduction to Reliability Theory, CEIR, nc.„
1969.
Blanchard B. S., Lowery E. Maintainability, Principles and Practice, McGraw-
Hill Book Company, New York, 1969.
Stormer H. Mathematisch Theorie der Zuverlassigkeit, R. Oldenborgh, Munich,
Germany, 1970.
Breipohl A. M. Probabilistic Systems Analysis, John Wiley & Sons, Inc., New
York, 1970.
Amstadter B. Reliability Mathematics, McGraw-Hill Book Company, New
York, 1971.
Green A. E., Bourne A. J. Reliability Technology, John Wiley & Sons, Inc.r
New York, 1972.
Hamner W. Handbook of System and Product Safety, Prentice-Hall, Inc., 1972.
O'Connell E. P. (ed.) Handbook of Product Maintainability, Reliability
Division, American Society for Quality Control, 1973.
Locks M. O. Reliability, Maintainability, and Availability Assessment, Hayden
Book Co., Inc., Rochelle Park, N. J., 1973.
Smith С. О. Introduction to Reliability in Design, McGraw-Hill Book
Company, 1976.
Henley T. J., Lynn J. Generic Techniques in Reliability Assessment, Noordhoff
International, Leyden, Holland, 1976.
Barlow R. E., Fussell J. В., Singpurwalla N. D. Reliability and Fault Tree
Analysis, SIAM, Philadelphia, 1975.
Fussell J. В., Burdick G. R. Nuclear Systems Reliability Engineering and Risk
Assessment, SIAM, Philadelphia, 1977.

Глава 1
АНАЛИЗ РИСКА
1.1. НАДЕЖНОСТЬ, РИСК И БЕЗОПАСНОСТЬ
Термины надежность, безопасность, опасность и риск часто
смешивают, при этом их значения перекрываются. В этой книге термины
анализ безопасности или анализ опасности использованы как
равнозначные понятия. Наряду с термином .анализ надежности они
относятся к исследованию как работоспособности, отказов
оборудования, потери работоспособности, так и процесса их
возникновения. Если в результате анализа требуется определить параметры,
характеризующие безопасность, необходимо в дополнение к
отказам оборудования и нарушениям работоспособности системы
рассмотреть возможность повреждений самого оборудования или
вызываемых ими других повреждений. Если на этой стадии анализа
безопасности предполагается возможность отказов в системе, то
проводится анализ риска для того, чтобы определить последствия
отказов в смысле ущерба, наносимого оборудованию, и
последствий для людей, находящихся вблизи него.
Примером изучения надежности может быть анализ того,
насколько часто перегревается химический реактор из-за нарушений
в работе насосов, теплообменников, системы управления и другого
связанного с ним оборудования, а также ошибок
человека-оператора. Если задачу анализа расширить и включить в него оценку
риска того, насколько часто изменение температуры приводит к
взрыву, то здесь речь уже идет о проблеме безопасности (или
опасности). Чтобы завершить изучение вопросов безопасности,
необходимо проверить, перегревается ли химический реактор при
отсутствии отказов оборудования или нарушений правил его
эксплуатации, а также по другим причинам, не относящимся к его
конструкции.
Если расширить анализ случаев взрыва химического реактора,
включив в него рассмотрение последствий, ожидаемую частоту их
появления, а также ущерб, вызываемый потерями оборудования и
человеческими жертвами, то можно считать анализ риска
выполненным. Например, последствиями взрыва из-за изменения
температуры могут быть небольшие повреждения за счет разлетевшихся
ссьолков или полная катастрофа вследствие пожара. Одной
из целей анализа риска является оценка частоты (вероятности)
этих или других возможных последствий из-за отказов в
системе.
17

Конечным результатом изучения степени риска может быть,
например, такое утверждение (одно или ряд утверждений):
«Возможное число человеческих жертв в течение года в результате
взрыва реактора равно Ю-4». Таким образом, на каждые 10 тыс. ч
эксплуатации предсказывается гибель одного человека. С точки
зрения общества в целом интересно сравнение полученной
величины со степенью риска обычных условий человеческой жизни,
для того чтобы получить представление о приемлемом уровне
риска и иметь основу для принятия соответствующих решений.
1.2. ОПРЕДЕЛЕНИЕ И ИЗМЕРЕНИЕ РИСКА
-Словарным значением слова риск является «возможность
человеческих жертв и материальных потерь или травм и повреждений».
Если бы словарь составлялся специалистом по надежности, данное
значение звучало бы так: «вероятность человеческих и
материальных потерь или повреждений». В технических терминах, например,
риск любого человека из 200-миллионного населения США
погибнуть в течение года в автомобильных катастрофах составляет
50 тыс смертельных исходов в год _4 смертельных исходов
200 млн. человек ' в год на человека
т. к. суммарное годовое число смертельных случаев в автомобиль
ных катастрофах в США равняется 50 тыс. Риск может иметь не
смертельный исход, поэтому более общим выражением является
[последствие "I Г событие 1 Г последствие 1
=частота величина .
время J [.единица времени J |_событие J
Для примера с автомобильными авариями при общем числе
аварий, равном в США 50 млн. в год, число катастроф
(смертельных исходов/авария) равно Ю-3, так как
смертельных случаев аварий \/ Λ п смертей \
50 000 ! ~ '--=(50Х10в * Ю-з \L ).
год год /\ аварий /
Для общества риск понести материальные потери от
автомобильных аварий можно выразить так:
потери аварий потери
риск = частота величина .
время время аварии
Вероятностная величина, равная 2,5· Ю-4 смертельных исходов
на человека в год, означает, что если бы жители США имели
равную вероятность погибнуть в автомобильных катастрофах и если
бы не было других причин смерти, то все население страны
погибло бы в автомобильных катастрофах в течение 4 тыс. лет. Только
то, что мы имеем дело с данными большого масштаба, придает
смысл сделанным выводам. Любой отдельно взятый водитель мог
бы сказать так: «Для меня все это не имеет смысла. Я могу
погибнуть в катастрофе завтра». И он будет прав.
При применении данного вероятностного критерия к оценке
риска погибнуть в железнодорожной катастрофе имеется сущест-
18

венная разница между тем, относится ли риск, например в 0,1
фатального исхода в год, к 100 погибшим в одной катастрофе за
1000 лет или к гибели одного человека в течение каждых 10 лет.
В целом, общественность мало обращает внимание на аварии с
единичными жертвами, однако всегда бурно реагирует даже на
потенциально опасные объекты, в катастрофах на которых могут
погибнуть сотни людей.
Подход к анализу риска \ описанный в последующих
параграфах, построен на классическом принципе определения
относительных частот событий при длительных испытаниях. Однако, если
анализ риска, связанный с еще не построенным атомным
реактором, дает величину, равную Ю-6 жертв в год, можно утверждать,
что здесь речь идет не об относительных частотах при длительных
испытаниях, а о «редких событиях», к которым классический
вероятностный подход, основанный на статистических выводах, не
может быть применен. Здесь уместно напомнить о традиционном
примере с ученым-статистиком, который утонул в ручье, имевшем
среднюю глубину в пять сантиметров.
Альтернативный подход к проблеме «редких явлений»
основывается на субъективистской логике. Такой подход отвергает
понятие об истинной вероятности и основывается на идее
представления вероятности как меры субъективных мнений и убеждений.
Методы обращения убеждений и мнений в критерий риска
включают нетривиальную и подчас противоречивую операцию определения
вероятности с использованием опроса экспертов в сочетании с
теоремой Бейеса. Интересующийся читатель отсылается к
библиографии [1, 2], приведенной в конце данной главы.
1.3. РИСК ДЛЯ НАСЕЛЕНИЯ
Полная безопасность не может быть гарантирована никому,
независимо от образа жизни. Каждый из нас выживает от одного дня
до другого, избегая риска или преодолевая опасности, такие,
например, как приведенные в табл. 1.1 [3]. При уменьшении риска
ниже уровня Ю-6 в год общественность не выражает чрезмерной
озабоченности, к поэтому редко предпринимаются специальные
меры для снижения степени риска; мы, например, не проводим
свою жизнь в страхе погибнуть от удара молнии. Основываясь на
этой предпосылке, многие специалисты принимают величину Ю-6
как тот уровень, к которому следует стремиться, устанавливая
степень риска, обусловленную деятельностью промышленных
предприятий.
Интересный обзор повседневной деятельности человека,
носящей по своей природе случайный характер, был составлен Б. Бул-
лахом из отделения «Монд» (Mond) фирмы «Империал кемикал
пндастриз» (Imperial chemical Industries). По оси ординат на
1 В числе прочих вопросов в книге излагается точка зрения американских
специалистов на проблему производственной безопасности в условиях
капиталиста. ^ ν г *vnecTBa — Прим. редакции.
19

1.1. Индивидуальный риск преждевременного фатального исхода,
обусловленный различными причинами
Причина или место несчастного случая
Автомобильный транспорт
Падение
Пожар и ожог
Утопление
Отравление
Огнестрельное оружие
Станочное оборудование (1968 г.)
Водный транспорт
Воздушный транспорт
Падающие предметы
Электрический ток
Железная дорога
Молния
Торнадо
.Ураган
Все прочие
Общее число жертв
Катастрофы 4, связанные с
реакторов)
ядерной энергией (100
Общее число
жертв
за 1969 г.
55 791
17 827
7 451
6 181
4516
2 309
2 054
1743
1778
1 271
1 148
884
160
1182
903
8 695
, 115 000
—

Приблизительный уровень
риска. Вероятность

преждевременного фатального
исхода в год 1
3-Ю"4
9
4
3
2
1
1
9
9
6
6
4
5
1 4
4
4
6
ю-5
ю-5
ю-5
ю-5
ю-5
ю-5
ю-6
ю-6
• ю-6
• ю-6
ю-6
• ю-7
•ΙΟ"7
• ю-7
ю-5
ю-4
2· Ю-10
1 Основаны на данных, относящихся ко всему населению США, за исключением
случаев, указанных отдельно.
2 Среднее значение за 1953—1971 гг.
3 Среднее значение за 1901 — 1972 гг.
4 Основано на данных для населения 15-Ю6 человек, связанных с видом риска.
рис. 1.1 отложена частота несчастных случаев с фатальным
исходом, т. е. среднее число погибших в результате несчастных
случаев в течение 10 ч при определенных видах деятельности. Вопреки
общественному мнению, которое сложилось в результате
воздействия некоторых газетных статей, описывающих химическую
промышленность, по меньшей мере, как причиняющую постоянные
хлопоты или, в худшем случае, как скопление большого
количества отравляющих веществ, на самом деле химическое
предприятие является исключительно безопасным местом работы со
средним уровнем риска, лежащим в нижней части спектра. Более
того, примерно половина жертв (равная для химической
промышленности 3,5) обусловлена дорожными и другими транспортными
происшествиями, падениями и т. п., т. е. несчастными случаями,
не связанными с технологическим процессом.
1.4. КРИВАЯ ФАРМЕРА
Ключевым принципом в анализе риска является идея,
предложенная Фармером в 1967 г. [4] и заключающаяся в установлении
случайной, но тщательно подобранной зависимости между средним
20

4 m
1
10
5,0
4,0
3,0
2,0
1>0
0,5
660
57
57 г-ι
Строитель cm δ о
2*5 гА
й
111)
Химическая
3,5 промышленность
I I
г
I I I
6
J I
\J
3,0
I
ж Ч
ι J.
10
12 14
16
18
20
22
Рис. 1.1. Повседневные опасности:
л — сон; б —домашний туалет и принятие пищи; в — поездка на работу и с работы за
рулем автомобиля, г —дневная работа; д — обеденный перерыв; е — езда на мотоцикле; ж —
развлечения
количеством радиоактивной утечки в атмосферу из ядерного
реактора и вероятностью (средняя частота в год или соответствующая
величина среднего отрезка времени между этими событиями)
наступления такого события. Таким способом определяется
предельная кривая частоты аварийных утечек, которая может
использоваться прежде всего в качестве исходных данных
проектировщиками новой станции и специалистами по оценке безопасности.
Существующая форма предельной кривой частоты аварийных утечек,
которая в настоящее время используется управлением по атомной
энергии Великобритании, показана на рис. 1.2. Считается, что
кривая отделяет верхнюю область недопустимо большого риска ог
области приемлемого риска, расположенной ниже и левее кривой.
Кривую, таким образом, можно использовать в качестве критерия
21

Рис
Радиоактибные
утечки 131j
+30
Показатель отношения
Рис.
2. Предельная кривая интенсивности аварийных утечек для йода
.3. Распределение частоты благоприятного отношения общественности к
различным видам энергии:
/ — ядерная; 2 — уголь и нефть; 3 — солнечная и гидравлическая
безопасности, определяющего верхнюю границу допустимой
вероятности. Если это условие выполняется, основная цель достигнута,
а интуиция подсказывает, что она правильная, а именно: аварии,
вызывающие небольшие утечки и приводящие к незначительным
последствиям, отражающимся на здоровье людей и чистоте
окружающей среды, могут случаться сравнительно часто (например,
каждые 10 или 100 лет в среднем для одного реактора); чем
больше утечка, тем меньше должна быть вероятность или частота ее
появления, а для очень больших утечек вероятность
действительно должна быть чрезвычайно низкой. В примере 1, гл. 13, будет
построена кривая подобного вида.
1.5. ОТНОШЕНИЕ ОБЩЕСТВЕННОСТИ И СОЦИАЛЬНЫЕ АСПЕКТЫ
УПРАВЛЕНИЯ СТЕПЕНЬЮ РИСКА
В наше время «полной гласности» выявление и количественная
оценка риска, которая выполняется квалифицированными
специалистами, являются предметом обсуждения общественности. Схема
прохождения информации показана на рис. 1.4. В нее включены
психологические и социальные аспекты, иными словами, такие
понятия, как психологическое благополучие индивидуума в
соответствии с его пониманием социального риска и воздействие этих
факторов на общество в целом и его отдельных членов. Широко
известно, что общественность по-разному реагирует на риск:
приемлемая степень смертельного риска при добровольном участии
на три порядка (103) выше, чем при вынужденном участии [6].
Поэтому можно ожидать, что средства железнодорожного
транспорта в 1000 раз «безопаснее», чем защитное снаряжение
альпиниста. Точно так же широко известно, что общество считает одиноч-
22

Предварительная оценка риска
Анализ риска
Обнаружение риска:
материального
психологического
социального
Общественное мнение:
выявленное
выраженное
I
Количественная оценка риска:
запланированные операции
незапланированные события
I
Официальный анализ:
решения
расходы — результаты
стратегия использования
Политические мотивы
Исторические предпосылки
Стратегия управления риском
Управление риском
Рис. 1.4. Структурная схема проведения анализа риска
ные, но с тяжелыми последствиями события менее приемлемыми,
чем большое количество малых происшествий при той же степени
риска. Приведенные примеры иллюстрируют раздел «общественное,
мнение» на рис. 1.4.
Подобные наблюдения являются результатом применения
методологии, которая основана на учете отношения общества и которая
служит для выявления определяющих факторов восприятия
людьми технических систем. Обычно считается, что положительное
отношение направлено на принятие риска, а отрицательное — на его
отвергание.
На рис. 1.3 показано распределение частоты благоприятного
отношения общественности к пяти основным видам энергии [7].
Было выявлено только три вида распределения. К гидравлической
и солнечной энергии отношение исключительно благоприятное;
отношение к углю и нефти умеренно благоприятное; что касается
ядерной энергии, явно обнаруживается нормальный закон
распределения отношения за исключением дополнительных всплесков
существенно отрицательного и положительного характера.
Последний вид распределения отражает степень поляризации взглядов
по отношению к радиоактивным отходам. Анализ, подобный
приведенному, представляет определенный интерес, однако
результаты далеки от того, чтобы сделать окончательные выводы.
Действительно они выражают лишь интуитивные мнения людей и
отражают определенную тенденцию, высказанную в интервью. В США
когда бы людям не предоставлялась возможность проголосовать
23

по вопросу ядерной энергии, они голосовали преимущественно з-
пользу ее применения в мирных целях. Противники ядерной
энергии иногда успешно запугивают судебный и административный
аппарат. В этой связи интересно отметить, что недавно проведенный
в стране опрос общественного мнения показал, что американцы
больше доверяют инженерам, чем адвокатам или врачам.
Конечно, информация в прессе, относящаяся к аварии на атомной
электростанции «Три майл айлэнд» (Three Mile Island), может
полностью изменить эту картину.
При проведении анализа (второй квадрат на рис. 1.3 в колонке
«Анализ риска») может быть применена теория использования [8J
или метод оценки затрат — результатов [9]. Когда при анализе
проекта учитываются возможность человеческих жертв или меры
для их исключения, количественные задачи приводят к
необходимости оценить безопасность человеческой жизни в стоимостном
выражении.
В принципе имеется пять подходов, которые были предложены
для придания денежного выражения мерам по обеспечению
безопасности для использования при оценках затрат — результатов-
К ним относятся (по данным Отвейя) :[10] следующие:
Косвенная стоимость. Безопасность человека оценивается в
соответствии со стоимостью мероприятий, проводимых с целью
уменьшения смертельного риска.
Личный каптал. Безопасность оценивается как часть
заработка индивидуума, связанного с риском.
Страхование. Безопасность оценивается на основе суммы
личного страхования.
Судебные выплаты. Выплаты по решению суда в качестве
компенсации за потерю жизни берутся за основу для определения
размера стоимости безопасности.
Добровольные платы. Оценивается уменьшение риска по
величине добровольной платы за меры безопасности.
Денежные выражения, полученные с помощью этих методов*
сведены в табл. 1.2 с указанием ограничений, присущих данным
методам. Все приведенные методы так или иначе зависят от
дохода индивидуумов, связанных с риском, и от действующих
юридических законодательств. Для того чтобы получить правильную
величину, которая используется при анализе затрат — результатов*
необходимо уделить внимание причине и времени смерти и
связанным с ней трагическим обстоятельствам. В США суд обычно
выносит решение о меньших суммах выплаты при разборе смертельных
случаев, чем при потерях трудоспособности.
Последний блок на рис. 1.3 «Стратегия управления риском»
включает информацию исторического и политического характера*
а также данные общего характера. Таким образом
рассматриваются все технические π социальные аспекты в их взаимосвязи. При
этом ключевым моментом являются «политические суждения», а
выводы обычно неутешительные. Результаты исследований,
проведенных Пончином и другими учеными, представлены в табл. 1.3.
24

1.2. Оценка безопасности с точки зрения анализа доходов и расходов
Виды оценок
Косвенная стоимость
Личный капитал
Страховые премии
Судебные выплаты
Добровольная плата
Типичная
стоимость,
тыс. долл.
9—9000
100—400
Широкий
диапазон
250
180—1000
Ограничения
Принятые меры безопасности
предполагаются оптимальными
Целиком основан на доходе в
течение всей жизни. Не учитывает
индивидуальные наклонности.
Дискриминируются непроизводительные члены
общества
Не учитывают индивидуальные
интересы в части защиты собственной
жизни
Основаны на потерянных доходах
С трудом поддается оценке. Зависит
от обстоятельств, связанных с
риском
Примечания. Итог: Все варианты оценок в определенной степени зависят от
потенциального суммарного дохода индивидуума, связанного с риском, в течение его
жизни и не учитывают серьезности последствий.
Вывод: Сумма не может быть определена очень точно. Следует выбирать значения
стоимости (например, 300 тыс. долл.) в зависимости от индивидуальных отличий, интересов
третьих лиц и психологических факторов.
1.3. Оценка числа смертельных случаев, вызванных различными
источниками энергии в расчете на один гигаватт
Вид топлива или энергии
Метанол, биопродукты
Энергия ветра
Солнечная, фотоэлектрическая
Уголь
Солнечная (тепловая)
Нефть
Солнечная (нагрев помещения)
Гидроэлектрическая
Океан (тепловая)
Атомная
Природный газ
Конечная
форма
энергии
Μ
Э
э
э
э
э
τ
э
э
э
э
Число жертв на 1 ГВ

профессиональных
110
20—30
16—21
2—10
7—10
0,2—2
9—10
2—4
2-3
0,2—1,3
0,1—0,4
населения
0
2—40
1—40
3—150
1—40
1,4—140
0,4
1-2
0,1
0,04—0,24
0
суммарное
ПО
22—70
17—61
5—160
8—50
1,6—142
9—10
3—6
2—3
0,25—1,5
0,1—0,4
Конечная форма энергии: э — электрическая; м — механическая; τ — тепловая.
Таблица показывает, что потребление природного газа и
ядерной энергии— видов топлива, используемых для производства
электроэнергии и являющихся предметом острых политических
дискуссий, существенно меньше связано с риском, чем другие
способы получения электроэнергии [11].
25

1.6. ЗАКОНОДАТЕЛЬНЫЕ ВОПРОСЫ, ОТНОСЯЩИЕСЯ К РИСКУ
Подобно анализам воздействия промышленных предприятий на
окружающую среду, большинство исследований по оценке
безопасности и риска в настоящее время выполняется с целью
удовлетворения лишь запросов общественности и государственных органов
надзора, но не с целью уменьшения самого риска.
В качестве доказательства этого утверждения предлагается
наблюдение, что, по-видимому, только 10% сооружаемых в
настоящее время предприятий были подвергнуты анализу с целью
определения связанного с ними риска (или воздействия на
окружающую среду). Существующая тенденция в законодательстве,
относящемся к риску, состоит в формулировании требований к
количественным оценкам. Документ комиссии по контролю за ядерной
энергетикой RG 1.115 под названием «Защита против газотурбинных
низколетающих аппаратов» (с. 1.116-3) утверждает, что «Персонал
этой комиссии считает уровень Ю-7 в год допустимой степенью
риска с выходом из строя одной из основных систем для
единичного происшествия». Другой интересный принцип количественной
оценки риска предложен в документе RC 1.110 «Анализ затрат —
результатов для систем радиоактивных отходов энергетических
ядерных реакторов» (с. 1.110-6): «Любой претендент на получение
разрешения на строительство ядерного реактора с водяным
охлаждением должен продемонстрировать с помощью анализа затрат —
результатов, что дальнейшее снижение совокупной дозы
облучения, получаемой населением в 80-километровой окрестности
вблизи места нахождения реактора, не может быгь обеспечено за счет
мероприятий годовой стоимостью в 1000 долл. на 1 бэр (100 бэр =■
= 1 Зв) в расчете на одного человека (или меньше этой
стоимости, являющейся приемлемой для данного конкретного
случая)».
США первенствовали во введении такого, носящего
непрактичный характер законодательства, относящегося к атомной энергии
и вопросам окружающей среды [12]. Однако страны Европы
быстро ликвидируют отставание в части подобных законодательств,
основанных на количественных критериях, и обещают обогнать
Соединенные Штаты путем распространения этих принципов на
оформление прав и правил инспекции химических предприятий.
Такие законодательства уже приняты в Нидерландах, за которыми
вскоре должны последовать законодательные органы
Великобритании и Франции [13].
Авторы книги не уверены в том, что подобные законодательства
положат конец несчастным случаям; они лишь увеличат расходы
для населения. Действительно, если единственным побуждением
при проведении исследования риска является удовлетворение
правительственных требований, то оно направлено лишь на снятие
персональной ответственности с исследователя и не стимулирует
его конструктивного вклада в решение проблемы обеспечения
безопасности.
26

1.7. МЕТОДИКА ИЗУЧЕНИЯ РМСКЛ — СТАДИЯ I:
ПРЕДВАРИТЕЛЬНЫЙ АНАЛИЗ ОПАСНОСТИ (ПАО)
Определение системы. Риск связан с бесконтрольным
освобождением энергии или утечками токсических веществ. Обычно одни
отделения предприятия представляют большую опасность, чем
другие, поэтому в самом начале анализа следует разбить предприятие
на подсистемы, для того чтобы выявить такие участки
производства или его компоненты, которые являются вероятными
источниками бесконтрольных утечек. Следовательно, первыми двумя шагами
являются:
Шаг 1. Выявить источники опасности (возможны ли утечки
ядовитых веществ, взрывы, пожары и т. д.?).
Шаг 2. Определить части системы, которые могут вызывать эти
опасные состояния (химические реакторы, емкости и хранилища,
энергетические установки и др.)·
В ходе поиска подсистем, которые могут вызвать опасные
состояния, было установлено, что полезло составлять список
ключевых выражений и использовать следующие ключевые слова и
выражения, для того чтобы обнаружить тенденции в изменениях [14]:
Больше чем Чем другие
Меньше чем Так же как
Ни один из Наоборот
Часть из Позже чем
Скорее чем
Средствами к достижению понимания опасностей в системе
являются инженерный анализ и детальное рассмотрение окружающей
среды, процесса работы и самого оборудования. При этом очень
важно знание степени токсичности, правил безопасности,
взрывоопасных условий, прохождения реакций, коррозионных процессов
и условий возгораемости. Перечень, подобный используемому
фирмой «Боинг» и изображенный на рис. 1.5, является основным
инструментом в выявлении опасностей.
Обычно необходимы определенные ограничения на анализ
технических систем и окружающей среды. Например, нерационально в
деталях изучать параметры риска, связанного с разрушением
ректификационной колонны нефтеперегонного завода из-за
столкновения самолета с ней. Однако авиационные катастрофы, сейсмические
воздействия и другие маловероятные типы опасностей действи-
'1ельно необходимо принимать во внимание при анализе риска,
относящегося к атомной электростанции, потому что важно
предусмотреть защиту от этого типа опасностей; теоретически атомная
электростанция может вызвать больше жертв, чем
ректификационная колонна. Поэтому необходим следующий шаг.
Шаг 3. Следует ввести ограничения на анализ. Например,
нужно решить, будет ли он включать детальное изучение риска в
результате саботажа, диверсий, войны, ошибок людей, поражения
молнией, землетрясений и т. д.
27

1. Обычное топливо
2. Двигательное топливо
3. Инициирующие взрывчатые
вещества (ВВ)
4. Бризантные ВВ
5. Заряженные электрические
конденсаторы
6. Аккумуляторные батареи
7. Статические электрические
заряды
8. Емкости под давлением
9. Пружинные механизмы
10. Подвесные устройства
11. Газогенераторы
12. Электрические генераторы
13. Источники высокочастотной
энергии
14. Радиоактивные источники энергии
15. Падающие предметы
16. Катапультированные предметы
17. Нагревательные приборы
18. Насосы, воздуходувки,
вентиляторы
19. Вращающиеся механизмы
20. Приводные устройства
21. Ядерная техника и т. д.
Процессы и условия, представляющие
опасность
1. Разгон
2. Загрязнения
9.
10.
11.
12.
13.
14
15.
Коррозия
Химическая диссоциация
Электрический:
поражение током
ожог
непредусмотренные включения
отказы источника питания
электромагнитная радиация
Взрывы
Пожары
Нагрев и охлаждение:
высокая температура
низкая температура
изменение температуры
Утечки
Влага:
высокая влажность
низкая влажность
Окисление
Давление:
высокое
низкое
быстро изменяющееся
Радиация:
термическая
электромагнитная
ионизирующая
ультрафиолетовое излучение
Химическое замещение
Механические удары и т. д.
Рис. 1.5. Источники энергии, представляющие опасность
Целью стадии I анализа риска является определение системы
и выявление в общих чертах потенциальных опасностей.
Предварительный анализ опасностей (ПАО). Нередко стадия I
анализа включает не только предварительное выявление элементов
системы или событий, которые ведут к опасным ситуациям. Если
задачи анализа расширяются с использованием более
формализованных (количественных) приемов, в том числе с включением в
рассмотрение последовательности событий, превращающих
опасность в происшествие, а также корректирующих мероприятий для
устранения последствий происшествия, то такая процедура
называется предварительным анализом опасностей.
В аэрокосмической промышленности, например, опасности,
после того как они выявлены, характеризуются в соответствии с
вызываемыми ими последствиями.
Обычная схема классификации опасностей следующая *.
Класс I — пренебрежимые эффекты.
Класс II — граничные эффекты.
Класс III — критические ситуации.
Класс IV — катастрофические последствия.
1 Подобные разделы классификации применительно к определенным
элементам называются категориями критичности (см. разд. 1.11).
OR


Выполнение
анализа

опасностей
Опасности
найдены и опреде-
Опасности не
найдены
Решение
устранить или
уменьшить опасность
Решение
примириться с
опасностями
Введение
исправлений в проект
Оба мероприятия
Обеспечение
нештатных действий
Рис. 1.6. Дерево решений для анализа опасностей
На следующей ступени необходимо наметить
предупредительные меры (если эти меры вообще могут быть приняты), с тем
чтобы исключить аварии класса IV и, возможно, классов III и II.
Возможные решения, которые следует рассмотреть, показаны на
рис. 1.6 в виде дерева решений. После этого можно принять
необходимые решения по внесению исправлений в проект ь це^ом или
изменить конструкцию оборудования, изменить цели и функции и
(или) внести нештатные действия с использованием
предохранительных и предупреждающих устройств, противопожарных
перегородок и т. п.
Принятая форма, заполняемая при проведении ПАО, показана
на рис. 1.7, α и б. Содержание этих форм частично носит
описательный характер с перечислением как отдельных событий, так и
вводимых корректирующих действий, которые могут быть
предприняты.
Особое значение при выполнении ПАО имеют граничные
условия для оборудования и подсистем. Ламберт [15] описывает
классический случай, который произошел на ранней стадии разработки
баллистических ракет в США.
Четыре основные аварии произошли в результате
многочисленных проблем сопряжения блоков. В результате каждой аварии
были уничтожены как сами ракеты, так и шахтные стартовые
комплексы стоимостью несколько миллионов долларов.
Отказ на космическом корабле «Аполлон-13» произошел из-за
трудно контролируемого нарушения условий сопряжения. Во
время предстартовой подготовки к термопереключателю нагревателя
кислородного бака № 2 было приложено нерасчетное
электрическое напряжение. Это вызвало разрушение изоляции проводов,
ведущих к вентилятору внутри бака. Во время полета переключатель
вентилятора был включен, произошло короткое замыкание,
которое вызвало загорание тефлоновой изоляции, приведшее к взрыву
кислородного бака.
В этом разделе термины определение системы и
предварительный анализ опасностей использовались в какой-то степени
произвольным образом. Методики изучения безопасности, используемые
в отдельных отраслях промышленности и на различных фирмах,
несколько различаются. Если нет специальных государственных
29

ΒΜΗ9ΓΙ0 ВВП
-4if9iHdBaV9dTj "Π
1Я ДЛЯ ПрСЯ
я аварии
и я
к я
я <ϋ
о. ω
2 "
%о
о
1ГВН0Э
-d9U evOl
BdAtott
-odu 3V01
9HHBaoVAd
-090 ivOl
HIDOHDBUO ЭЭВ1Г>1 *6
BHaioV9ifDOTj *8
BHdBaB
ВВНЧ1ГВИ'ПНЭ10Ц Ί
виао1ГэЛ
91чнэвио ээтенва
-iqeiqa 'эиичроэ '9
BnaoiroA 91чнэвио *S
9ИНВ01ЭОЭ
oohdbuo ээтоша
-lqeiqa 'эиичроэ 'f
1нэкэ1ге игснэвио '£
випвЛшэ 'Z
BHtiBdauo
И1ГИ ВЮЭХЭИЭЕЧЩ Ί
~£я©2υ^>
L ~* ' Χ .
Эч'
я о я я я н ^ S
га я я s * οχο · *
η к 5 ? χο <υ к Э
ожо5-£,гао.яь;
я 5 У * га я
5 Й ы -я я >> о «
« β
,-._>, О <d
°^я=5=оя
з о. н 5 £ s?S μ
X «а Ι ο £ я 0~
о я_ *< 2 о о «
^ts .υ а я о о
_ CU - О ей с w
яло2о«я*:
я о о. * я « ^ о. «
>>£'ЯЯ„ОО.зЯ
αϊ я S η ο **.&
га g о Э ω яхо ,. о
я 2 ° я ао * о,
ж ее 0 η я 3 н
~э5
о >> s
о с~
к я =
i2 =
ssg
s|S
CO У Q.
о л
if
я 2 я
Ран^соОСОЯсу I
α m л pa <l> о о.*з>
e pa я о я аю a~
2 <u ω я
в я go к я
α га и о. ^
- X. с ЛЯ
о я я * 5
я я g со Л1 о
я tf 2 η 2 υ
Я « >>о л
к я г=[ся κ
&*5gj|g
« ч 2 о ^ ±
£ я ю о t=[ я
га и я о я g
н га £· ό о 5
υ р. в s s и
Чо) s s « л
Я с- <и «
» н^
-So .к
СО Ж \о Я о Я
ς * со Ч— я
га га о. о о
я и хо у
о и я я
υ га о t- я
я я 5
**я
ς га я^
О со су
« в
ω υ
fas
S <u я
oa о
α ю с[
3 <u
я я
О <"
«а-
s2
о га
<L>
.. О.Я
§«3
о л ΐ
О си
о >^
ю &Я"
Ξ" я >.
е о о.
Л 5 "
^2 *
« я .
Я Ιβ
с га я
га ю я
ρ о о
гахо ς
«ι S
та о
га η я
ςο;
?&*
о о. ρ
оно
αυ о
Ξ со*
§*- г
- >.н t
3 ς 2
о. .
£:: =
3 «ΐ
;зэ
sS-я
е у 5 я
|1йё
SCQ.
см
я2
я*к
га Ч
аоа
о к
я
о -
2 5
s я
о я 3 :
хо я =\ο <
га га S о (
а * υ г
со <и О о
га S g S ί
4"S (
я з ι
ьг Л о ч
н ^ о *
2s = s
>.cS о.
о
Зо
1 CS
SOW
с g· <L) >»
о 3 «
2 « о н
'*§a
Q Η 2
: «-> . i
5 Я Т! *
^ s ££·
3 <u t=[ я
SH °
, я я «
Э s <L)
i П CD
я л а
<u\o pa
SO.
<U W <L)
о о к
и я о
я н
о о ρ
- и υ
ί и 5 <u *
ί й я о ts
Г ю Ξ и о
' и ч о н
: о га υ
: о я о о
: >,и< я υ
5 ω
у О CD
я ° о
«Яд
t raO
л ω я
tt 3 к
2 я о
Л Л t-
£ ч υ
о ζ χ
S * υ
Я <L> CO
гаХ я
я я
я о я
pa н η
га о н
я 25
о я я
S υ
о я з
pa о -
Ι Ι = 1 - I - <U *
2я2аЗо« н
нхо - £ о 5 2
=; о. я g и я я я я
■ч ^ Я Я q Я *
^ £я Оно.. S
"к ί
2 о
«Ϊ Я.г» I Я
я^я
|я
3 £ = я
= В 5 я
С д Η е( -
S ι аг я
я-^я tfo^
я ε § « й ω
Щ я 2 >, о а
та Л)
О ^ tR
5§i
я о °a
хо
Я . СУ .
- .ч Я^ с[оо
и О. су
30
^ s § & ? § 81 я
5 О Л О О. Я 5 Я я
U k^ с- О Д
о о* нО 2 о
йи* «2S &?■
с „ ж га 1-я
и к л s л и .я
э'яЯ5Ч2я — о
s oxo δ я x |*θ*
2o I g^ я°° s
j о»-, я ^ pa 2
Η я * S ω я
оя<у^солрасу
«<2яаяяс->я

Опасный
элемент
1.
Сильный

окислитель
2.
Коррозия
Инициирую- 1 Опасные
щее событие 1 условия
Щелочь
загрязнена
смазочным
маслом
Содержимое
стального
бака
загрязнено
парами воды

Возможность
сильной реакции
от
восстановления
чли
окисления

Образование
ржавчины внутри
бака

Инициирующее
событие 2

Достаточное

количество
энергии
для
начала
реакции
Рабочее
давление
не сниже
но
•

Потенциальная
авария
Взрыв

Разрушение бака
под
давлением
Последствия
Ранения
персонала,

повреждение
близлежащих
построек
Ранения
персонала,

повреждение
близлежащих,
построек:
Коррективные·
мсроприятпя
Хранение
щелочи на·

достаточном
расстоянии от всех:
источников

загрязнения

Использование баков-
i3
нержавеющих
сталей,
размещение бако&
на
достаточном
расстоянии от
другого
оборудования И"
персонала
Рис. 1.7, б. Форма для предварительного анализа опасностей (1 — опасная
ситуация— щелочь загрязнена брызгами смазочного масла; 2 — опасная
ситуация — влага внутри герметичного стального бака)
декретов, директивных документов, предписывающих
использование определенных процедур, практика и терминология,
используемая в промышленности и относящаяся к стадии I, варьируются в
широких пределах. В целом ПАО представляет собой первую
попытку выявить оборудование технической системы (в ее
начальном варианте) и отдельные события, которые могут привести к
возникновению опасностей; этот анализ выполняется на начальном
этапе разработки системы. Детальный анализ возможных событий
обычно проводится с помощью метода дерева отказов (разд. 1.8
и гл. 2), после того как система полностью определена; методы
детального анализа отказов оборудования, такие, как анализ видов
отказов и их последствий (раздел 1.10), применяются также на
более поздних этапах разработки. Термин анализ отказов и
связанных с ними опасностей в какой-то мере аналогичен ПАО и
применим к анализу типа ПАО, выполняемому на уровне подсистем.
1.8. МЕТОДИКА ИЗУЧЕНИЯ РИСКА — СТАДИЯ II: ВЫЯВЛЕНИЕ
ПОСЛЕДОВАТЕЛЬНОСТИ ОПАСНЫХ СИТУАЦИЙ, ДЕРЕВО СОБЫТИЙ,
ДЕРЕВО ОТКАЗОВ
Стадия II анализа обычно начинается после того, как выбрано
оборудование и определена конфигурация системы. Два
общепринятых аналитических метода, созданных на основе дерева событий
и дерева отказов, описаны в этом разделе. Две другие методики,
31


Определение

довательности
развития аварии
1.
—>-
Утечка
продуктов
деления из
замкнутого
объема
3.
Выбор
параметров,
характеризующих вероятность
2.

Распространение
излучения
источника
в
окружающей среде
4.
Воздействие
на здоровье
людей и
материальные
ценности
5.
Общая
оценка риска
6.
Анализ
других
источников риска
7.
Рис. 1.8. Семь главных задач, решаемых при анализе безопасности реактора
используемые на стадии II, основанные на анализе видов отказов
и вызываемых последствий, а также на анализе критичности,
рассмотрены в разд. 1.10 и 1.11.
Рассмотрим в качестве примера изучение безопасности
реактора WASH 1400. На стадии 1 было определено, что превалирующий
риск связан с радиоактивными (токсичными) утечками. Стадия
II, как показано на рис. 1.8, начинается с рассмотрения первой
задачи— определения последовательности развития аварии
(различные пути, приводящие к возникновению утечек) [16]. На стадии I
было выявлено, что критической частью реактора, т. е.
подсистемой, с которой начинается риск, является система охлаждения
реактора; таким образом, анализ риска начинается с
прослеживания последовательности возможных событий с момента
разрушения трубопровода холодильной установки, называемого инициируй
нщим событием, вероятность которого равна Ра (рис. 1.9).
В отчете WASH 1400 с помощью «обратной логики», и метода
дерева отказов, получено численное значение вероятности Ра-
С помощью этой методики, описанной в гл. 2, отыскивается
элемент оборудования или ошибка человека, которые могут привести
к «конечному событию» — потере теплоносителя. Интенсивности
отказов, полученные на основе экспериментальных данных по
элементам, ошибкам человека, с использованием данных по
испытаниям и профилактике системы, объединяются должным образом с
помощью метода дерева отказов, для того чтобы определить
коэффициент простоя и ненадежность технических систем. Эта
процедура на рис. 1.8 выделена в виде задачи 2.
Теперь вернемся к блоку 1, рассмотрев дерево событий при
аварии с потерей теплоносителя (АПТ) на типичной атомной
электростанции (рис. 1.9). Авария начинается с разрушения
трубопровода, имеющего вероятность возникновения Ра. Далее анализируем
возможные варианты развития событий, которые могут последо-
32

А В
Поломка Электро-
mPyfo- питание 1
π родода
Основное дерево
с
АСОР

Инициирующее
событие
РА
Успех
.В
Удаление

радиоактивных
продуктов
Отказ |
Р„
•м7 ·
А,
' Ч
Р
4JZ
Отказ
D
'В
Рп
'"3
Рп.
■ uZ
Я„
41ц.
Упрощенное дерево

Инициирующее
<_
событие
РА
Р*
• я7
Рп
и7
Pa
%
Ε

Целостность

замкнутого контура
Отказ
%
ри
%
%
%
р*,
%
%
ъ
PEZ
ΡΛ*
Pa X Per
rA rE-j
РлХРп
ГА rUf
РлХР-п XPr-
rA л rHj rEi
■ PaxPc,
■ ΡΑχΡο,ΧΡε3
■ PaxPc,*Pj>z
• ΡΛχΡί,χ%*Ρε¥
ш PA XP„
rAArB
- РлХРаХРс
ГА"ГВ гЕц
• РлХРпХР-п
"А ГВ rJDj
ш РлХРаХР-п ХРг
ГАЛГВ \Uj Γ£β
т Р.ХРпХРп
гА*гвлгСг
- РаХРоХРг хРс
Ά ГВ С^ГЕ/
. ρ χ Ρη χ ρ уД,
/АЛГ3ЛГС2 r2tj.
ш РлХРоХРп ХРс
ГА^Г3 ГС£ £β
Очень
ή утечка
я рхр _ малая
галге7 утечка
. охр Налая
га*гП] утечка
рхр у ρ __ Средняя
т ^Α*%λ/Εζ утенка
η yrj большая
" На с7 утечка
Очень
ш Ρ Χ Ρ У Р finnhlltnQ
A ci Sz утечка
- Ρ χ Ρ л0™"**
ΗΑΧΗΒ БОЛЬШОЙ
утечка
Рис. 1.9. Способ упрощения дерева событий [звездочкой отмечено значение,
являющееся приближенной величиной от РА(1— Рв) (1— ^ci) (1— ^di) (1— ^ei).
Все значения Ρ очень малы. Аналогичные приближения используются и далее]
33

вать за разрушением трубопровода. В верхней части рис. 1.9
изображено дерево исходных событий, отображающее все возможные
альтернативы. На первой ветви рассматриваем состояние
электрического питания. Если питание есть, следующей по структуре
подвергаем анализу аварийную систему охлаждения активной зоны
реактора (АОР). Отказ АОР приводит к расплавлению топлива и
к различным, в зависимости от степени целостности конструкции,
утечкам радиоактивных продуктов.
Для анализа с использованием двоичной системы, в которой
элементы либо выполняют свои функции, либо отказывают, число
потенциальных отказов равно 2N~\ где N — число
рассматриваемых элементов. На практике, как показано'ниже, исходное дерева
отказов можно упростить с помощью обычной инженерной логики
и свести к более простому дереву, изображенному в нижней части
рис. 1.9. В первую очередь представляет интерес вопрос о наличии
электрического питания. Вопрос заключается в том, какова
вероятность Рв отказа электропитания и какое действие этот отказ
оказывает на другие системы защиты. Если нет электрического
питания, фактически никакие действия, предусмотренные на случай
аварии с использованием насосов для охлаждения активной зоны
реактора и распылители, не могут производиться. В результате,
упрощенное дерево событий не содержит выбора в случае
отсутствия электрического литания, и может произойти очень большая
утечка, вероятность которой равна РаХРь. В случае, если отказ
в подаче электрической энергии зависит от поломки трубопровода
системы охлаждения реактора, вероятность Рв следует
подсчитывать как условную вероятность для учета этой зависимости. Очень
важно уяснить, что дерево событий используется для определения
последовательности событий при аварии, включающей сложные
взаимодействия между техническими системами обеспечения
безопасности. При его построении используется прямая логика, при
этом задается вопрос: «Что случится, если разорвется
трубопровод?» Вероятность Рв определяется с использованием обратной
логики (с помощью дерева отказов): т. е. задается вопрос «Каким
образом может отказать электропитание?» При этом строится
дерево отказов для подсистемы электропитания. Прямая логика,
например та, что использовалась для построения дерева событий, а
также для определения видов отказов при анализе последствий
(ВОАП), часто называется индуктивной логикой; в то же время
логика, используемая при анализе с помощью дерева отказов,
называется дедуктивной. При выполнении ПАО используется как
индуктивная, так и дедуктивная логика.
Если электрическое питание имеется, следующие варианты при
анализе зависят от состояния аварийной системы охлаждения
активной зоны. Она может работать или не работать, и ее отказ с
вероятностью РС\ ведет к последовательности событий,
изображенной на рис. 1.9. Следует обратить внимание на то, что по-прежнему
имеются различные варианты развития аварии. Если система
удаления радиоактивных материалов работоспособна, радиоактивные
34

утечки меньше, чем в случае ее отдаза. Конечно, отказ в общем
случае ведет к последовательности событий с меньшей
вероятностью, чем в случае работоспособности. Рассмотрев все варианты
дерева отказов, можно получить весь спектр величин возможных
утечек и соответствующие вероятности для различных
последовательностей развития аварии. Верхняя линия дерева является
основным вариантом АПТ, который подвергается анализу в процессе
официальной инспекции и приемки каждого реактора. При данной
последовательности предполагается, что трубопровод разрушается,
а все системы обеспечения безопасности сохраняют
работоспособность, ι
Дерево решений является особой разновидностью дерева
событий. В дереве событий рабочие состояния системы не
рассматриваются, так что сумма вероятностей всех событий не равна единице.
В дереве решений все возможные состояния системы необходимо
выразить через состояния элементов. Таким образом, все состояния
системы взаимно увязаны, и их вероятность в сумме должна
равняться единице. Деревья решений могут использоваться, если
отказы всех элементов независимы или если имеются элементы с
несколькими возможными состояниями, а также есть
односторонние зависимости. Они не могут использоваться при наличии
двусторонних зависимостей й не обеспечивают проведения
логического анализа при выборе начальных событий.
Пример [17]. На рис. 1.10 показана система последовательно соединенных
элементов, которая включает насос и клапан, имеющие соответственно
вероятности безотказной работы 0,98 и 0,95, а также приведено дерево решений для
этой системы. Следует отметить, что согласно принятому правилу верхняя ветвь
соответствует желательному варианту работы системы, а нижняя —
нежелательному Дерево решений читается слева направо.
Если насос не работает, система отказывает независимо от состояния
клапана. Если насос работает, с помощью второй узловой точки изучается вопрос,
работает ли клапан.
Вероятность безотказной работы системы 0,98X0,95 = 0,931. Вероятность
отказа 0,98x0,05 + 0,02 = 0,069, суммарная вероятность двух состояний системы
равна единице.
Этот результат можно получить другим способом с помощью таблицы
истинности (см. гл. 7), которая для насоса и клапана имеет вид:
Состояние насоса
Работает
Отказ
Работает
Отказ
Состояние клапана
Работает
Отказ
Суммарная величина
Вероятность
работоспособного
состояния системы
0,98x0,95
0,931
Вероятность
отказа системы
0,02x0,95
0,98X0,95
0,02X0,05
0,069
35

Пуск
Насос
а)
—X—
Клапан
-^ Успс У
Насос (Р) Клапан ( V)
Отказ Нормальная
системы работа
системы
Рис. 1.10. Принципиальная схема (а) и дерево решений (б) для двухэлементной
схемы
1.9. МЕТОДИКА ИЗУЧЕНИЯ РИСКА — СТАДИЯ III:
АНАЛИЗ ПОСЛЕДСТВИЙ
Взяв в качестве примера «Отчет WASH 1400», можно видеть, что
на конечной стадии изучения риска производится: 1) подсчет
количеств утечки токсичного материала и выделяемой энергии для
каждого варианта развития аварии (задача 3 на рис. 1.8); 2)
прослеживание распространения токсичных продуктов, ударной волны
или фронта пожара, ведущих к летальным последствиям (задача
Ра
Ра *Рег
+
Ра * Рр,
PA*Ppr*P£z
I
Ρα * Рсг
ΡΑ*Ρα*Ρρ»+ΡΑ*ϊ
Очень малая Малая Средняя Большая Очень большая
Величина утечек
Рис. 1.11. Гистограмма частот для различных величин утечек
36

Начальное число жертв
106 1Q' 10° W* 10'
Материальные потери,
долл.
Рис. 1.12. Частоты событий с человеческими жертвами, вызываемых ошибками
оператора:
/ — суммарная кривая; 2 — все авиационные аварии; 3— пожары; 4 — взрывы; 5 — аварии
с плотинами; 6 — авиационные аварии на Земле; 7 — утечки хлористых веществ; 8 — 100
реакторов
Рис. 1.13. Частота аварий с материальными потерями:
/ — явления природы; 2 — результаты человеческой деятельности; 3 — 100 реакторов
4 на рис. 8); 3) оценка воздействия на здоровье людей и
повреждений материальных ценностей (задача 5 на рис. 1.8); 4)
составление общего мнения о данном производственном процессе
(задача 6 на рис. 1.8) на основе сравнения с другими видами риска для
общества в целом (задача 7 на рис. 1.8).
В результате решения задачи 3 составляется гистограмма
вероятности в зависимости от величины утечек, показанная на рис.
1.11. В принципе эта гистограмма представляет собой кривую
Фармера, которая может служить общей оценкой конструкции
реактора, и является ключевой входной величиной для модели
последовательности развития событий. Все другие входные
величины являются специфическими для конкретного проекта и
зависят от места строительства реактора, включая метеорологические
и демографические данные.
Результаты решения задачи 6 показаны на рис. 1.12 и 1.13.
При решении использовались величины, приведенные в табл. 1.1,
для сравнения риска, связанного с атомным реактором (нижняя
кривая) и с другими событиями, вызываемыми деятельностью че-
37

ловека, включая человеческие жертвы и повреждение
материальных ценностей.
Как видно из приведенных данных, риск, связанный с ядерным
реактором, очень мал, что подтверждается ежедневно безотказной
работой сотен реакторов, находящихся в эксплуатации во всем
мире.
J.10. ДРУГИЕ ПРИЕМЫ АНАЛИЗА РИСКА: АНАЛИЗ ВИДОВ
ОТКАЗОВ И ПОСЛЕДСТВИЙ (АВОП)
АВОП. является анализом индуктивного типа, с помощью которого
Систематически, на основе последовательного рассмотрения одно-
гр элемента за другим анализируются все возможные виды
отказов или аварийные ситуации и выявляются их результирующие
воздействия на систему. Отдельные аварийные ситуации и виды
Отказов элементов выявляются и анализируются, для того чтобы
определить их воздействие на другие близлежащие элементы и
систему в целом.
Эти приемы используются при выборочном методе анализа
отказов в соответствии с требованиями документа IEEE 279-1971,
10 CFP 50 (Приложение К), а также официального справочника
1.70. Поправка 2. АВОП может быть существенно более
детальным, чем анализ с помощью дерева отказов, так как при этом
необходимо рассмотреть все возможные виды отказов или аварийные
ситуации для каждого элемента системы. Например, реле может
отказать по следующим причинам [18]: контакты не разомкнулись;
запаздывание в размыкании контактов; контакты не замкнулись;
запаздывание в замыкании контактов; короткое замыкание
контактов на корпус, источник питания, между контактами и в цепях
управления; дребезжание контактов, неустойчивый электрический
контакт; контактная дуга, генерирование помех; разрыв обмотки;
короткое замыкание обмотки; низкое или высокое сопротивление
обмотки; перегрев обмотки; короткое замыкание в цепях питания,
управления и контактной группы или на корпус; чрезмерное
намагничивание или гистерезис (тот же эффект, что при залипании
контактов пли запаздывании отпускания).
Дополнительно для каждой категории оборудования должей
быть составлен перечень необходимых проверок. Например, для
баков, других емкостей и секций трубопроводов такой перечень
может включать следующее.
Переменные параметры: расход, количество, температура,
давление, рН, насыщение и т. д.
Системы: нагрева, охлаждения, электропитания, подачи воды,
воздуха и азота, управления и т. д.
Особые состояния: обслуживание, включение в работу,
выключение, смена катализатора и т. д.
Изменения условий или состояния. Слишком большие, слишком
малые, кет больше, гидроудар, несмешиваемость, осадок, дрейф, виб-
38

рация, пульсация, пожар, падение, механическое повреждение,
коррозия, разрыв, утечка, взрыв, износ, открытие оператором,
переполнение жидкостью.
Прибор: чувствительность, настройка, запаздывание.
Карта (рис. 1.14) представляет собой изложение раздела
анализа типа АВОП, выполненного фирмой «Ньюклиар сервис»
(Nuclear Service), Кэмпбелл, штат Калифорния, для
электростанции «Три майл айлэнд» (секция 1) по аварийной системе
охлаждения фирмы «Джи-пи-ю сервис» (GPU Service). На рис. 1.15
показана несколько другая форма для представления АВОП. Обе
формы результатов подобны используемым при выполнении
предварительного анализа опасностей; основная разница заключается в
большей степени детализации АВОП.
1.11. ДРУГИЕ ПРИЕМЫ АНАЛИЗА РИСКА: АНАЛИЗ
КРИТИЧНОСТИ
На рис. 1.14 и 1.15 каждый элемент отмечен в соответствии со
степенью его влияния на выполнение общей задачи. Критичность
устанавливается несколькими способами, в том числе при разных
целях анализа, как это было проиллюстрировано в разд. 1.7,
описывающем степени критичности различных опасностей в системе.
В документе Общества автотракторных инженеров (SAE)
«Методика, рекомендованная для аэрокосмической техники (ARD-926)»,
определяет категории критичности для различных видов отказов
элементов:
Категория 1: Отказ, потенциально приводящий к жертвам.
Категория 2: Отказ, потенциально приводящий к невыполнению
основной задачи.
Категория 3: Отказ, приводящий к задержкам или потере
работоспособности.
Категория 4: Отказ, приводящий к дополнительному,
незапланированному обслуживанию.
Введение категорий критичности является очевидным
«следующим шагом» после проведения АВОП, как это описано в
документе ARD-926. Объединенный документ назван АВОП/АК — анализ
видов отказов, их последствий и критичности. Элементы можно
классифицировать, вычислив коэффициенты критичности Сг\
Cr = ^aKEKAkGt'\Q\ л=1,2,...,ЛГ,
где С, — коэффициент критичности для элементов системы в
потерях на миллион попыток; η — число критичных видов отказов эле*
мента системы, которые попадают под конкретное определение
потерь; .V — суммарное число критических видов отказов
элементов системы, соответствующих данному определению потерь; Лс —
соответствующая частота отказоз элементов системы, выраженная
в отказах за час или цикл работы; t — время работы в часах или
39

si
< °
о
О,
О
ώ
CO
I2
CX η
&· Si
CX
COS tiC
сз cd
cd сз
s s
CX ct
<υ cx
ο ω
α. н
сз S
* i
СЗ
2d
χ
CJ
*дро
V12.
ω
ос
~
t^
302-
•я
о
я
со
акти
s
ас
<1>
хлажд
U U U О
та
о
сх
3
к
из
•=3
сз
к
2 «
S **
5 I
ε. s
о
СЗ
<υ
сз
ω
II-s I
о сз 0 ю
С О


мечание
(тип
отка-
Воздейст-
вие на
систему
Соответствующие
меры для
компенсации отказа
Метод
распознавания
Признаки и
локальные последствия,
включая зависимые
отказы
Причина
Вид отказа
Название
*
5 С <
Нет
Отказ
секции
АСОР
Обратные
клапаны препятствуют
обратному потоку
из реактора
Необходимы
действия оператора
для закрытия
этих нормально
открытых
клапанов
Контрольные
лампы и сигнальные
устройства
выключения
Контрольные
лампы и сигнальные
устройства
Не влияет на

функционирование системы
Одно колено
орошения активной
зоны выходит из
строя. Система не
соответствует
требованиям АСОР
Замыкание,
ошибка
оператора, ошибка
при испытаниях
Обрыв цепи
и т. д.
Открыты
(FO)
Закрыты
(FC)
CF-V1A или
CF-V1B
CF — клапаны
отсечки
наконечников
500
| — СЧ
ά <
Нет
Отказ
секции
АСОР
Обратные
клапаны, стоящие по
потоку,
приводятся в действие
Нет
Аварийная
сигнализация высокого
уровня и давления
в емкостях
Индикатор уровня
и давления после
АПХ
Не влияет на
систему. Хладоноси-
тель реактора
может попасть в
активную зону
Одно колено
активной зоны
выходит из строя.
Система не отвечает
минимальным
требованиям АСОР
Загрязнения,
металлические
заусенцы и т. д.
То же
Открыты
(FO)
Закрыты
(FC)
CF-V4A или
CF-V4B
CF —
испытательные
клапаны
наконечников
501
40

о
о


мечание
(тип

отказа)

Воздействие на
систему
1
Соответствующие
меры для
компенсации отказа
Метод
распознавания
Признаки и
локальные последствия,
включая зависимые
отказы
Причина
Вид отказа
Название
*
Q <
Нет
Отказ
секции
АСОР
Обратные
клапаны, стоящие
против потока,
приводятся в действие
Нет
Надзор
Надзор или сигнал
тревоги во время
АПХ
Нет. Повышенная
вероятность
попадания хладоноси-
теля в другие
системы
Одно колено
орошения активной
зоны и системы
отвода тепла от
радиоактивного
распада выходят
из строя. Система
не отвечает
минимальным
требованиям АСОР
Загрязнения,
металлические
заусенцы и т. д.
То же
Открыты
(FO)
Закрыты
(FC)
CF-5A или
CF-5B —
инжекторные
клапаны
наконечников
502
Q Q
Χ Χ
Резервные
клапаны включаются по
сигналу ES
Ручные пробы
Пробное
включение, индикация
положения
клапанов
Выборки или
индикация
положения
Клапаны
остаются открытыми
Нет. Выборочные
испытания
невозможны
Короткое
замыкание, ошибка
оператора
и т. д.
Обрыв цепи
и т. д.
Открыты
(FO)
Закрыты
(FC)
CF-V2A, или
CF-V2B, или
CF-V20A, или
CF-V20B 1
клапаны для
взятия проб
СО
S
о
О
а
о
Я
ее
55
X
ей
41

с
о ш
о о
со
с S*
Η Я
£ 3 г=[
h н «
'—Но
(=[ со с
* =
О «=1
С? 5
α ε н
& ro &
О со Н
ex u о
с о
„*α
я ~ £
о к о
« s^
ас 2
О) СХ
д ω о
я о «
5 is S
н £2 ra
£ я о
Я" °«
гя СЗ S
о о
сх сз
са ω
<υ
;и
2
ч
« л
У ч
ι- Л
ч£
^ с
СО *
О
«^ .
СЗ гп
.я о
сх ь
4) «
η α>
If·
? к
.52
С (у
^ ь- 4н
t-a t-1 К
Я α ш
са <u S·
о у ^
h СЗ ч
о * Я
Я
S я
<d ac -
Я CD «
Ε ST
CD <U K
ч я 5
ex
. C3
Я ffl H
Я о
СЗ CJ »Я
CUE
о с о
я а: са
т а
я *
CD Λ
* s ~
ω сх я
о я
сх
я л а>
fc ς Ξ
сх о я
о сх£
я н я
а ас та
я о сх
s *χ
к я я
СХ Ε Я
я л я
κ cd 4
ς η са
cd та с
ь Я ь
сз ,— о
(_ Г— U
S * 2
я о к
2 су я
«Зин <υ
СЗ и-1 СХ
СО . С
§cl|o
л g я я
ч Ε £я
н S о &
сх2
К Q) CL) Π
Я я S
я с g
2 5 £ я
£ggi
ς я я >>
Я КС ri CQ
о
ее
Щ ss
та cj
я я
Η я
ς я я
<υ н со
ь я к
СЗ СЗ rv
я ^^
Я сз
ω и <у
й s i
о я £
* * 2
л я с
Л ТС
5 °
О jQ
сх а) н
6 ς s
Я CJ СО
о о о
* Я О-
я »я
ь я
я м
сх^
и: %
СО
о
о
о
о"
о
о
о
о
о
о
о
<D СЗ
я сх
я го
CU Я
3 с
>>*
са о
Он Я
Ξ я я
(=: S «=з
о? и
S л «
о н $
3 ° S
4 § Я
Я А Й
ш ζ Γ
«=с Ξ >»
-3 СХ
са схе*
X £
о g о
с « 2
Я § 5
а> ^
а>
S л 8
S & | S а>
a 2 бехё
"· f- со \о
ю
о
я
сх
o\OCXuacT> CJovo
^ X о сх о
Я о ί- со \о
Ч χ Я ro «η
>< ·* са са
Сх а.
сх
я
о s
СХ О)
« я
ω я
о <υ
СХ с<
сх0
&£
о
сз |—'
Я .
сх са
ю
са
сх .
CL)
w S ffl
Я = та
ία ^
н >>
са сх «g
г РЗ Д
σ> с( S
са са
я сх
VO
υ я
£* та
go
. сх о .
СЗ СОЮ
о о
« я
* к
^ ч
Я {-. Я
я я
!|2
1 ^с?
о та
н я _
ε я 2
И CD 2
о * я
CJ CJ СХ
CD
Я
о
сх
я
оо О?
Я
Я х
5 я
R ^
са
о
я
S
ей
■ CD
ω ο
эЯ
ю
я 2 ш
Я ^ ^
igs.
CD CJ Μ
cx>, са
са ю oa
CQ
о 5
CJ t=i
g. °
о « .
о
>>я
я «
са я
сх ч
ия
* <
F5-P
ί-н « Ч
В
я
е<
са
Ч
«
PQ
•42

число рабочих циклов данного элемента при выполнении
программы; Кл — коэффициент, учитывающий разницу между загрузкой
элемента при определении параметра λο и ожидаемой загрузкой
элемента в данной системе; Ке— коэффициент окружающих
условий, учитывающий разницу между окружающими условиями при
замере параметра XG и ожидаемыми условиями работы элемента.
Примечание. При упрощенном вычислении следует
пренебрегать коэффициентами Ке и Ка> а значение Ag использовать в
качестве приближенного значения интенсивности отказов для данного
вида отказа и условий работы.
а — коэффициент отношения данного вида отказа к
критическому. Этот коэффициент для данного вида отказа есть доля от
/.о-, вносимая этим отказом в критическое состояние системы; β —
условная вероятность того, что последствия отказа для данного
вида критического отказа имеют место при условии, что произошел
критический отказ данного вида. Значение β следует выбирать из
следующего набора величин:
Последствия отказа Типичные значения
β, %
Фактические потери 100
Вероятные потери 10—100
Возможные потери 0—10
Отсутствие потерь 0
106 — множитель, переводящий коэффициент Сг от потерь на
попытку к потерям на 1 млн. попыток. Таким образом, Сг обычно
больше единицы.
Следует заметить, что данный метод разграничения не дает
количественной оценки возможных последствий или ущерба.
Основная его ценность заключается в улучшении качества системы
путем определения [19]:
Какой из элементов должен быть подвергнут детальному
анализу с целью исключения опасностей, приводящих к
возникновению аварии, т. е. с целью создания безотказной конструкции,
снижения интенсивности отказов или ограничения ущерба?
Какой элемент или узел требует особого внимания в процессе
производства, более жесткого контроля качества и нуждается в
особо осторожном обращении в течение всего времени
использования?
Каковы специальные требования для поставщиков,
подлежащие включению в перечень характеристик, которые относятся к
конструкции, функционированию, надежности, безопасности или
гарантии качества?
Каковы нормативы входного контроля, которые должны быть
установлены для элементов, получаемых от субподрядчиков, и для
параметров, подлежащих наиболее тщательной проверке?
Где следует вводить специальные процедуры, правила
безопасности, применять защитное оборудование, контрольные приборы
или сигнальные системы?
43

Где можно наиболее эффективно затратить усилия и
использовать средства для предотвращения аварий? Это является наиболее
важным, так как на каждую программу обычно выделяются
ограниченные средства.
1.12. ДРУГИЕ ПРИЕМЫ АНАЛИЗА РИСКА: ИЗУЧЕНИЕ
ОПАСНОСТЕЙ И РАБОТОСПОСОБНОСТИ
По существу изучение опасностей и работоспособности является
расширенным вариантом АВОП за счет включения в анализ
показателей работоспособности в дополнение к рассмотрению
различных видов отказа оборудования.
Робинсон [20] описывает примеры использования этих приемов
на фирме «Кэмикл индастриз» (Chemical Industries). По принятой
терминологии эта работа относится к стадии «Изучение опасностей.
Часть III». Часть I «Изучения опасностей» соответствует стадии I
«Изучения риска» (определение системы), описанной в разд. 1.7
данной главы, а стадия II работы, представляющая собой анализ
с помощью дерева отказов, выполняется па уровне подсистем.
«Изучение опасностей. Часть III», выполненное для пневмогидросхемы
(ПГСХ) и системы измерений, представляет собой детальный анализ видов
отказов и вызываемых ими последствий. Группа из четырех или пяти человек
обычно изучает принципиальную схему систематически по формализованной
методике. Группа включает инженера-технолога, ответственного за химическое
оборудование, инженера проекта, ответственного за механическую часть
конструкции и распоряжающегося бюджетом, ответственного руководителя, основной
задачей которого является совершенствование предприятия и который обычно
включается в работу на ранней стадии разработки проекта, а также специалиста
по надежности, который возглавляет группу в процессе изучения опасностей
и количественно оценивает любой риск по мере необходимости.
Группа специалистов последовательно изучает каждый элемент
(трубопровод, бак и т. п.), пользуясь набором ключевых слов и выражений,
стимулирующих творческое мышление и позволяющих определить, что произойдет, например,
если жидкость в системе отклонится от расчетного пути. На предприятиях
химической промышленности с непрерывным технологическим процессом приняты
следующие ключевые выражения: высокий расход, низкий расход, нет расхода,
обратный поток, высокие и низкие температура и давление, а также любые
другие отклонения параметров, оказывающих существенное влияние на процесс.
Обслуживание, приведение в готовность, испытания, пуск, остановка и ошибки
при обслуживании также рассматриваются для каждого элемента, трубопровода,
бака и т. п.
Такое детальное исследование принципиальной схемы является ключевой
частью всей работы и очевидно требует значительных затрат времени,
приблизительно 200 чел.-ч при стоимости проекта 2 млн. долл. Работа требует
значительных усилий, и рабочие заседания группы, каждая длительностью 2,5 ч, могут
проводиться только 2 или 3 раза в неделю. В результате, для дорогостоящих
проектов работа группы может растянуться на много недель или даже месяцев.
Проблемы, выявляемые группой «изучения опасностей», передаются
соответствующим специалистам и членам вспомогательных групп. Если в ходе работы группы
обнаруживается значительная опасность, требующая перепроектирования или
внесения значительных изменений в проект, изучение модифицированной системы
должно быть проведено повторно. Такого рода итерационный процесс может
привести к потерям времени при разработке. Проводя часть VI анализа опасностей
на существенно более ранней стадии, можно гарантировать, что главные опасно*
44

сти учтены до начала детальной разработки, проекта. В результате часть III
анализа может быть выполнена по неизменной принципиальной схеме, и
выявленные проблемы редко приводят к существенному нарушению проектной работы.
Поэтому детальная разработка и приобретение оборудования могут быть
продолжены с большой степенью уверенности, и в то же время многие вопросы,
относящиеся к работоспособности, обслуживанию, пуску и остановке, выявляются
и соответствующим образом учитываются заранее.
1.13. ДРУГИЕ ПРИЕМЫ АНАЛИЗА РИСКА:
АНАЛИЗ ПРИЧИН — ПОСЛЕДСТВИЙ
Диаграммы причин — последствий (см. рис. 13.1) были впервые
предложены в Дании в лабораториях RISO. Их составление
начинается с выбора критического события. Критические события
выбирают таким образом, чтобы они служили удобными отправными
точками для анализа, причем большинство аварийных ситуаций
развивается за критическим событием в виде цепи отдельных
событий.
Типичными критическими событиями, ведущими к аварийным
ситуациям, могут быть возмущения основных параметров
технологического процесса в баках или контейнерах; расширение
диапазона давления или степени загрязнений; начало процесса выпуска
партии продукции или начало процедуры пуска или остановки;
событие, которое приводит в действие систему обеспечения
безопасности.
«Выявление последствий», являющееся частью анализа
«причин— последствий», начинается с выбора первичного события с
последующим рассмотрением всей цени вызываемых в системе со-
бы^тий. На различных ступенях цепи могут разветвляться и
развиваться по двум направлениям в зависимости от различных
условий. Например, начало пожара может привести к двум цепям
событий: постепенному уничтожению всего предприятия или
включению пожарной сигнализации с вызовом пожарной команды. Цепь
событий может принять различные взаимоисключающие формы в
зависимости от изменяющихся условий. Например,
распространение пожара может зависеть от того, произошел ли он в час пик,
что мешает своевременному прибытию пожарной команды на
место происшествия.
Процедура построения диаграммы последствий состоит из
выбора первого инициирующего события, за которым следуют
другие события, определенные на данном этапе работы; после этого
•следует ответить на вопросы:
При каких условиях данное событие ведет к развитию
последующих событий?
Каковы переменные условия для данного предприятия,
которые ведут к развитию разных вариантов событий?
На какие другие элементы данное событие оказывает
действие?
Какое последующее событие вызывается данным событием?
При анализе «причин — последствий» используются
комбинированные методы дерева отказов (выявить причины) и дерева со-
45

бытии (показать последствия), причем все явления
рассматриваются в естественной последовательности их появления. Так же как
и деревья отказов, их конструкция будет описана подробно в
последующих главах.
1.14. ОПТИМАЛЬНОЕ РАСПРЕДЕЛЕНИЕ СРЕДСТВ,
ПРЕДНАЗНАЧЕННЫХ ДЛЯ УМЕНЬШЕНИЯ РИСКА
Оптимальное распределение ограниченных национальных и
промышленных фондов, которые выделяются с целью сокращения
риска, связанного с жизнью и здоровьем людей, является трудной
задачей. Одним из способов оценки программы уменьшения риска
является сравнение оцениваемых затрат с ожидаемыми результа-
та!ми в денежном выражении. Выше отмечалось, что этот вид
анализа противоречив, так как требует оценки безопасности для
человеческой жизни в стоимостном выражении.
Новый полход, разработанный в Исследовательской
лаборатории фирмы «Дженерал Моторс» (Chem. and Eng. News, p. 82, July
23, 1979), не касается этой проблемы, сосредоточивая внимание на
продолжительности жизни, и основывается на простой
предпосылке о том, что средства для сокращения риска предназначены
увеличить продолжительность жизни. В этом методе используются
данные по всем категориям смертельного риска и определяется их
влияние на продолжительность жизни независимо для каждой
категории. Результаты для каждой категории риска можно
обобщить с помощью следующего равенства:
Среднее число лет увеличения продолжительности жизни = 0,2 Хсреднегодо-
вая смертность на 1 млн. человек.
Таким способом определяется возможность увеличения
продолжительности жизни в годах или днях благодаря внедрению про-
п8.
Рис. 1.16. Затраты (в долл.),
направленные на продление жизни одного
человека (или X человеческих жизнел на
\/Х лет):
/ — мобильные реанимационные средства, 2 —
раннее обнаружение рака легких; 3 —лечение
туберкулеза; 4 — пожарная (дымовая)
сигнализация жилшц; 5—введение автомобильных
ремней безопасности; 6— сернистые
очистительные средства; 7 — реанимационные ерр-"^
ва для автомагистралей; 8—искусственная
почка; 9 — освещение перекрест! ов; /С — к» т-
роль окиси углерода в отработавших гс»зах ,'.в-
/,Тм/ Ϊ4 WdHb 1мес 7год томобильных Двигателей
С ρ ?'не е г/депичвпие прооопжитопь-
поити мизми дня девго масепемия
США
ю7
«ί Ό6
1 „s
^ «
^ ю3
ыг
10
ψ ]
[ © 1
ΐ?@
(2)
Θ 1
-J ! ! Ι ι 1
46

граммы уменьшения риска; в сочетании с оценками затрат это
полагает определять эффективность различных программ.
На рис. 1.16 показана диаграмма расходов (в долл.) на
продление жизни человеку, составленная специалистами фирмы
«Дженерал моторе» (General Motors).
1.15. ОБЗОР И СРАВНЕНИЕ МЕТОДОВ
Б табл. 1.4 представлен обзор различных методов анализа риска,
описанных в настоящей главе. Таблица заслуживает детального
изучения, и читателю рекомендуем повторно просмотреть эту
таблицу (а также данную глазу) после овладения техническим
материалом данной книги.
Важно отметить, что анализ видов отказов и их последствий,
анализ критичности, анализ с помощью дерева отказов являются
методами, достаточно стандартизованными и обеспеченными
руководящими материалами. Ниже они перечислены в порядке
возрастания их сложности. Анализы типа Π АО и ВОАП и АК могут
выполняться инженерами-практиками, не имеющими специальной
математической подготовки. Сказанное относится также к анализу
с помощью дерева событий и изучению опасностей и
работоспособности, хотя основные приемы для выполнения анализов этого типа
не установлены достаточно строго.
Задачи
1.1. а) Постройте дерево решений для системы, состоящей из трех
параллельно соединенных насосов А, В, С; система считается работоспособной, если
один из трех насосов работает, б) Если Ρ = 0,01 есть вероятность отказа насоса,
какова вероятность работоспособности системы^ когда насосы В и С включены
при условии, что Л и В соответственно отказали?
1.2. В случае возникновения пожара на предприятии предусмотрена
следующая последовательность защитных мер: 1) распылительная система А; 2)
пожарная сигнализация В\ 3) заводская пожарная команда С; 4) городское пожарное
отделение D. Постройте дерево решений, которое может быть использовано для
определения вероятности возникновения большого контролируемого пожара,
приняв события статистически независимыми.
1.3. Блок-схема на рис. 1.17 представляет собой систему
параллельно-последовательного типа, в которой источник обеспечивает питанием два
радиоприемника. Показатели надежности каждого элемента приведены на схеме. Нарисуйте
дерево решений и подсчитайте вероятность безотказной работы (Lambert Η. Ε.,
USID-16238. May, 1973).
1.4. Мостовая схема системы, представленной на рис. 1.18, работает, если
исправен один из насосов А или В и если требуемые клапаны срабатывают.
Следующие комбинации обеспечивают успешную работу системы: 1) Л, С; 2) В, D;
3) Л, Ε, Ρ; 4) В, £, С. Постройте дерево решений для системы и получите
выражение для вероятности безотказной работы системы через показатели надежности
элементов (Lambert Η. Ε., USID-16238, May, 1973).
1.5. Рассмотрите схему системы на рис. 1.19, где одни и те же элементы
соединены различными способами. Здесь А и В — источники питания, а С, D
и Ε— насосы. Для насоса С требуется одновременная работа двух источников
питания А и В, в то время как насос D работает только от одного источника
питангя А, а насос Ε только от одного источника питания В. Работа любой из
трех ветвей последовательно соединенных элементов ведет к успеху. Если отка-
47

1.4. Краткое изложение и сравнительные данные различных методов
анализа риска
Метод
Характеристика
Преимущества
Недостатки
1.
Предварительный анализ
опасностей
2. Анализ
последствий по видам
отказов
3. Анализ
критичности
4. Анализ с
помощью дерева
отказов
5. Анализ с
помощью дерева
событий
6. Анализ
опасностей и
работоспособности
Определяет опас
ности для системы
и выявляет эле
менты для
проведения ВОАП и по
строения дерева
отказов. Частично
совпадает с
методом ВОАП и ана
|лизом критичности
Рассматривает все
виды отказов по
каждому элементу
Ориентирован на
аппаратуру
Определяет и клас
сифицирует
элементы для усовер
шенствования сие
тем
Начинается с ини
циирующего собы
тия, затем отыс
киваются комбина
ции отказов,
которые его вызывают
Начинается с ини
циирующих собы
тий, затем
рассматриваются
альтернативные
последовательности
событий
Расширенный вид
анализа типа
ВОАП, который
включает
причины и последствия
изменений
основных переменных
параметров
производства
Является первым
необходимым
шагом
Нет
Прост для
понимания, широко
применим и
стандартизован,
непротиворечив. Не
требует
применения
математического аппарата
Хорошо
стандартизован, прост
для пользования и
понимая. Не тре
бует применения
математического
аппарата
Широко приме
ним, эффективен
для описания
взаимосвязей отказов
ориентирован на
отказы:
позволяет отыскивать пу
ти развития
отказов системы
Дает возможность
определить
основные последова
тельности и
альтернативные
результаты отказов
Рекомендуется для
крупных
химических предприятий
Рассматривает
неопасные отказы,
требует много времени,
часто не учитывает
сочетания отказов и
человеческого
фактора
Проводится после
проведения анализа
ГМЕА. Часто не
учитывает эргономику,
отказы с общей
причиной и
взаимодействие систем
Большие деревья
отказов трудны в
понимании, не совпадают
с обычными схемами
протекания
процессов и математически
неоднозначны. Метод
требует
использования сложной логики
Непригоден при
параллельной
последовательности еобытий
и для детального
изучения
Нуждается в
технической документации,
слабо описан в
литературе
48

Продолжение табл. 1.4
Метод
Характеристика
Преимущества
Недостатки
7. . Анализ типа
причина —
последствие
Начинается с
критического события
и развивается с
помощью дерева
последствий в
прямой
последовательности с
помощью дерева
отказов в обратной
последовательности
Чрезвычайно
гибок и насыщен,
обеспечен
документацией,
хорошо демонстрирует]
последовательные
цепи событий
Диаграммы типа
причина —
последствие быстро
вырастают до слишком
больших размеров.
Облапают многими из
недостатков, присущих
методам анализа с
помощью дерева
отказов
Источник
питания А
(0.999)
Радио ■
приемник β
(0,99)

Радиоприемник С
зывает источник питания А в
последовательной цепи элементов А, В, С,
принимается, что он отказал и в цепи A, D.
Постройте дерево решений и получите
выражение для вероятности безотказной
работы системы через показатели
надежности элементов (Lambert Η. Ε.,
USID-16238, May, 1973).
1.6. На рис. 1.20 представлена
схема бытового нагревателя воды
(Lambert Η. Ε., USID-16238, May, 1973).
Газовый клапан включается прибором,
который, в свою очередь, управляется с
помощью датчика температуры и
сравнивающего устройства. Газовый клапан
управляет главной горелкой в двух
режимах: полностью включенном и
полностью выключенном.
Обратный клапан на входном трубопроводе воды препятствует обратному-
потоку при превышении давления в системе горячей воды, а предохранительный
клапан открывается, если давление превышает 70 Па.
Регулирование температуры осуществляется с помощью прибора, который
открывает и закрывает главный газовый клапан при выходе температуры за
установленные пределы (60—82°С). Сигнальная лампа горит постоянно.
а) Сформулируйте перечень нежелательных событий, относящихся к
безопасности, надежности и сохранности.
(0,99)
Рис. 1.17.
ь
Рис. 1.18. Мостовая схема

Источник
литания А
Источник
питания 3
Источник
питания А
Источник
питания в
Насос
С
Насос
Л
Насос
Ε
Рис. 1.19. Структурная схема системы, состоящей из источников питани.'
и насосов
f>) Выполните предварительный анализ опасностей для системы.
в) Выполните анализ видов отказов и их последствий.
г) Установите категории критичности.
G=-
G
Отходящие Холодная
газы бода
Устройство
измерения
и сравнения
температуры
Устройство
управления
1 *
Горючий газ "ТУ
--L
Воздух
Рис. 1.20. Принципиальная схема бытового нагревателя воды:
кран горячей воды (нормально закрыт); 2 — предохранительный клапан;
клапан; 4 — запорный клапан
3 — обратный

СПИСОК ЛИТЕРАТУРЫ
I. Apostolakis G. Probabilistic Risk Assessment: The Subjectivistic Viewpoint
and Some Suggestions, Nuclear Safety, 19, (3) June, 1978.
2 De Finetti B. Theory of Probability, Juhn Wiley and Sons, Inc., New
York, 1974.
3. WASH 1400, as cited by Wall I. A. Some Insights from the Reactor Safety
Study, Office of Nuclear Regulatory Research, U. S. NRC.
4. Farmer F. R. Siting Criteria — New Approach. Containment Siting of
Nuclear Power Plants, Proc. Symp. Vienna Pap, SM-89/34, 1967.
5. Farmer F. R., Beattie J. R. Evaluation of Population Hazards from an Escape
of Fission Products, Advances in Nuclear Science and Technology, 10, Henley E.,
Lcwins J. (eds.) Academic Press, Inc, New York, 1976.
6. Starr G. Social Benefits vs. Technological Risk, Science, 165, 1232—1238,
1969.
7. Otway H. J. Towards the Development of Social Risk Criteria, RSA/9/78,
CEC, Joint, Research Center, ISPRA, Italy.
8. Garriba S., Ovi A. Statistical Utility Theory for Comparison of Nuclear
Power Versus Fossil Power Plant Alternatives, Nuclear Technology, 34, 18—37,
1977.
9. Mishan E. J. Cost Benefit Analysis, Allan and Unwin, London, 1971.
10. Otway H. J. Interdisciplinary Approach to the Management of
Technological Risk, RSA/2/78, CES, Joint Research Center, ISPRA, Italy, 1978.
II. Ponchin Ε. Ε. The Risk Involved in Different Methods of Power
Production, RSA/4/78, CEC, Joint Research Center, ISPRA, Italy, June 30, 1978.
12. Farmer F. R. Risk Quantification and Acceptability, Nuclear Safety, 17,
N. 4, July —August, 1976.
13. Vinck W. Status and Trends in the European Practices and Legislation
for Safety and Environment, CEC, D. G. XII, Brussels, BSA 78/13, June 26, 1978.
14. Robinson B. W. Rick Assessment in the Chemical Industry, RSA 5/78, CECr
Joint Research Center, ISPRA, Italy, 1978.
15. Lambert Η. Ε. Fault Tree in Decision Making in Systems Analysis,
Lawrence Livermore Laboratcry, UCRL-51829, 1975.
16. Wall I. A. Some Insights from the Reactor Safety Study, Office of Nuclear
Regulatory Research, U. S. NRC.
17. Lambert Η. Ε. Systems Safety Analysis and Fault Tree Analysis, Lawrence
Livermore Laboratory, RLPT UCID-16238, 1973.
18. Taylor R. RISO National Laboratory, Roskilde, Denmark, private
communication.
19. Hammer W. Handbook of Systems and Product Safety, Prentice-Hall, Inc,
Englewood Cliffs, N. J., p. 157, 1972.
20. Robinson B. W. Risk Assessment, RSA 5/78, CEC.

Глава 2
ПОСТРОЕНИЕ ДЕРЕВА ОТКАЗОВ
И ТАБЛИЦЫ РЕШЕНИЙ
1.1. ВВЕДЕНИЕ
Деревья отказов и диаграммы причин — последствий являются
сложными логическими структурами, их построение и
количественный анализ требуют по меньшей мере твердых знаний булевой
.алгебры, теории множеств и других сложных разделов
современной математики, которые будут детально разработаны в данной
книге.
Основной целью анализа надежности и безопасности является
уменьшение вероятности аварий и связанных с ними человеческих
-жертв, экономических потерь и нарушений в окружающей среде.
Человеческие потери включают:
1) гибель;
2) травмы;
3) болезни или утрату трудоспособности.
Экономическими потерями являются:
1) прекращение производства или обслуживания;
2) изготовление некондиционной продукции, некачественное
обслуживание;
3) потери оборудования и капитальных сооружений.
Некоторыми видами нарушений в окружающей среде являются:
1) загрязнение воздуха и водоемов;
2) другие нарушения в окружающей среде, например появление
неприятных запахов, вибраций, шума и т. д.
Потери случаются тогда, когда один или несколько исходных
отказов приводят к опасной ситуации в системе. Наиболее часто
встречающимися типами исходных отказов являются:
1. События, относящиеся к человеческой деятельности:
а) ошибки оператора;
б) дефекты конструкции;
в) ошибки при обслуживании.
2. События, относящиеся к оборудованию:
а) утечка токсичной жидкости через клапан;
б) отсутствие смазочного материала в механизме;
в) неправильные сигналы чувствительных элементов.
3. События, связанные с окружающей средой:
а) землетрясения или оползни;
б) штормы, наводнения, торнадо;
S2

в) самовозгорания, вызываемые искрами или молниями.
Опасности в системах часто вызываются сочетанием сразу
нескольких типов отказов, т. е. отказами оборудования плюс
ошибками человека и (или) стихийными бедствиями. К типичным
мероприятиям, проводимым с целью минимизирования опасности и
риска, относятся:
1) резервирование оборудования;
2) инспекция и профилактика;
3) установка защитных систем, таких как противопожарные
спринклерные устройства, брандмауэры, предохранительные кла-
ланы, системы аварийного охлаждения;
4 ) аварийная сигнализация.
Главной целью при изучении опасностей, свойственных
системе, является определение причинных взаимосвязей между
исходными аварийными событиями, относящимися к оборудованию,
персоналу и окружающей среде и приводящими к авариям в
системе, а также отыскание способов устранения вредных
воздействий путем перепроектирования системы или ее
усовершенствования.
Причинные взаимосвязи можно установить с помощью дерева
отказов, которое затем подвергается качественному и
количественному анализам. После того как сочетания исходных аварийных
событии, ведущих к возникновению опасных ситуаций в системе,
выявлены, система может быть усовершенствована и опасности
уменьшены.
Z2. ДЕРЕВО ОТКАЗОВ И ТАБЛИЦЫ РЕШЕНИЙ
Метод анализа с помощью дерева отказов был разработан
X А. Уотсоном из лаборатории «Белл телефоун» в 1961 —1962 гг.
лри проведении анализа системы управления запуском ракеты
«Минитмен» по контракту с Военно-воздушными силами США.
Первыми публикациями были доклады, представленные в 1965 г.
на симпозиуме по надежности, организованном Университетом
штата Вашингтон и фирмой «Боинг», где группа специалистов,
включавшая Д. Ф. Хаасля, Р. Дж. Шродера, У. Р. Джексона
и др., использовала и развила эти методы. Несмотря на их
широкое применение, имеется значительный пробел в учебной и
технической литературе; только публикации Хаасля [1], Ламберта (2] и
Фусселя [3] привлекли внимание авторов данной книги. Из этих
публикаций лишь работы Ламберта содержат наиболее детальное
изложение материала.
По заявлению Фусселя, ценность дерева отказов заключается
в следующем:
1) анализ ориентируется на отыскание отказов;
2) выявляются такие аспекты системы, которые имеют важное
значение для рассматриваемых отказов;
53

Отказ системы, или происшествие (конечное событие)
Дерево отказов состоит из последовательностей событий, которые ведут
к отказам системы или происшествию
I ~
Последовательности событий строятся с помощью логических знаков
«И», «ИЛИ» и др.
Событ! е над логическим знаком и все события, которые имеют более
элементарные причины отказов, помещаются в прямоугольнике, а само событие
описано в этом прямоугольнике
Последовательности в конечном итоге ведут к исходным причинам, для
которых имеются данные по частоте отказов. Эти исходные причины обозначают
кругом. Они представляют разрешающую способность данного дерева отказов
Рис. 2.1. Основная структура дерева отказов
3) обеспечивается графический, наглядный материал для той
части руководства промышленности, которая детально не
информируется о проводимых изменениях конструкции;
4) обеспечивается возможность проведения качественного или
количественного анализа надежности системы;
5) метод позволяет специалисту поочередно сосредоточиваться
на отдельных конкретных отказах системы;
6) обеспечивается глубокое проникновение в процесс работы
системы.
К этому можно добавить, что деревья отказов, как и другие
виды подобных технических материалов, являются средством
общения специалистов, поэтому они должны быть представлены в
четкой и наглядной форме.
Структура дерева отказов показана на рис. 2.1. Нежелательное
событие помещается сверху (конечное событие) и соединяется с
рядом более элементарных исходных отказов путем констатации
событий и логических символов. Главное преимущество дерева
отказов по сравнению с другими методами, такими как ВОАП,
заключается в том, что анализ ограничивается выявлением только
тех элементов системы и событий, которые приводят к данному
конкретному отказу системы или аварии.
С начала 70-х годов были разработаны технические приемы
анализа с помошью дерева отказов с применением вычислительных
машин, которые получили очень широкое распространение. В на-
54

стоящее время это наиболе популярный метод, который в
большинстве приложений заменил способ с применением структурных
схем. На самом деле, проведение анализа при помощи дерева
отказов или его ближайшего аналога — анализа причин последствий
(см. гл. 13) официально введено рядом правительственных
^убеждений, ответственных за безопасность рабочего персонала и (или)
населения.
Таблицы решений, которые представлены киже в данной главе,
стали применяться при анализе проблем безопасности только в
последние несколько лет и в основном в качестве метода
автоматизированного синтеза дерева отказов. Однако, как
представляется авторам книги, последний метод является более универсальным,
чем метод дерева отказов и найдет более широкое
применение в будущем. Его универсальность вытекает из следующих
факторов.
1. Могут быть показаны несколько состояний отказа элемента.
Дерево отказов представляет собой схему булевой логики, на
которой показывается только два состояния: рабочее и отказавшее,
например функционирующий клапан и отказавший. В таблицах
решений можно показать дополнительные состояния, такие, как
«сокращенный расход через клапан» и т. д.
2. В системах, имеющих контуры регулирования, а также
другие особенности, время возникновения и (или) последовательность
событий при отказах имеют важное значение. Дерево отказов
описывает систему в определенный момент времени (обычно в
установившемся состоянии), и последовательности событий могут быть
показаны с большим трудом, если это вообще оказывается
возможным; в то же время приемы, основанные на таблицах решений,
могут быть легко распространены даже на такие сложные устройства,
как многоконтурные системы управления [4]. Диаграммы
причины— последствия потенциально также применимы для анализа
систем с более сложной логикой, чем деревья отказов.
Таблицы решений — это не графический способ представления
информации, каким являются деревья отказов или диаграммы
причин— последствий. Однако, когда дерево отказов становится очень
громоздким, трудно отыскивать ошибки, а логические связи с
трудом поддаются прослеживанию или становятся слишком
запутанными. Проф. С. Апостолакис, например, обнаружил
незначительную ошибку в дереве отказов, рассмотренном в документе
WASH-1400, хотя эти деревья отказов, как считалось, проверялись
и перепроверялись многократно.
Построение дерева отказов является, по-видимому,
определенным видом искусства в науке. Нет двух аналитиков, которые
составили бы два идентичных дерева отказов (хотя эти деревья
должны быть эквивалентными в смысле выявляемых видов
отказов). Если построение дерева отказов есть искусство, то возникает
вопрос, являются ли правила построения и процедуры,
разработанные в этой главе, вообще пригодными для использования.
Авторам это пока еще до конца не известно.
55

2.3. ОСНОВНЫЕ БЛОКИ ДЕРЕВА ОТКАЗОВ
Чтобы отыскать и наглядно представить причинную взаимосвязь
с помощью дерева отказов, необходимы элементарные блоки,
подразделяющие и связывающие большое число событий. Имеется
два типа блоков: логические символы и символы событий.
2.3.1. Логические символы
Логические символы связывают события в соответствии с их при-
чинными взаимосвязями. Обозначения логических знаков приведе-
•ны в табл. 2.1. Логический знак может иметь один или несколько
входов, но только один выход, или выходное событие.
Выходное событие логического знака «И» наступает в том
случае, если все входные события появляются одновременно. С
другой стороны, выходное событие у логического знака «ИЛИ»
происходит, если имеет место любое из входных событий.
Примеры этих двух логических знаков показаны на рис. 2.2.
Событие «пожар начался» имеет место, если два события «утечка
горючей жидкости» и «воспламенитель вблизи горючей жидкости»
происходят одновременно. Последнее событие случается, если
происходит одно из двух событий «есть искры» или «курящий».
Причинные связи, выраженные логическими знаками «И» и
«ИЛИ», являются детерминированными, так как появление
выходного события полностью определяется входными событиями.
Имеются причинные связи, которые не являются детерминированными.
Рассмотрим два события: «человек сбит автомобилем» и «человек
умер». Причинная связь между этими двумя событиями является
не детерминированной, а вероятностной, потому что несчастный
случай не всегда заканчивается гибелью.
ВозникноОение
пожара
Π
π
Утечка горючей
жидкости
Очаг воспламенения
Од~лизи жидкости
Е= —2
Наличие
искры
Курящий
рабочий
Рис. 2.2. Пример использования логических знаков «И» и «ИЛИ»
56

2.1. Логические'символы

Строка
Символ
логического знака
Название логического
знака
Причинная взаимосвязь
Знак «И»
Знак «ИЛИ»
Знак «Запрет»
Знак «приоритетное
И»
Знак «исключающее
ИЛИ»
Знак т из η
(голосования или выборки)
Выходное событие происходит,
если все входные события
случаются одновременно
Выходное событие происходит,
если случается любое из входных
событий
Наличие входа вызывает
появление выхода тогда, когда
происходит условное событие
Выходное событие имеет место,
если все входные события
происходят в нужном порядке слева
направо
Выходное событие происходит,
если случается одно (но не оба) из
входных событий
Выходное событие происходит,
если случается т из η входных
событий
57

Опеостор
не дключил
систему
U
Сигнал
тредоги
Оператор нажал нь ту кнопку
го сигналу тредоги
Оперчтор
не выключил
систему
Сигнал
требоги
Π
Оператор нажал нету кн(,г<«у
по сигналу тредоги |
Рис. 2.3. Пример использования ло- Рис. 2.4. Эквивалентное представле-
гического знака запрета нпе схемы, показанной на рис. 2.3
Шестиугольник, являющийся логическим знаком запрета и
расположенный в строке 3 табл. 2.1, используется для
представления вероятностных причинных связей. Событие, помещенное под
логическим знаком запрета на рис. 2.3, называется входным
событием, в то время, как событие, расположенное сбоку от
логического знака, называется условным событием. Условное -событие
принимает форму события при условии появления входного
события. Выходное событие происходит, если и входное и условное
события имеют место. Другими словами, входное событие
вызывает выходное событие с вероятностью (обычно постоянной)
появления условного события. Логический знак запрета часто
появляется в тех случаях, когда событие вызывается по требованию. Он
используется главным образом для удобства и может быть
заменен логическим знаком «И», как показано на рис. 2.4.
Логический знак «приоритетное И», помещенный в строке 4
табл. 2.1, эквивалентен логическому знаку «И» с дополнительным
требованием того, чтобы события на входе происходили в
определенном порядке [6]. Событие на выходе появляется, если события
на входе происходят в определенной последовательности (слева
направо). Появление событий на входе в другом порядке не
вызывает события на выходе. Рассмотрим, например, систему, имеющую
основной источник питания и резервный. Резервный источник
питания включается в работу автоматическим переключателем,
когда отказывает основной источник. Питание в системе отсутствует,
если:
1) отказывают как основной, так и резервный источники;
2) сначала выходит из строя переключатель, а затем
отказывает основной источник питания.
Предполагается, что если за отказом переключателя следует
отказ основного источника, это не приводит к потере питания при
условии нормальной работы резервного источника. Причинные
связи в системе показаны на рис. 2.5. Логический элемент
«приоритетное И» может быть представлен сочетанием «логического
И» и знака «запрета», а следовательно, эти логические знаки
являются эквивалентом «логического И». Условным событием для
58

Нет питания
системы
Отказ
основного
источника
Отказ
резервного
источника
ь
Отказ
в управлении
переключателем
Отказ
оснобного
источника
Рис. 2.5. Пример использования логического знака «приоритетное И»
«логического запрета» является то, что входные события
логического знака «И» происходят в определенном порядке.
Эквивалентные представления дерева, изображенного на рис. 2.5, показаны
на рис. 2.6 и 2.7.
Логический элемент «исключающее ИЛИ» (строка 5 в табл.
2.1) описывает ситуацию, в которой событие на выходе
появляется, если одно из двух (но не оба) событий происходит на входе.
Рассмотрим систему, питаемую от двух генераторов. Частичная
потеря мощности может быть представлена элементом «исключа-
Отказ
оснобного
источника
Нет питания
π
Отказ
резервного
источника
Отказ
в управ пении
переключателем
'Наличие отказа в
управлении пере -
кпючателем при
отказе основного
источника
Отказ
основного
источника
Рис. 2.6. Эквивалентное представление схемы, показанной на рис. 2.5
59

Наличие отказа б (/продлении
переключателем при отказе
основного источника
Рис. 2.7. Эквивалентное представление схемы, показанной на рис. 2.5
ющее ИЛИ», показанным на рис. 2.8. «Исключающее ИЛИ» может
быть заменено комбинацией логических элементов «И» и «ИЛИ»,
что проиллюстрировано 1 на рис. 2.8.
Логический знак голосования т из η (строка 6 в табл. 2.1)
имеет η событий на входе, а событие на выходе появляется, если
происходят по меньшей мере т из η событий на входе.
Рассмотрим систему выключения, состоящую из трех контрольных
приборов. Предположим, что выключение системы происходит тогда и
только тогда, когда два из трех контрольных приборов выдают
сигнал о выключении. Таким образом, ненужное выключение
системы происходит, если два или большее число контрольных при-
Частичная
потеря *
мощности
" 0'
1 Отназ
генвраторот
L
Отназ 1
генератора!
Рис. 2.8. Пример использования логического знака «исключающее ИЛИ» и его
эквивалентное представление
1 Обычно в дереве отказов избегают использования работоспособных
состояний, таких как «генератор работает», так как они в значительной степени
усложняют количественный анализ. Консервативным разумным подходом
является замена логического знака «исключающее ИЛИ» знаком «ИЛИ».
60

Ненужное
дынлючение
Контрольный прибор I
Оырабатыдает
ложный сигнал
Контрольный прибор II
Оырабатыдает
ложный сигнал
Контрольный прибор III
дырабатыдает
ложный сигнал
J
Рис. 2.9. Пример применения логического элемента «два из трех»
от нонтрольного\
прибора I
Ложный
сигнал
от нонтрольного
прибора II
Ложный
сигнал
от нонтрольного
прибора II
Ложный
сигнал
от нонтрольного^
прибора III
Ложный
сигнал
\от нонтрольного
прибора III
Ложный \
сигнал
от нонтрольного
прибора I I
Рис. 2.10. Эквивалентное представление схемы, показанной на рис. 2.9
боров выработают ложный сигнал на выключение, в то время как.
система находится в нормальном состоянии.
Эту ситуацию можно представить с помощью логического
элемента «два из трех», как показано на рис. 2.9. Элемент
голосования эквивалентен комбинации из логических элементов «И» и
«ИЛИ», как проиллюстрировано на рис. 2.10.
Можно ввести новые логические элементы для представления
специальных типов причинных связей. Заметим, что большинства
специальных логических элементов можно заменить комбинацией
логических «И» и «ИЛИ».
2.3.2. Символы событий
Символы событий даны в табл. 2.2. Как показано на
схематическом изображении дерева отказов на рис. 2.1, прямоугольный
олок обозначает событие отказа, которое возникает в результате
оолее элементарных, исходных отказов, соединенных с помощью
61

2.2. Символы событии
Строка
1
2
•3
4
Я
б
Символ события
Круг
PomS
1
I
рямоугольнин
1
( >i
\
Обил
ά
RuMUh
-Δ A
Треугольники.
Содержание
события
Исходное событие,
обеспеченное
достаточными
данными
Событие,
недостаточно детально
разработанное
Событие,
вводимое логическим
элементом
Условное
событие, используемое
с логическим
знаком «запрет»
Событие, которое
может случаться
или не случаться
Символ перехода
62

рис. 2.11. Пример использования символа
События «ромб»
логических элементов. Круглый блок
обозначает исходный отказ отдельного
элемента (в пределах данной системы или
окружающей среды), который
определяет *гаким образом разрешающую спо- /~
собность данного дерева отказов. ]\щ KopL
ТОГО ЧТОбы ПОЛУЧИТЬ Количественные pe-i замыкание
зультаты с помощью дерева отказов,V >
круглые блоки должны представлять со- ^*—~^
бытия, для которых имеются данные по
надежности [3]. События, представленные в круглых блоках,
называются исходными событиями. «Отказ клапана из-за износа»
может быть примером исходного отказа элемента и помещается в круг.
Обычно такое событие обусловливается определенным элементом,,
и когда оно происходит, этот элемент необходимо отремонтировать
или заменить.
Из анализа1 на рис. 2.11 видно, что отказ «повышенный ток в
цепи» может быть вызван исходным событием «короткое
замыкание» или событием, не разработанным детально, «пульсации
напряжения в цепи».
Если бы решили более детально разработать событие
«пульсация напряжения в цепи», то использовали бы прямоугольник, для
того чтобы показать, что событие разработано до более
элементарного уровня. Затем следовало бы вернуться назад и
проанализировать, например, такие элементы, как генератор или другие
элементы аппаратуры в данной схеме.
Иногда желательно рассмотреть различные особые случаи
дерева отказов, заведомо предполагая, что одни события
происходят, а другие события исключаются из рассмотрения. В таких
случаях, целесообразно пользоваться символом, изображенным з
строке 5 табл. 2.2 в виде домика. Когда этот символ включают в
дерево отказов, предполагают, что данное событие обязательно
происходит, и возникает противоположная ситуация, когда его
исключают. Можно также опустить причинные взаимосвязи,
расположенные под знаком «И», не учитывая событие, заключенное я
домике и стоящее на входе этого логического знака. Подобным
образом можно аннулировать сзязи под логическим знаком
«ИЛИ», присоединив событие, заключенное з домике,
непосредственно к этому знаку.
1 Ромбы используются для обозначения детально не разработанных событий
в том смысле, что детальный анализ не доведен до исходных типов отказов в
силу отсутствия необходимой информации, средств или времени. «Авария из-за
саботажа или диверсии» является примером детально не разработанного
события. Часто такие события не учитываются при количественном анализе. Они
включаются на начальном этапе, потому что дерево отказов является средством
общения специалистов, и их присутствие служит показателем глубины и
ограничений данного исследования.
Избыточный
тон б цепи
63

Ложный
сигнал
от контрольного
прибора //
Ложный
сигнал
от контрольного
прибора III
Ложный
сигнал
от контрольного
прибора III
Рис. 2.12. Пример применения символа события «домик»
Применение символа в виде домика проиллюстрировано на
рис. 2.12. Когда событие включается в рассмотрение,
предполагается, что контрольный прибор I вырабатывает ложный сигнал.
Таким .образом, получаем логический знак «один из двух», т. е.
простой знак «ИЛИ» с двумя входами II и III. Если событие в
домике исключается из рассмотрения, получаем простой
логический знак «И».
В строке 6 табл. 2.2 помещена пара треугольных символов:
треугольник переноса из и треугольник переноса в, обозначающих
два подобных типа причинных взаимосвязей. Обоим
треугольникам присвоен одинаковый порядковый номер. Треугольник
«переноса из» соединяется с логическим символом сбоку, а у треуголь-
ё
ι—. 1
I Причинная \
I сдязь II |
j Причинная
I связь I
\ I
Г" Причинная ~]
I сдязь //
l-jtt-j
j Причинная
\ сдязь I |
1 J
Причинная сдязь; |
I идентичная сдязи I \
I 1
Рис. 2.13. Пример использования символа переноса
Симдол
„ Перенос д"
64

ника «переноса в» линия связи проходит от вершины к другому
логическому символу. Треугольники используются для того, чтобы
упростить изображение дерева отказов (рис. 2.13).
2.4. НАХОЖДЕНИЕ АВАРИЙНОГО СОБЫТИЯ
Имеется два подхода при анализе причинных связей: прямой
анализ и анализ с обратным порядком. Анализ с прямым порядком
начинается с определения перечня отказов и развивается в
прямом направлении с определением последствий этих событий.
Анализ с обратным порядком начинается с отыскания опасного
состояния системы, от которого в обратном направлении прослеживаются
возможные причины возникновения этого состояния.
При построении дерева событий (ДС), проведении анализа
видов отказов и последствий (АВОП), анализа критичности (АК) и
предварительного анализа опасностей (ПАО) используется прямой
подход (см. гл. 1). Обратный порядок характерен для анализа с
помощью дерева отказов (АДО). Как обсуждалось в гл. 1, такое
комбинированное использование обоих подходов необходимо,
чтобы полностью решать задачу анализа риска и надежности.
Обратный подход, т. е. анализ с помощью дерева отказов,
используется для определения причинных связей, ведущих к данному
опасному состоянию системы. Само опасное состояние становится
конечным событием дерева отказов. Данное конкретное конечное
событие является лишь одним из многих возможных опасных
состояний системы, представляющих интерес для анализа; дерево
отказов само по себе не выявляет возможных опасных событий в
системе. Большие системы могут иметь много самых различных
конечных событий и соответствующих им деревьев отказов.
При выполнении анализа в прямом порядке принимается ряд
определенных последовательностей событий и составляются
соответствующие этим последствиям сценарии, оканчивающиеся
опасными состояниями системы. Контрольные перечни [7]
оказываются очень полезными при анализе с прямой последовательностью.
Информация, которая должна быть собрана и обработана для
написания хорошего сценария, состоит из сведений по взаимосвязи
элементов и топографии системы, а также включает данные по
отказам элементов и другим детальным характеристикам системы.
Эти сведения оказываются полезными и для построения деревьев
отказов.
2.4.1. Взаимосвязи элементов и топография системы
Система состоит из таких элементов, как единицы
оборудования, материалы, персонал предприятия (необязательно, чтобы эти
элементы были самыми мелкими в системе; они могут быть
блоками или целыми подсистемами), которые находятся в определенной
окружающей и социальной среде и подвержены старению.
65

Рис. 2.14. Воздействия и взаимосвязи
элементов
Опасные состояния вызываю;г-
ся одним или несколькими
элементами, приводящими к
отказам в системе. Окружающая
среда, персонал и старение могут
влиять на систему только через
ее элементы (рис. 2.14).
Каждый элемент системы
связан с другими элементами
специфическим образом, а
идентичные элементы могут иметь
различные характеристики в
различных системах. Поэтому
необходимо уточнять взаимосвязи и
топографию системы. Взаимосвязи и топографию определяют,
например, путем изучения системы трубопроводов данного
предприятия, электрических схем, механических соединений, потоков
информации, а также физического расположения элементов. Эти связи
наилучшим образом можно представить в виде различных схем
системы; технические описания системы и карты логических
переходов также оказываются полезными в данной работе.
Например, гидравлический удар, который вызывается быстрым
закрытием клапана и который, в свою очередь, приводит к потере
герметичности фланцевого соединения, выявляют при изучении
схемы трубопроводов. Взаимовлияние двух близко расположенных
емкостей возможно в случае пожара. Возможные изменения
состояния элементов системы, возникающие в результате других
причин, следует также включать в технические описания или в
карты логических переходов.
2.4.2. Характеристики отказов элементов
Отказы элементов являются основополагающими данными при
анализе причинных связей. Они классифицируются на первичные
отказы, вторичные отказы и ошибочные команды.
Первичный отказ элемента определяют как нерабочее
состояние этого элемента, причиной которого является он сам, и
необходимо выполнить ремонтные работы для возвращения элемента в
рабочее состояние. Первичные отказы происходят при входных
воздействиях, значения которых находятся в пределах, лежащих
в расчетном диапазоне, а отказы объясняются естественным
старением элементов. Разрыв резервуара вследствие усталости
материала служит примером первичного отказа.
Вторичный отказ такой же, как первичный, за исключением
того, что сам элемент не является причиной отказа. Вторичные
отказы объясняются воздействием предыдущих или текущих
избыточных напряжений на элехменты. Амплитуда, частота, продолжи-
66

/Естестден-
/ноестаре- ,
!ш (1-1) элементы t
JO заданных
режимах I Лербичный у
рад~оты I отказ
(1)
Соседние
элементы (Z-1)
' >. Вторичные
Отказ \ отшы
элемента ] ' '
Ошибочные \. /
команды (3) yf
\ Окружая- \
\ г*-*; \
i Избыточные^ \
\ напряжения \
/Персонал 1
/преоприя- 1
/ тия (Z-3)/
Самопроизвольные сигналы
упрадления и помехи
Соседние
элементы
J3-1)
Окружающая
среда
(3-Z)
Персонал
предприятия
(3-3)^ Л
Рис. 2.15. Характеристики отказов элементов
тельность действия этих напряжений могут выходить за пределы
допусков или иметь обратную полярность и вызываются
различными источниками энергии: термической, механической,
электрической, химической, магнитной, радиоактивной и т. п. Эти
напряжения вызываются соседними элементами или окружающей средой,
например метеорологическими и геологическими условиями, а
также воздействием со стороны других технических систем. Люди,
например операторы и контролеры, также являются возможными
источниками вторичных отказов, если их действия приводят к
выходу элементов из строя. Примерами вторичных отказов служит
«срабатывание предохранителя от повышенного электрического
тока», «повреждение емкостей для хранения при землетрясении».
Следует отметить, что устранение источников повышенных
напряжений не гарантирует возвращения элемента в рабочее состояние,
так как предыдущая перегрузка могла вызвать необратимое
повреждение в элементе, требующее в этом случае ремонта. Когда
точный вид первичного или вторичного отказа определен и данные
по этому отказу получены, события с первичными и вторичными
отказами оказываются одинаковыми, они рассматриваются как
исходные отказы, которые в дереве отказов помещаются в круглые
блоки.
3*
67

Ошибочные команды представляются в виде элемента,
находящегося в нерабочем состоянии из-за неправильного сигнала
управления или помехи, при этом часто не требуется ремонт для
возвращения данного элемента в рабочее состояние. Самопроизвольные
сигналы управления или помехи часто не оставляют последствий
(повреждений), и в последующих нормальных режимах элементы
работают в соответствии с заданными требованиями. Типичными
примерами ошибочных команд являются: «напряжение
приложено самопроизвольно к обмотке реле», «переключатель случайно не
разомкнулся из-за помех», «помехи на входе контрольного прибора
в системе безопасности вызвали ложный сигнал на остановку»,
«оператор не нажал аварийную кнопку» (ошибочная команда от
аварийной кнопки).
Как показано во внутреннем кольце (рис. 2.15), расположенном
вокруг «отказа элементов», отказы могут возникнуть в
результате: 1) первичных отказов, 2) вторичных отказов или 3) ошибочных
команд. Отказы всех этих категорий могут иметь различные
причины, приведенные в наружном кольце.
2.4.3. Технические характеристики системы
Только главные, наиболее вероятные или критичные события
должны рассматриваться на начальной стадии анализа. Для
определения этих событий можно использовать анализ критичности
(АК). По мере продвижения аналитической работы можно
включать все более редкие или менее вероятные события или
предпочесть не принимать их в расчет.
В принципе, окружающие условия — это чесь мир, в котором
находится данная система. Таким образом, чтобы не отклоняться
от намеченной цели, необходимо установить разумные пределы
влияния окружающей среды при проведении исследования с
помощью дерева событий (АДС) или анализа последствий,
поскольку эти два подхода предусматривают детальную разработку
развития начальных аварийных событий в системе и окружающей ее
среде.
При определении системы требуется тщательно установить
начальные состояния элементов. Все элементы, которые имеют более
одного рабочего состояния, создают различные начальные
условия. Например, начальное количество жидкости в баке может быть
регламентировано. Событие «бак полный» становится одним
начальным состоянием, а «бак пустой» является другим состоянием.
Необходимо также точно установить рабочий отрезок времени:
например, условия при пуске и остановке могут создавать другого
рода опасные условия, отличающиеся от установившихся режимов
работы.
Когда достаточное количество информации по системе собрано,
можно составить описания вариантов развития процесса
(сценариев

ев) и определить конечные события. Затем устанавливают
причинные взаимосвязи, ведущие к каждому конечному событию, при
помощи дерева отказов»
2.4.4. Пример предварительного анализа в прямой
последовательности
Рассмотрим систему перекачки (рис. 2.16), описанную в
работах [2, 8, 9]. На схеме показаны взаимосвязи элементов, которые
поясняются следующим техническим описанием.
В рабочем режиме для пуска системы перекачки переключатель
взведения 51 включается и затем сразу же выключается.
Электрический ток возбуждает обмотки /О и /С2; контакты реле К\
замыкаются, и цепь ставится на самоблокировку, при этом контакты
К2 замыкаются и запускают электродвигатель насоса.
В режиме выключения контакты датчика давления должны
разомкнуться приблизительно через 20 с (в результате срабатывания
датчика при избыточном давлении) и выключить цепь управления,
снимая питание с обмотки /С2, размыкая контакты /С2 и
выключая таким образом электродвигатель. Если возникает зависание
контактов датчика давления (аварийный режим выключения),
контакты реле времени должны разомкнуться через 60 с, снимая
питание с обмотки реле /Л, которое, в свою очередь, обесточивает
обмотку реле /С2, выключая насос. Предполагается, что реле
времени взводится автоматически при каждой операции, что насос
работает нормально и что бак опорожняется после каждого цикла.
ц
η
χ
k>
* ! β
ν^
Г\
7 11
Э&о
ΓΊ*2
Рис. 2.16. Принципиальная схема системы перекачки:
/ — реле К1; 2 — цепь В; 3 — переключатель взведения SI; 4~ реле К2; Д·—реле времени;
6 -датчик давления; 7 —линия измерения давления; 8 — выпускной клапан; 9
—предохранитель; 10 — электродвигатель насоса; И — насос; 12 — бак под давлением
69

Переход к перекачке
Режим дключения
Π В -КР
Реле К1 -КР
Реле П -КР
Реле дреме на -КЗ
АД -КЗ
Переход к дключению
ПВ -ЗК
Реле К1-В и
стадится на
самодло-
киродку
Реле ΚΖ-ВиЗ
ПТ -
начинает ОВ
Кг - 8(3)
J/R ~ КЗ
Насос - началорадоты
Режим перекачки
R/S - КР
Л7 - КЗ
ΚΖ - КЗ
T/R - КЗиОВ
P/S - КЗдРК
Адарийное дык-
лнзчение (доз-
можно забиса-
ние контан-
контро- m0Q дд \
лирует
дабление
Переход к готовности
К1 -КР
KZ-KP
T/R-конец ОВ
и размыкание
на мгнодение
P/S- отказ д 30
Насос-останодлен
KZ-снимается
питание (Р)
T/R-сдросустанодки
PIS-KP *·**""
Режим готвдноста
R/S - КР
К1
кг -
T/R -
p/s -
Насос-останадлиОается
Адарийное выключение]
/?А - КР
К1 ~ КР
кг - кр
T/R - КЗ
P/S - /Г?
КЗ
КР
КЗ
КЗ SPK
Рис. 2.17. Схема переходов для системы перекачки:
В — обмотка под напряжением; ДД — датчик давления; 3 — замкнуто; ЗК — замкнут
кратковременно; ЗС —замкнутое состояние; КЗ — контакт замкнут; КР — контакт разомкнут;
ОВ — отсчет времени; ПВ — переключатель взведения; ПТ — переключатель таймера; Ρ —
разомкнут; Р/С—режим контроля
Можно также рассмотреть схему рабочих переходов для
каждого элемента системы во всех режимах функционирования,
представленную на рис. 2.17. Далее выполняется анализ в прямой
последовательности, такой, как проводится при ПАО и ВОАП,
определяются последовательности событий при отказах элементов,
ведущих к опасным ситуациям. Для системы перекачки,
изображенной на рис. 2.16, имеем следующие последовательности:
1) контакты датчика давления не размыкаются — отказ реле
времени — превышение давления — разрыв бака;
2) переключатель взведения не включается — насос не
запускается— отсутствует подача жидкости из бака;
3) утечка горючей жидкости из бака — искрение реле — пожар.
Выбрав определенные пределы воздействия внешних условий,
можно детально проследить дальнейшее развитие этих опасных
ситуаций в системе и в окружающей среде.
Примерами являются:
1) взрыв
потеря капитального оборудования
жертвы
ранения
прекращение производства
2) отсутствие потери продукции
жидкости в баке бесконтрольная реакция и т. д.
70

2.5. ПРОЦЕДУРА ПОСТРОЕНИЯ ДЕРЕВА ОТКАЗОВ
Дерево отказов является графическим представлением
причинных взаимосвязей, полученных в результате прослеживания
опасных ситуаций в системе в обратном порядке, для того чтобы
отыскать возможные причины их возникновения. В этом случае
опасная ситуация в системе является конечным событием в дереве
отказов.
Пример 1. В качестве первого примера построения дерева отказов
рассмотрим конечное событие «отказ запуска электродвигателя» для системы,
представленной на рис. 2 18. Четкое определение конечного события необходимо, даже
если еобытие описано на дереве отказов в сокращенной форме. В данном случае
полным конечным событием является «отказ запуска электродвигателя при
включении переключателя в заданный момент времени ί t».
Классификация отказов элементов, которая приведена на рис. 2.15, полезна
при построении дерева отказов, показанного на рис. 2.19. Следует отметить, что
термины первичное событие и исходный отказ становится синонимами, когда
отказ (и данные по нему) детально определен, и что вторичные отказы,
расположенные над ним, будут в конечном итоге или исключены или станут исходными
событиями.
Конечное событие «отказ запуска электродвигателя» может быть вызвано
тремя причинами: первичный отказ электродвигателя, вторичный отказ и
ошибочная команда. Первичные отказы — это отказы самого электродвигателя, который
соответствует техническим условиям, возникающие в результате естественного
старения. Вторичные отказы возникают из-за причин, которые лежат за
пределами, заданными техническими условиями, таких;4 как:
а) переработка (например, переключатель остался включенным после
предыдущей работы, что вызывало перегрев обмотки электродвигателя, приведший,
в свою очередь, к короткому замыканию или обрыву цепи;
б) выход условий работы за установленные пределы (такие, как
механические вибрации, термические нагрузки и т. д.);
в) неправильное обслуживание (например, некондиционная смазка
подшипников электродвигателя).
Ошибочные команды вызываются самопроизвольными управляющими
сигналами или помехами; в данном случае этот отказ заключается в «отсутствии
напряжения на электродвигателе».
Первичные и вторичные отказы вызываются причинами, приведенными в
крайнем наружном кольце на рис. 2.15. Элемент может быть в нерабочем
состоянии в момент /, если предыдущие возмущения вывели элемент из строя и он
не был отремонтирован. Возмущения могли возникнуть в любое время до
момента t. Однако процесс во времени не рассматривается, таким образом первичный
или вторичный отказы в момент t
являются конечными событиями, и более
детальный анализ не проводится. Другими
словами, дерево отказов является мгновенные
«снимком» системы в момент t.
Возмущения являются факторами, управляющим^'
переходом из исправного состояния
элемента к нарушенному. Точнее говоря, эти
возмущения определяют вероятность перехода
Рис. 2.18. Электрическая схема системы:
1 — генератор; 2 — переключатель; 3 —
электродвигатель; 4 — кабель; 5 — предохранитель
Переменная / может быть выражена не только в единицах времени, но и
в другой размерности. Например, данные по надежности транспортных средств
обычно задаются в виде пробега Иногда эта переменная означает число циклов
работы, как отмечает Фозергил [10|.
71

Рис. 2.19. Дерево отказов для системы, изображенной на рис. 2.18
элементов из одного состояния в другое. Первичное событие заключено в круге,
так как оно является исходным событием, для которого имеются детальные
данные по отказу. Вторичное событие является не полностью разработанным, поэтому
оно помещено в ромбе. Количественные характеристики вторичных отказов сле-
72

Рис. 2.20. Дерево отказов с
конечным событием «избыточный
ток предохранителя»
(вторичные отказы не учитываются)
дует оценивать соответствующими методами, после чего они также становятся
исходными событиями.
Как было показано на рис. 2.15, ошибочная команда «нет напряжения на
электродвигателе» возникает при отказе соседних элементов. На рис. 2.19
имеется событие «нет тока в цепи». Возможна более детальная разработка этого
события, которое в итоге приводит к событию «нет тока через предохранитель».
Имеется первичный отказ предохранителя «обрыв предохранителя из-за
естественного старения» и вторичный отказ «предохранитель размыкается избыточным
током». Можно ввести ошибочную команду «нет напряжения на предохранителе»,
которая относится к категории 3 (рис. 2.15). Однако все элементы были
рассмотрены ранее и не было обнаружено отказов, вызывающих событие «нет
напряжения на предохранителе». Таким образом, можно не учитывать данную ошибочную
команду; в результате дерево отказов построено полностью.
Вторичный отказ предохранителя может быть вызван избыточным током,
протекающим в данный момент или перед этим и возникающим в результате
отказа соседних элементов. Избыточный ток в любое время до момента t может
повредить предохранитель. Нельзя ввести событие «избыточный ток возник до
момента Ь, так как тогда нужно рассматривать неопределенное число моментов
в прошлом. Однако можно ввести событие «избыточный ток в данный момент /»,
и в результате окончательный вариант дерева отказов будет иметь вид1,
представленный на рис. 2.20. Необходимо отметить, что вероятность события «гене-
ВТ°РИЧНЫМИ отказами на Рис· 2.20 пренебрегают. Следует также заметить
логический знак запрета здесь эквивалентен знаку «И».
73

Избыточный
ток через
предохранитель
Рис 2 21 Дерево отказов, полученное при
пренебрежении событием с очень высокой
вероятностью (генератор не вышел из строя)
ратор не вышел из строя» очень высока, на-
пример равна 0,9999. Будем называть такие
события «событиями с очень большой
вероятностью», и ими можно пренебречь на входе в
логический знак «И» (или знак запрета),
существенно не изменяя вероятность конечного
события К Только при очень детальном
анализе «события с очень большой вероятностью»
сохраняются в дереве отказов. На рис. ζ.ζι
представлен упрощенный вариант дерева от*
казов, изображенного на рис. 2 20. конечным
событием в этом варианте является
«избыточный ток». Данное дерево отказов можно
использовать для количественных оценок с при-
менением методов, описанных в - 7 для того б, определ™.час^воз-
„икновения избыточного к данны момент времени ^. ^ ЧИ»^ ^
свою очередь, использхется для к^'[ч^^""_ь вероятности появления события
ведены в табл. 2 3.
2.5.1. Эвристические правила
Ниже описываются некоторые эвристические ЛГГ^веТенТв
4VPMbie лля построения дерева отказов. Эти правила сведены в
йбП.4Ди проиллюстрированы на рис. 2.22. Имеется семь основ-
^S^^^^cSSST*™ абстрактными,
например1 Событие «электродвигатель работает %^>^££.
гатель протекает слишком дол-
то»;
2) разделять события на
более элементарные,
например событие «взрыв бака»
заменять на событие «взрыв за
счет переполнения» или «взрыв
в результате реакции,
вышедшей из-под контроля»;
3) точно определять
причины событий, например событие
Отказ элемента
(событие „состояние элемента)
Ошибочная
команда
Рис. 2.22. Разработка отказа
элемента (событие «состояние элемента»)
ι События с очень большой вероятностью, как подчеркивалось выше, не
должны включаться в дерево отказов.
74

2.3. Варианты упрощений за счет событий с очень высокой
или очень низкой вероятностью
Упрощение за счет события
Причинные связи
первоначальные
упрощенные
С очень высокой вероятностью
(логический знак «И» с двумя
входами)
С очень высокой вероятностью
(логический знак «И» с тремя или
большим числом входов)
С очень низкой вероятностью
(логический знак «ИЛИ» с двумя
входами)
С очень низкой вероятностью
(логический знак «ИЛИ» с тремя или
большим числом входов)
Ζ \ \ 3
2. I I J
1 **
г|
ι 'Τ
/ [
0
г4К
\ Ζ J

2.4. Эвристические правила для построения дерева отказов
Строка
Принципы построения
Соответствующая часть дерева
отказов
Эквивалентное, но менее абстрактное
событие
Более детальное разбиение события
3 Явно выраженные причины события
Инициирующее событие при отсутствии
защитных действий
Совместно действующие причины
Событие Ε
Менее
абстрактное
\ событие F
Ε [
Г
F(случай 1)
в(случай 2)
Q
-J L-
Инициирующее
собо/тие
Отсутствие
защитных
действий
7S

Продолжение табл. 2.4.
Строка
Принципы построения
Соответствующая часть дерева
отказов
Точное указание отказавшего элемента
JT
г
L
г^
Отказ
элемента
Ε
TV
ι
Событие F \
I
ОтсутстОие J
защитных \
дейстбий '
-«вышедшая из-под контроля реакция» заменять на событие
«избыточная подача» или «прекращение охлаждения»;
4) связывать инициирующие события с событием типа
«отсутствие защитных действий», например событие «перегрев» заменять
на событие «отсутствие охлаждения» в сочетании с событием «нет
выключения системы»;
5) отыскивать совместно действующие причины событий, на-
лример событие «пожар» заменять на два события «утечка
горючей жидкости» и «искрение реле»;
6) точно указывать место отказа элемента, например событие
-«нет напряжения на электродвигателе» заменять на событие «нет
тока в кабеле»; другой пример: событие «нет охлаждающей
жидкости» заменять на событие «главный клапан закрыт» в сочетании
«с событием «нет открытия обводного клапана»;
7) детально разрабатывать отказы элементов в соответствии
со схемой, приведенной на рис. 2.22. Прослеживая события в
обратном направлении в поисках более элементарных событий,
обычно можно обнаружить отказы отдельных элементов. Эти события,
в свою очередь, могут быть разработаны по схеме, показанной на
рис. 2.22.
Если событие, заключенное в прямоугольнике, может быть
детально разработано по схеме, показанной на рис. 2.22, X. Е.
Ламберт называет его событием «состояние элемента» [2]. В противном
случае событие называют событием «состояние системы». Для
события «состояние системы» нельзя выделить определенный
элемент, который является единственной причиной данного события.
Сразу несколько элементов или даже отдельные подсистемы
определяют событие «состояние системы». Эти события следует
разрабатывать, руководствуясь первыми шестью правилами,
приведенными выше, до тех пор, пока не выявятся события «состояние эле-
77

мента». События типа «состояние элемента» в конечном итоге
разбивают на три категории: первичные отказы, вторичные отказы
и ошибочные команды. Если первичные и вторичные отказы не
разрабатывают более детально, их превращают в элементарные
(исходные) события при построении дерева отказов. Ошибочные
команды являются обычно событиями «состояние системы»,
которые следует разрабатывать детальнее, пока не будут найдены
соответствующие им события типа «состояние элемента».
Результирующие события «состояние элемента», в свою очередь, снова
детализируют по схеме, приведенной на рис. 2.22. Процедуру
повторяют и завершают разработку в конечном итоге тогда, когда
нет возможности отыскать новые ошибочные команды.
Конечное событие обычно является событием типа «состояние
системы». Сложное конечное событие следует определить с
помощью так называемой вершины дерева. Вершина дерева состоит
из конечного события и дополнительных нежелательных событий,,
включающих потенциальные аварии и опасные состояния, которые
являются непосредственными причинами конечного события.
Конечное событие и дополнительные события должны быть
тщательно определены и все важнейшие причины конечного события
выявлены. Первые пять эвристических правил также оказываются
полезными при построении вершины дерева.
В дополнение к приведенным эвристическим правилам можно
привести несколько практических соображений, принадлежащих
X. Е. Ламберту [2].
„Не ожидайте чуда. Если «нормальное» функционирование элемента помогает
составить последовательности отказов, следует это сделать, т. е. предположить^
что данный элемент функционирует нормально *. Составляйте полное детальное
описание отказов. Избегайте прямых связей между логическими знаками,
продумывайте местные ситуации. Всегда используйте полный набор входов в
логический знак. Включайте примечания на полях дерева отказов с объяснением
принятых предположений, недостаточно ясных из названия отказов. Повторяйте
названия отказов по обеим сторонам символов перехода".
Пример 2. В этом примере [11] показано, как эвристические правила,
представленные в табл. 2.4 и на рис. 2.22, можно использовать при построении
дерева отказов.
В системе перекачки, показанной на
рис. 2.23, бак заполняется за 10 мин и
опорожняется за 50 мин. Таким образом,
продолжительность одного полного
цикла составляет 1 ч. После включения
переключателя реле времени запускается,,
обеспечивая размыкание контактов
через 10 мин. Если эти механизмы
отказывают, то звучит аварийная сирена, и
Рис. 2.23. Принципиальная схема
системы перекачки:
J — источник питания; 2 — переключатель; 3 —.
контакты, 4 — оператор, 5 — сирена, 6 —насос;
7 — бак, 8 — таймер
1 Это эквивалентно исключению из дерева отказов событий с очень высокой
вероятностью (см. табл. 2.3).
W
78

(Рис. Ill)
Эвристическое
прадиле
Превышение
давления β баке
ι —
Работа двигателя свыше
положенного времени
(Строка V
(Строка 1)
Напряжения на
электродвигателе сверх
положенного времени
Т*\
(Строка 4)
ис 2.24. Дерево отказов для системы перекачки (исходные отказы не
разработаны детально для экономии места)
79

оператор выключает переключатель для того, чтобы предотвратить разрыв бака
из-за его переполнения.
Дерево отказов с конечным событием «разрушение бака (в момент /)»
показано на рис. 2.24. На данном дереве отказов имеются указания, какие правила
были использованы при разработке отдельных событий. Оператор в данном
примере может рассматриваться как элемент системы, а логический знак Ε введен
на основании правил, представленных на рис. 2.22. Первичный отказ оператора
означает, что оператор, который должен действовать по инструкции, не нажал
аварийную кнопку при включении сирены. Вторичный отказ оператора
происходит, например, если «оператор погиб во время пожара, когда звучала сирена».
Ошибочной командой от оператора является событие, когда «не прозвучала
сирена».
2.5.2. Условия, создаваемые логическими знаками «И» и «ИЛИ»
Имеется три варианта использования логического знака «ИЛИ»,
которые помещены в первых трех строках табл. 2.5. Строка 1
содержит два события А и В, которые перекрывают друг друга, как
показано на соответствующей диаграмме Венна К В строке 2
диаграмма Венна разделена на две части: событие В плюс
дополнение к нему В и событие^ Д. Последняя часть является эквивалентом
условного события А\В в сочетании с событием В (см.
соответствующее дерево событий, показанное в правой графе). Условное
событие А\В означает, что событие А наблюдается, когда
справедливо наличие события В, т. е. когда событие В не происходит. Так как
В является обычно событием с высокой вероятностью, оно может
быть исключено из логического знака «И»; в итоге дерево событий
сводится к дереву, помещенному во второй строке второй графы
справа. Примером применения данного типа логического знака
«ИЛИ» является знак Ε на рис. 2.24. Событие 5 («исходный отказ
оператора») является событием, связанным с условным событием
В «сигнал тревоги оператору» (событие В означает «нет сигнала
тревоги оператору»). При данном условном событии
подразумевается, что оператор (в нормальных окружающих условиях) не
включает переключатель, когда звучит сигнал тревоги. Другими
словами, оператор халатен и пренебрегает сигналом тревоги или
выключает не тот переключатель. Рассматривая условное событие В для
первичного отказа оператора, можно оценить, что отказ имеет
сравнительно малую вероятность. С другой стороны, безусловное
событие «оператор не выключил переключатель» имеет очень высокую
вероятность, так как он выключает переключатель только при
угрозе разрыва бака и когда звучит сигнал тревоги. Вероятности
этих событий существенно различаются и зависят от того, каким
является событие: условным или нет. Эти три варианта
использования логического знака «ИЛИ» оказываются очень хорошей основой
для выполнения количественных оценок первичных или вторичных
отказов с применением дерева отказов.
1 В приложении 7.1 описана диаграмма Венна, а гл. 4 включает обсуждение
условных вероятностей. Читатель, не имеющий соответствующей подготовки,
может опустить этот раздел и вернуться к нему позже.
80

Таблица 2.5

Строка
Диаграмма Веина
Дерево отказов
Примечания
<А^
ШШ&
А
ИИ
Τ
τ
1
ш
и^ *4ч= э-
β
Шж^^^
IQE5
1
^
1
А
\
ш
А
iqqT
*^1
1 >ч
5· I
A
-
1 ^ i
ϋ
5
* t ι > ι
2обьг
[Л
гием Л с
У
А
—J L—
ίϋϊΐ
брегают
Событием А с нормальным состоянием
пренебрегают
S
Τι
I a 1 Urn
81

Продолжение табл. 2.5,

Строка
6
Диаграмма
А ^^ А
Л)Ш
'''////%
///г////
111
Венна
н
ЯШ$Я
щ
1
IQqT
τ
°°1
τ
Дерево отказов
гп
7Т
Г
>ψ
1 5 I
Примечания
Примечание. При разработке дерева отказов события А/В и А/В часто
записывают просто, т. е. как А. Подобно этому В/А и В/А сокращают до В.
В строках 2 и 3 табл. 2.5 введены условия разветвления
дерева отказов. Этими условиями объясняют, почему деревом отказов
на рис. 2.19 для примера 1 можно завершить рассмотрение
первичного и вторичного отказов предохранителя. Все логические знаки
«ИЛИ» в этом дереве используются в значении, приведенном в
строке 3. Можно было бы ввести ошибочную команду для
предохранителя. Однако ошибочная команда невозможна, так как на
данной конечной стадии анализа имеются следующие условия:
1) исправный электродвигатель (т. е. отсутствуют его
первичные или вторичные отказы);
2) кабель подключен (то же, что и в п. 1);
3) переключатель замкнут (то же, что и в п. 1);
4) генератор не вышел из строя (то же, что и в п. 1);
5) предохранитель подсоединен (то же, что и в п. 1).
При использовании логического знака «И» существуют три
различные ситуации, которые показаны в строках 4—6 табл. 2.5.
Пример 3. На рис. 2.25 показана система реактора, в которой температура
повышается при увеличении скорости подачи регулируемого потока D. Тепло
удаляется с помощью циркуляционной водяной системы с теплообменником,
также охлаждаемым водой. Нормальной считается температура реактора 93,3° С,
однако катастрофический выход системы из-под контроля начинается при
достижении температуры 148,9° С.
С учетом этой ситуации:
1) температура реактора'контролируется;
2) при повышении температуры до 107,2° С звучит сигнал тревоги (см.
сирена);
3) затвор перекрывает поток D при температуре 121,11° С, прекращая
реакцию (см. электромагнит и клапан Л);
4) оператор может включить затвор, нажав на аварийную кнопку.
Требуется построить дерево отказов для системы.
*£

I fs-z
Cj—Θ—Qznee
Г\
Рис. 2.25. Принципиальная схема системы реактора:
/ — клапан С (перепускной); 2—клапан А; 3 — поток D; 4 — аварийная кнопка; 5 —
электромагнит; 6 —сирена; 7 — датчик температуры; 8 — реактор; 9 — теплообменник; 10 — вода
для охлаждения; // — насос, 12 — регенератор; 13 — клапан В-, 14 — привод клапана; 15 —
датчик расхода
Решение. Дерево отказов показано на рис. 2.26, α и б с применением
логических знаков. Вторичными отказами пренебрегаем. Кроме того, предполагаем,,
что аварийный сигнал всегда достигает оператора, когда звучит сирена, т. е.
аварийный сигнал имеет достаточно большое отношение сигнал — уровень шума.
На дереве отказов указано, какие эвристические правила и логические символы
использовались. Читателю рекомендуется тщательно разобраться в этих
указаниях.
На первый взгляд может показаться, что событие «ненулевая подача» на
входе логического знака С является событием с очень высокой вероятностью, так
как подача равна нулю при нормальном функционировании системы. Однако
это не так, потому что событие «ненулевая подача» связано условием
«прекращение охлаждения реактора». При этих обстоятельствах вводится в действие
система выключения, и, следовательно, событие «ненулевая подача» имеет малую
вероятности появления. Это событие находится на входе в логический элемент
«И», и им не следует пренебрегать.
При правильном использовании правил, содержащихся в табл. 2.5,
оказывается возможным:
1) уточнить и количественно оценить события;
2) отыскать события с очень высокой и с очень низкой вероятностью;
3) ограничить дальнейшее развитие дерева отказов;
4) обеспечить хорошую основу и дать полезные указания на каждой стадии
построения дерева отказов.
Следует отметить, что логические знаки В, С и D получены с помощью
правил, помещенных в строке 4 табл. 2.4. Требовалось так сконструировать систему,
чтобы обеспечить защиту от одиночных отказов. В таких системах неизбежно
появляются логические знаки «И» в соответствующем дереве отказов.
Пример 4. Рассмотрим систему наполнения бака, показанную на рис. 2.16.
Эта система с момента ее публикации Везели в 1971 г. привлекала внимание
своей необычностью. Она описана также в книге Барлоу и Прошана
«Статистическая теория надежности и вероятностные модели ресурсных испытаний»,
Нью-Йорк, '975 г. Приведенное здесь дерево отказов, показанное на рис. 2,27,
идентично ереву, данному Ламбертом [2], за исключением различия в отдельных
«,3

Выход реакции
из-под контроля
Эвристические
А \ (Стропа Z)
(Стропа 1)
Большая подача вызывает
бы ход из-под монтроля
ЛпЛ (Строка 4J
' (Стропа о)
Команда
на полное
открытие
нлалана В
Команда
упрадлемия
кпапаиом
Недостаточное охлаждение выбывает
выход из-под контроля
^
(Строка 4-)
(Строкз 6)
Ненулевая
подача
Ί_
Потеря
охлаждения
рсантеса
т
Клапан А
открыт
~К
Потеря
охлаждения
теплообмен;1!* нч
( \ (Рис 2.22)
L-rs] (Строка J)
Потеря доды
J Строка 1
Кет боды
(Рис Ζ Ά
(Строка 1)
(Рис. 2.2?)
(Строка 3)
Отказ команды
(Рис 2Щ
(Страха 3)
а
Дбигатель
не бращает
насос
(Puc.Z22Jj
(Строка 3 Λ
Отказ
{двигателя j (Стрма 1
4 /или рис. ZZZ)
Нет тпрчжения
ни двигателе
а)
стчьхп
отказ штро^
сити
Нщзра&мзанния
шийочная кошвй*
Рис. 2.26. Дерево отказов для системы реактора:
а — начало; б — окончание
84

Θ
A
/(лапан А открыт
Рис (121)
(Строка δ)
Нет команды
на перекрытие системьЛ
Строка 1
Нет команды от «SV
(Рис. 1.11)
(Строка J)
Нет команды на SV
Т7\
(Строка 4)
(Строка 5)
PS-1
й/ырыт
(Рис 122)
1 (Строка 3)
hr
hem команды
па PS-1
(Ртрока 1
или рис 221)
Т_
Адарийный
переключатель
разомкнут
(Рис. 121)
(Строка д)
85

Разрыв дана
под даблением
π
Эвристические
прибила
(Рис 222)
(Страна 3)
Чрезмерное
дабление б бане
Насос работает
слитном долго
(Страна 1)
(Страна 1)
Задержка размыкания
контактов репе HI
?
(Рис 222)
(Страна 3)
Тон в обмотке реле щ
протекает
слишком долго
Π
(Строка 4-)
(Строка 5)
Задержка размыкания]
датчика
давления
Ток в цепи В
протекает
слишком долго
(Рис 222)
(Строка 3)
_й
(Строка Ζ или стрш 3)
(Строна 1)
Контакты реле HI
замкнуты
слишком долго
Переключатель S7
замкнут
слишком долго I
Ток н реле Η J
протекает
слишком долго
г
Контакты реле
таймера
остаются замкнутыми
Я
(Строка 1)
(СтшшЗила
рис 2.22)
(Стрш 1)
(Рис 222)
(Страна 3)
1
Репе таймера замкнуло
контакты на слишком
долгое время
(Отказ нон-
[ тактов реле ]
таймера
Отказ ко н\
(тактов реле}
тймера/
(Рцс 2 22 или
строка 1)
86
Рис. 2.27. Дерево отказов для системы наполнения бака

терминах и ряде незначительных модификаций. Данное дерево отказов можно*
построить при помощи эвристических правил, приведенных в табл. 2.4. Здесь
также приведены указания по использованию логических знаков в соответствии
<с табл. 2.5.
2.6. ПОСТРОЕНИЕ ДЕРЕВА ОТКАЗОВ ПРИ ПОМОЩИ
ТАБЛИЦ РЕШЕНИЙ
Метод построения дерева отказов, разработанный в предыдущем
разделе, является эвристическим в том смысле, что необходимо
умение человека правильно разобраться в существе процессов и
разработать события, соответствующие различным состояниям
системы. В целом построение дерева отказов для больших сложных
систем требует значительных затрат времени и средств; по меньшей
мере двух человеко-лет для системы атомного реактора (13]. Кроме
того, в процессе построения неизбежны ошибки человека, хотя
теоретически можно получить достаточно точное дерево отказов,
если проявить необходимую аккуратность .
Были предложены различные автоматизированные методы,
чтобы избежать ошибок, обусловленных утомляемостью человека, и
упростить процесс построения дерева отказов [14—17]. В этом
разделе обсужден систематизированный метод построения дерева
отказов при помощи таблиц решений [18].
При наличии достаточной информации, относящейся к
анализируемой системе, а также набора моделей отдельных элементов,
данный подход позволяет быстро и систематически построить
дерево отказов, которое оказывается настолько полным и
детализированным, насколько детальны исходные модели элементов и
описание системы. Программа для расчета при помощи ЭВМ имеет
кодовое название CAT (автоматизированное построение дерева
отказов) [16].
Прежде всего составляют перечень событий для каждого
элемента на его выходе. Эти события называются событиями на
выходе. Каждое событие на выходе детально определяет состояние
этого выхода. Например, расход через клапан может соответствовать
одному из трех событий на выходе: высокий, нормальный и
нулевой расходы. Может быть рассмотрено большое число состояний,
если увеличение сложности является в данном случае
оправданным.
Подобным образом определяют набор событий на входе
каждого элемента для характеристики состояния на входе. Например,
давление на входе клапана может быть на одном из трех уровней:
высоком, нормальном и нулевом.
Так называемые внутренние режимы работы или состояния
■элемента можно рассматривать в виде различных входов со
стороны других элементов или со стороны окружающей среды. Открытие
клапана можно рассматривать как событие на входе, оно имеет три
уровня: полностью открытый, нормальный и с нулевым открытием.
Когда наладчик настраивает клапан на открытие, последнее
рассматривается как входное событие со стороны наладчика. Когда от-
87

Рис, 2.28. Принципиальная схема
теплообменника:
/ — насос; 2 — теплообменник; 3 — клапан
крытие клапана не зависит от
других элементов, оно считается
входным событием со стороны окружаю*
щих условий для данной системы.
Каждый вход со стороны
окружающей среды считается исходным
событием, в то время как входные
события со стороны других
элементов являются событиями типа
«состояние системы» или «состояние
элемента». Полный набор входных
и выходных событий составляет все возможные события,
относящиеся к данной системе.
Каждый элемент моделируют при помощи таблицы решений,
которая представляет собой расширенный вариант таблицы
истинности. Таблица решений описывает, как каждое сочетание
входных событий определяет выходные события, т. е. состояние
выхода элемента. Элемент может иметь несколько входов, но должен
иметь только один выход. Предположение о возможности только
одного выхода у каждого элемента сокращает число комбинаций
вход/выход (вх/вых) в таблице решений.
Если элемент имеет несколько выходов, можно искусственно
ввести дополнительные элементы для каждого выхода. Например,
если теплообменник имеет два 'представляющих интерес выходных Ήa-
раметра, таких как расход и температура, необходимо в
принципиальной схеме рассматривать два теплообменника. В этом случае
требуется две таблицы решений для моделирования одного
теплообменника.
Связи элементов определяют поведение системы и ее схему.
Последнюю получают путем соединения выхода каждого элемента
с соответствующим входом другого элемента. Конечным событием
по-прежнему является интересующее исследователя выходное
событие для системы.
Для иллюстрации метода, использующего таблицы решений,
рассмотрим систему охлаждения, приведенную на рис. 2.28. Насос
создает поток охлаждающей воды через теплообменник и
клапан. Кислота пропускается через теплообменник и охлаждается
водой.
Взаимосвязь элементов выражена связями вход/выход,
показанными на рис. 2.29. Внутреннее состояние насоса считается
зависящим от входного параметра со стороны окружающей среды.
Входной параметр имеет два состояния: «нормальное
функционирование» и «насос не работает». Давление охлаждающей воды
является выходом для насоса и входом в клапан. Давление может
быть нормальным или нулевым. Открытие клапана является
другим его входом, в данном примере оно является всегда нормальным.

Температура Сходного потока^
(повышенная, нормальная)
(постоянный расход)
Открытие клапана
(нормальное)
Внутреннее состояние насзса
(нормальное, остановка)
Теплообменник
А
Расход ох
(подышен
Клапан
Температура дыходного потока
(лоОышенкая, нормальная,
пониженная)
поддающей Ооды
шй, нормальный, нулсдой)
| Дабление охлаждающей боды
(нормальное, нулебос)
пио
Рис. 2.29. Взаимосвязи вход/выход для системы охлаждения
Расход охлаждающей воды является выходом для клапана.
Расход может быть повышенным, нормальным или нулевым.
Теплообменник имеет два входа: охлаждающая вода и
температура кислоты. Расход кислоты в данном примере принят
постоянным. Температура может быть нормальной или повышенной.
Повышенную температуру рассматривают как вход со стороны
окружающих систему условий, так как этот параметр не относится к
системе охлаждения по условию данной задачи. Температура
вытекающей кислоты является выходом для теплообменника. Эта
температура может быть повышенной, нормальной или пониженной.
Повышенная температура создает опасное состояние системы,
поскольку вытекающая кислота используется затем в реакторе.
Следовательно, конечное событие определяют как «повышенная
температура вытекающей кислоты».
Теперь рассмотрим таблицы решений, с помощью которых
моделируют отдельные элементы. Соотношения вх/вых для «а-соса
приведены в табл. 2.6. Результатом остановки насоса является
нулевое давление на выходе, в то время как при нормальной работе
насоса создается нормальное давление. Далее моделируют
клапан, как показано в табл. 2.7. Открытие клапана исключают из
колонки входов, так как открытие считается всегда нормальным.
Связи для теплообменника представлены в табл. 2.8, которая имеет две
колонки входов. Все возможные сочетания входных событий
представлены в этой таблице. Предполагается, что два события
.(строка С) —«повышенный расход» и «высокая температура на входе»
приводят к нормальной температуре на выходе. Считается также,
что два события (пара d) —«повышенный расход» и «нормальная
температура на входе» приводят к низкой температуре на выходе
вследствие того, что имеется избыточный расход охлаждающей
воды в теплообменнике. Очень важно уяснить, что для построения
таблиц решений необходимо знать функции всех элементов и их
взаимосвязи, часто являющиеся специфичными для каждой сие-
темы.
89

2.6. Таблица решений для насоса
2.7. Таблица решений для клапана
Вход
Давление
охлаждающей воды,
подводимой к клапану
/ Нормальное
к Нулевое
Выход
Расход
охлаждающей воды
из клапана
Нормальный
Нулевой
Вход
Внутреннее
состояние насоса
h Нормальное
i Остановка
Выход
Давление
на выходе
Нормальное
Нулевое
2.8. Таблица решений для теплообменника
Вход г-
Расход охлаждающей воды,
подводимой к теплообменнику
а Нормальный
b »
с Высокий
d »
е Нулевой
f »
Температура входного
потока кислоты
Высокая
Нормальная
Высокая
Нормальная
Высокая
Нормальная
Выход
Температура выходного
потока кислоты
Высокая
Нормальная
Низкая
Высокая
Из строк е и / табл. 2.8 видно, что температура на выходе
высокая независимо от входного события во второй колонке при
нулевом значении в первой колонке входов. Можно упростить строки е
и \, получая в результате строку 9 в табл. 2.9. Символ «—»
указывает на то, что данное событие «не имеет значения». Табл. 2.9
представляет собой упрощенный вариант табл. 2.8. Основная
процедура упрощения таблицы решений состоит в следующем:
2.9. Упрощенная таблица решений для теплообменника
т,Вход
Расход охлаждающей воды,
подводимой к теплообменнику
а Нормальный
Ь »
с Высокий
d »
g Нулевой
Температура входного
потока кислоты
Высокая
Нормальная
Высокая
Нормальная
Выход
Температура выходного
потока кислоты
Высокая
Нормальная
»
Низкая
Высокая
1) отыскивать строки с идентичными выходными событиями;
2) для строк с идентичными выходными событиями отыскивать
такие строки, которые идентичны за исключением одного входного
события;
3) в строках, полученных в результате применения п. 2,
появляется ситуация «не имеет значения», если каждое возможное
входное событие с идентичными значениями создается в колонке
90

Высокая температура
дыходного потопа
кислоты
Строка g
Нормальный расход
охлаждающей доды к
теплообменнику
Строка j
Нормальное дадление
охлаждающей доды к
клапану
Строка h
Нуледой расход доды
к теплообменнику
Строка Η
Иуледое дадление охлаждаю]
щей доды к клапану
Строка i
Рис. 2.30. Дерево отказов для системы охлаждения
входов; следует исключить все, кроме одной, такие строки и
заменить входное событие <в этой колонке символом «—».
Проанализируем теперь данный метод на примере построения
дерева отказов, представленного на рис. 2.30, для конечного
события «высокая температура выходного потока». Обозначения
строк на рис. 2.30 показывают, каким образом строилось это
дерево отказов.
Был выполнен поиск строк, содержащих данное конечное
событие в колонке выходов. В результате этого обнаружены строки в
табл. 2.9. Так как обе строки имеют правильный выход, они
соединяются с помощью логического элемента «ИЛИ». Теперь
необходимо разработать эти две строки. Строка g в колонке входов
содержит событие «не имеет значения». Это значит, что нулевой
расход охлаждающей воды может вызвать конечное событие
независимо от других событий на входе. Таким образом, строку g
заменяем событием «нулевой расход», при этом строка а содержит два
события в колонке входов: «высокая температура входного потока»
91

и «нормальный расход охлаждающей воды». В результате
появляется логический знак «И» с двумя событиями на входе. Событие
«высокая температура» рассматриваем как первичное событие, так
как оно является входом со стороны окружающих условий для
системы. Это событие заключено в круге. Тем самым
подразумевается, что оно является исходным событием, обеспеченным
достаточным объемом данных.
Теперь имеется два неразработанных события: одно из них —
«нулевой расход охлаждающей воды, подводимой к
теплообменнику», и второе — «нормальный расход охлаждающей воды,
подводимой к теплообменнику». Производим поиск строк, содержащих
неразработанные события в колонке выходов. Находим строку k для
нулевого расхода и строку j для нормального расхода (табл. 2.7).
Строку k связываем с нулевым расходом, а строку /
соответственно с нормальным расходом. Так как каждая строка имеет только
одно входное событие в колонке входов, строки к и j заменяются
соответственно событием с нормальным давлением и событиеАм с
нулевым давлением.
Производим поиск строк во всех таблицах решений, которые
содержат одно из этих двух событий в колонке выходов.
Отыскиваем строки h и i в табл. 2.6 и заменяем соответствующими
входными событиями. В итоге получаем дерево отказов \
представленное на рис. 2.30.
Анализ дерева отказов показывает, что высокая температура
входного потока кислоты вызывает конечное событие, даже если
Температура выходного потопа
(высокая, 'нормальная, низкая)
?
I Ра гход охлаждающей
жидкости (бысокии,
нормальный нулеОг»'1)
апан
Давление охлаждающей боды
(нормольное; нулевое)
Рис. 2.31. Связи вход/выход для системы охлаждения, имеющей контур
регулирования с прямой связью
Обычно на практике следует избегать событий, не содержащих отк.-зов
а также событий с очень высокой вероятностью, таких, каким является «насос
нормальный» в рассмотренном дереве отказов. Здесь оно приведено только с
учебными целями.
92
Температура входного потока
(высокая, нормальная)
Tennoot
■ 1 |
Управляющее
устройство клапана
Открытие
клапана
[нормально
е,
большое)
Кл
Внутреннее состояние насоса
(нормальное, остановка)
На

насос охлаждающей воды работает. Для того чтобы
усовершенствовать систему, можно ввести контур управления с прямой связью,
как показано на рис. 2.31. Устройство управления клапаном
действует таким образом, чтобы увеличивать открытие клапана при
высокой температуре входного потока. В этом случае таблица
решений для клапана должна быть расширена путем включения
колонки с входным событием «открытие клапана», так как открытие
имеет два возможных состояния, а именно нормальное
открытие и большое открытие. Эта таблица решений (табл. 2.10),
которую, в свою очередь, можно упростить, превращается в табл. 2.1L
Таблица решений для управляющего устройства дана в виде табл.
2.12.
2.10. Таблица решений для клапана 2.11. Упрощенная таблица решений
Вход
Давление

охлаждающей воды,
подводимой
к клапану
Нормальное
Нулевое
»
Открытие
клапана

Нормальное
Большое

Нормальное
Большое
Выход
Расход
охлаждающей
жидкости
из клапана
Нормальный
Высокий
Нулевой
Вход
Давление

охлаждающей воды,
подводимой
к клапану
т
Нормальное
η »
о Нулевое
Открытие
клапана

Нормальное
Большое
Выход
Расход
охлаждающей,
жидкости
из клапана
Нормальный:
Высокий
Нулевой
2.12. Таблица решений для управляющего устройства клапана
Вход
Температура
входного потока
азотной кислоты
Ρ Нормальная
Выход 1
Открытие клапана
Нормальное
| Вход
Температура
входного потока
азотной кислоты
q Высокая
Выход
Открытие клапана
Большое
Дерево отказов, показанное на рис. 2.32, получено с помощью
процедуры, использованной в последнем примере. Из рис.
2.32,видно, что одновременное появление трех исходных событий 1, 2 и 4
невозможно, поскольку событие J противоречит событию 4. Таким
образом, можно исключить ветвь I, имеющую нулевую вероятность,,
из логического знака «ИЛИ» и получить рис. 2.33. Видно, что
событие «насос остановился» является единственным отказом,
приводящим к конечному событию.
Можно упрощать дерево отказов как в процессе его
построения, так и после того, как оно было построено. Основные виды
упрощений показаны на рис. 2.34 и 2.35. Упрощенное дерево отказов,
обыадф интуитивно более понятно.
93

Высокая температура
Оыходного потопа
кислоты
Стропа а Ветбьн
Стропа g Ветдь II
Нормальный расход
охлаждающей беды к
теплообменнику
Стропа т
Нормальное
открытие
клапана.
Нормальное давление
охлаждающей
боды к клапану
Нуледой расход
охлаждающей боды
π теплообменнику
Строка к
Нулебое давление
охлаждающей боды
κ клапану
Строка i
Строка ρ
Стропа Ь
Нормальная
температура
дходного
потока
кислоты
^ис. 2.32. Дерево отказов для системы охлаждения, имеющей контур
регулирования с прямой связью
•94

Высокая температура
вытекающего потока кислоты
Нулевой расход
охлаждающей воды к теплообменнику
Нулевое давление
охлаждающей воды к клапану
Рис. 2.33. Упрощенное дерево отказов
для системы охлаждения, имеющей
контур регулирования с прямой связью
Имеются лишь
незначительные различия между
автоматизированным методом построения
дерева отказов, использующим
соединения таблиц решений или
соединения мини-деревьев
отказов, так как мини-деревья
должны быть превращены в
табличную форму перед вводом данных
в ЭВМ. Метод синтеза дерева
отказов, разработанный Дж. В.
Фусселем [14], очень похож на
описанный выше, если вообще не
идентичен методу,
использующему таблицы решений и примененному в программе CAT.
2.7. ПОСТРОЕНИЕ ДЕРЕВА ОТКАЗОВ ДЛЯ СИСТЕМ
СО СЛОЖНЫМИ КОНТУРАМИ РЕГУЛИРОВАНИЯ
Системы, к которым относятся химические предприятия,
включают большое количество контуров регулирования. В данном
разделе разрабатывается графический метод моделирования таких
систем, основанный на методе прохождения сигнала, и применяется
Логический
элемент
Ρ
^> г
Логический
элемент
Логический
элемент
Ρ
<=>
Логический
элемент
Логический
элемент
Ρ
<=>
1 Логический
элемент
Ρ 1
ζ
*
Ι I Логический 1
1 элемент
Ι Ρ J
Логический
элемент
=> J
Рис. 2.34. Существенное упрощение с Рис. 2.35. Существенное упрощение с
помощью ветви, имеющей нулевую помощью ветви, имеющей очень вы-
вероятность сокую вероятность
95

Рис. 2.36. Граф прохождения сигнала Рис. 2.37. Граф прохождения сигна
ла, имеющий замкнутый контур
правило Масона для оценки воздействий, вызываемых контурами
регулирования. Строятся деревья отказов для контуров
регулирования с помощью анализа причин отказов, вызывающих изменения
в проводимости замкнутых контуров.
2.7.1. Графы прохождения сигналов
Граф прохождения сигнала состоит из узлов и соединяющих их
направленных ветвей. Каждый узел представляет какой-то
переменный параметр процесса, такой, как расход, давление, уровень
и т. д. Каждая ветвь характеризуется постоянной, называемой
проводимостью ветви G.
Граф прохождения сигналов определяет зависимости между
переменными параметрами процесса в узлах; лучше всего это можно
проиллюстрировать на простом примере. Пусть переменный
параметр Хг, как показано на рис. 2.36, определяется следующим
соотношением:
Χ3=Σ (проводимость ветви, направленной к углу Х3)-(значение
предыдущего переменного параметра ветви) =3^x4-5^2.
Аналогично, графу прохождения сигнала, показанному на рис.
2.37, соответствует следующее соотношение:
Xz=Gxx2\
Х4 =0^3;
ХЪ=НХА.
Данный граф прохождения сигнала моделирует систему
регулирования с отрицательной обратной связью, систему регулирования
при положительной проводимости Я. Переменные Хи Хг, ^з> ^4 и
Хь обозначают соответственно следующие параметры: задающий
входной сигнал, сигнал ошибки, управляющий сигнал,
регулируемую переменную, сигнал измерения.
96

Сигнал
расхода fpc
шшт Выходной поток
Рис. 2.38. Многоконтурная система регулирования:
/ — насос; 2 — управляемый клапан Л; 3 — клапан С (нормально закрыт); 4 — поток; 5-
бак; 6 — перепускной клапан В (нормально закрыт)
2.7.2. Графы прохождения сигналов для систем
с многоконтурным регулированием
Рассмотрим многоконтурную систему регулирования,
показанную на рис. 2.38. Перепускные клапаны В η С обычно закрыты. В
системе регулирования, структурная схема которой показана на
рис. 2.39, с помощью внешнего контура регулирования
контролируется уровень жидкости в баке, и регулятор уровня определяет
входной сигнал Qr для внутреннего контура регулирования,
являющегося вторичной системой управления потоком. Внутренний контур
управления контролирует расход входного потока Q и функционирует
таким образом, чтобы регулировать параметр Q в соответствии с
начальным его значением Qr-
Начальное значение
УРС-Я Ошибки
Lr
Шкапа U^jC
1— J 4 η.
*5
Ъ
3aJa
сигнал
>ровня
• о
ющий
рссхода
\ /
Gtuufaa L
расхода
Регулятор \ цг tr \
уровня —Ы >—Η гЩ^тпр
4- ^г ι л то ка
ь
Датчан
уровня
J
Ί_
\
9„
Oj
Датчик
расхода
И,
1ткоытие
клапана
V
$>
УпраБг.тцай
' клапан
Расход
Q
et
<. i
Уровень
бак
П.
L
и1
»1
Рис. 2.39. Структурная схема многоконтурной системы регулирования
4—533 97

3:
«χ»
Si
Ο)
to
«А
S-4
1?
5*
$::»
*b
4
//
//
l/
//
//
Отклонение
Входного
потока d
Рис. 2.40. Зависимость между расходом
входного потока и уровнем
В соответствии с общепринятым
правилом принимаем, что в
структурной схеме переменные
параметры вх/вых представляют собой
отклонения от нормального состояния.
Если нормальный уровень
жидкости равен 5 м, то значения L=\ и
L = — 1 соответствуют уровням,
равным 6 и 4 м соответственно.
Соотношение вх/вых для каж-
'/ ta Η*άζ дого 'блока аппроксимируется линей-
| /L-JL ной зависимостью отклонения от
{^у^/Ч установившегося значения.
Например, нелинейная зависимость для
установившегося состояния между
расходом Q и уровнем L показана
штриховой кривой на рис. 2.40. Ее
линейная аппроксимация представлена сплошной линией.
Следовательно,
Ох =32 и Z = 32Q.
Та ким образом, из структурной схемы, представленной на рис.
2.39, вытекают следующие алгебраические уравнения, по которым
строятся графы, показанные на рис. 2.41:
tg Θ*31
Регулируемый расу од
Входного потока
Mr=G5Lr;
El=Mr-L„
Qr=04Ei;
Eq=Qr-Qm
V=G3Eq;
Q=02V;
Lm=HtL;
Qm = HqQ.
Рис. 2.41. Граф прохождения сигнала для многоконтурной системы
регулирования
98

Проводимости при нормальном режиме работы
Ох =32; <?6=1;
02= 0,0031; Η ι=\;
<?з = Ю000; Яд=1.
04=3,2;
2.7.3. Моделирование исходных отказов
Граф прохождения сигналов, показанный на рис. 2.41, имеет
только один переменный 'параметр внеигнего источника Lr —
начальное значение сигнала на входе внешнего контура регулирования.
Далее с целью моделирования исходных отказов вводят еще
десять дополнительных переменных параметров источников: Х\...
Χίο. Результирующий граф прохождения сигналов, содержащий
все переменные параметры источиков, показан на рис. 2.42. Если
клапан В открывается самопроизвольно, то входной поток
увеличивается, и уровень в баке повышается, в результате чего бак
переполняется. Отказ этого перепускного клапана можно
промоделировать с помощью переменного параметра источника Х2, потому
что такой отказ создает дополнительный входной поток: Х2 = 0,
если перепускной клапан закрыт, и ^2>0, если этот клапан открыт.
С другой стороны, самопроизвольное открытие клапана С, не
моделируется с помощью переменного параметра Х2, т. к.
получаемое в результате увеличение расхода входного потока не может
контролироваться датчиком расхода. Отказ клапана С, однако,
может быть представлен с помощью переменного параметра источ-
Рис. 2.42. Модифицированный граф прохождения сигнала, учитывающий возму-»
щения в системе управления
99

ника Х\, т. к. дополнительный входной поток косвенно
контролируется датчиком уровня. Смысл других вводимых переменных
параметров заключается в следующем:
Хз: отказ регулятора потока (в сторону увеличения);
Х^: отказ сравнивающего устройства расхода (в сторону
увеличения) ;
Х$: отказ регулятора уровня (в сторону увеличения);
Х6: отказ сравнивающего устройства уровня (в сторону
увеличения);
Xj\ отказ задающего устройства начального уровня (в
сторону увеличения);
Х$: ошибка оператора (высокое значение задаваемого уровня);
Х9: отказ датчика расхода (в сторону уменьшения);
Хм: отказ датчика уровня (в сторону уменьшения).
Проводимости также отклоняются от своих нормальных
значений, когда происходят исходные отказы. Для простоты рассмотрим
только отказы контура регулирования типа обрыва, что
эквивалентно уменьшению проводимостей до нуля. Например, #/ = 0
показывает, что датчик уровня заблокирован, поэтому сигнал датчика
стал нечувствительным к фактическому уровню жидкости в баке.
Сочетание нулевых проводимостей с переменными
параметрами источников можно использовать для представления широкого
набора исходных отказов. Например, сочетание (#/ = 0, Хю =—6)
показывает, что датчик уровня остановился на нижнем уровне и
это привело к увеличению начального значения входного потока
Qr, несмотря на высокий уровень жидкости в баке. Такая ситуация
создается в результате обратного действия наружного контура
регулирования.
2.7.4. Правило Масона
Пусть X есть переменный параметр источника. Обозначим
через У пониженное значение, или промежуточный переменный
параметр. В соответствии с правилом Масона
где D — определитель графа прохождения сигнала; Rk —
проводимость пути k от источника X до У; /^ — определитель частичного
графа, который не касается пути k.
Принцип суперпозиции принимается в тех случаях, когда
требуется получить выражение для У через несколько переменных
параметров источников Χι.
Определитель графа D находим с помощью выражения
Я = 1-2Л+2/>а+2/>8+..·, (2.2)
1 2 3
где Рт — произведение проводимостей т независимых контуров,
т. е. контуров, не имеющих общих узлов. Для иллюстрации прави-
100

ла Масона проанализируем граф прохождения сигнала,
изображенный на рис. 2.42. Имеется в общей сложности 10 источников ΑΊ...
Jfio- Выразим параметр снижения L через параметры этих
источников.
Граф имеет два контура.
Контур 1: Eq-V-Q-Q^
Контур 2: Ег-Qr-Et-V-Q-L-Ln.
Проводимость каждого контура определяем произведением про-
водимостей элементов контура.
Контур 1: G3G2HQ(-l).
Контур 2: σ4(1)03620ι//ζ(-1).
Оба контура не являются независимыми, потому что они имеют
общие узлы Ед, V и Q; таким образом, суммированием двух или
большего числа контуров пренебрегаем:
D = 1 - 2 pi =l + °з<?2Я, + 040 AGitf,-
ι
Имеется единственный путь от Х3 до L, т. е. Х3—Lr—Мг—Ει—
—Qr—Eq—V—Q—L. Следовательно, проводимость этого пути Rk
для источника Lr есть (1) G5(l)G4(l)G3G2Gi. Определитель Dk
частичного графа находим с помощью уравнения (2.2), применяя его
к контурам, не касающимся указанного пути. Так как контуры 1 и 2
касаются данного пути, определитель Dk есть 1—0=1, и правило
Масона дает в результате следующее выражение:
, __ XsG5G4G3G2Gv l
ϊ + G3G2Hq + GAG3G2GxHi ·ч
Для источника Х\ имеется единственный путь к L, а именно
Х\—L. Проводимость этого пути для источника равна единице.
Контур 1 не касается этого пути, а контур 2 касается. Таким
образом, определитель Dk для этого источника равен l + G3G2Hq и дает
в результате
L_ Xv\{\ + GzG2Hq)
1 + G3G2Hq + GAG3G2GxHi'
Подобным образом можно получить проводимости Rk и
определители частичных графов Dk для других источников, нриведенных
в табл. 2.13. Применяя принцип суперпозиции и правило Масона
для всех 10 источников, получим
L= ™™b,t (2.3)
знаменатель
где знаменатель равен (l-\-G3G2Hq)X1-{-G1X2-{-G<fi1X3 +
+ Gfifr XA+QfifllXb+QiQfi£lXt+Q&£4)lX7+
101

-\Ofpfi3G2GiX!i—G3G'plX9—Qi(j£2GlXXQ, а числитель
0=1 + GzG2Hq+QflfifiiH,.
2.13. Проводимости путей и определители частичных графов для 10 источников

Источник
Χι
Х<1
Хъ
Ха
Х5
Хв
Х7
Xs I
*9
-*Ίο
Путь
X\ — L
X2-Q — L
Xz—V-Q-L
X4—EQ — V-Q-L
X5-Qr-EQ-V-Q-L
Xs—E^Qr — Eq- V-Q—L
Xj-Mr—E^Qr-Eg-
—V-Q—L
-Eq~V—Q — LP
X9-Qm-.EQ-V-Q-L
Xiom— E\LL—Qr — EQ —
—V—Q—L
«k
1
Gi
G2GX
GzG2Gx
G3G2G1
G/fizGzGi
G4GSG2P1
G5GAG3G2Gi
— G3G2Gi
— G/fi^Gi
Контур
Контур 1
—
—
—
—
—
—
—
—
Dk
1 + GzG2Hq
2.7.5. Определение конечных событий
Конечное событие дерева отказов можно определить с помощью
ряда неравенств для переменных параметров в узлах графа
прохождения сигнала. В данной многоконтурной системе управления
принимаем, что бак имеет высоту 10 м, нормальный уровень
жидкости в баке равен 5 м и конечным событием является
переполнение бака жидкостью. Переменный параметр L (см. рис. 2.42) есть
отклонение от нормального уровня; таким образом, конечное
событие выражается неравенством
Z>5. (2.4)
2.7.6. Классификация отказов типа обрыва в контурах
регулирования
Отказ контура 1 типа обрыва происходит тогда, когда одна из
его проводимостей в наборе (G3, G2, Hq) принимает нулевое
значение. Аналогично, отказ типа обрыва контура 2 возникнет, если
одна из полного набора проводимостей (G4, G3, G2, G\, Hi)
уменьшается до нуля. Имеется четыре возможных состояния контуров.
1. Оба контура (1 и 2) находятся в нормальном состоянии. Все
проводимости имеют нормальные значения, соответствующие
приведенным разд. 2.7.2. Определитель D графа прохождения сигналов
D = 1 + G3G2Hq + GAQfi2GiHi £s 3200.
102

2. Контур 1 с обрывом, а контур 2 находится в нормальном
состоянии. Необходимым и достаточным условием для этого отказа
является равенство Hq = 0y так как при G2 = 0 или G3 = 0
возникает отказ типа обрыва как в контуре 2, так и в контуре 1. Другие
проводимости, за исключением Hqt считаются нормальными1.
Определитель соответствующего графа
D=l+G3G2HQ^32.
3. Контур 1 находится в нормальном состоянии, а контур 2 с
обрывом. Условием отказа являются равенства #/ = 0, или G4 = 0, или
Gi = 0. Определитель соответствующего графа
4. Оба контура (1 и 2) отказали. Это может быть вызвано тем,
что одна из следующих проводимостей равна нулю:
G3 = 0, G4 = 0, Hq=0 и G4=0, Hq=0 и G =0, Hq = 0 и #/ = 0.
Определитель данного графа
/3=1+0 = 1.
2.7.7. Представление уровня L через переменные
параметры источника
Для каждого из четырех случаев, приведенных в разд. 2.7.6,
уровень L выражаем через переменные параметры источника, при этом
используем уравнение (2.3). Результаты анализа приведены в табл.
2.14. Например, при одновременном отказе типа обрыва контура 1
и контура 2, вызываемом тем, что G2=0, справедливо соотношение
L=Χ. ι + о1Х-2'
2.7.8. Дискретное представление переменных параметров
источника
Каждый переменный параметр источника представляем в виде
набора дискретных значений, характерных для данных видов
исходных отказов. Когда эти значения определены, исходные отказы
определены количественно.
В табл. 2.15 показаны результаты подобного дискретного
представления. При нормальном режиме работы все проводимости
имеют номинальные значения и все переменные параметры в узлах
равны нулю. Рассмотрим сначала уровень L. Для оценки
воздействия параметра Х\ на L предположим, что значение
предшествующего переменного параметра Q остается нулевым. Если исходный
1 Можно доказать, что отказы, связанные с другими проводим остями,
вносят свой вклад в успешное функционирование системы. Таким образом, отказав*
шая система останется в неисправном состоянии, даже если заменить
проводимости, соответствующие состоянию отказа, на нормальные значения. Это
говорит о том, что имеется избыточность, связанная с отказами в значениях
проводимостей, и ими можно пренебрегать (см. разд. 2.7.10).
103

[ены
3
«=с
0)
О-
е
о
еа
о
CU
>»
Η
S
о
Μ
ее]
еа
2
о.
о
ее]
е
S
н
2
отказ
£
Γί
U
О
Μ
оа
1НИК4
В"
О
s
S
2
о.
s
ее]
Оя
ее]
О
2
s
S
о
3
о-
о
с
через
^ I
к
ОВН
о.
>»
к ί
Я !
лен]
са
ее]
о
8
о.
^
о*
к
О
X
X
η
α
3
н
а
Я"
X
«&
♦&
СП
н
о
о
2
§
о
о
α
и
<υ
Ξ
£
Ю ^>
§S
4 н
О
0
<Γ
•
α
«Β
α
t»
α
<3
■β
α
··
α
«
«
<?
Ψ—Ι
ι
со
ι
Ι
Ψ—Ι
ψ^
L ,
ψ-^
00
ο
со
ο
_*
00
ο
Ο
ο
Ο ι
ο
ο
•^
ο
ο
<L>
κ Ι
**^
ι
00
ι
Ι
ψ·*
Μ
L ,
_^
00
ο
со
ο
«^
8
<->
Г-5
Ο
ο
ο
ο
«^
00
С*5
ο
ο
ο
II
jr Ι
*-
Оц
>»
^
S
* ι
°
°
~ ο ο
ι
1°ί
«-> © Ο
ο
ο ο ο
ο
*"^
<-> ο ο
Ο
•^
~м о ~
00 00
~ ο ~
00 00
^ ^
00 00
S ° 8
ο ο
-* ο ~
*-^ ν^ ν^
° ο ο
ιι ιι ιι
CN
Оц
>»
Η
κ
ο
* ι
°
<^>
Ο Ο Ο Ο OJ
7
ί~>> ο
Ο Ο Ο θ5 θ5
II
ο
ο
О О О О СЧ
00
<—>
ο ο ο ο ο
СЧ
00
ο ο ο ο ο
СЧ
00
(—> Г-5 Ι
Ο Ο Ο Oi θ5
о о о о о 1
S S
о σ> ο σ> ел |
о о о |
о о о 1
<М OJ О <М OJ
00 00 00 00 Ι
« Ψ—Ι Ψ—Ι Ψ—Ι Ψ·* I
о о о
II II II
6V£
Я S Si
о о ° ° °
II II II ιι ιι
<N CO J* ^ ,**
(3 О ^ ξ Ϊ;
2
α.
>>~,
f-. CO
§«
*- I
104

отказ — открытие клапана С увеличивает уровень на 4 м, то этот
отказ характеризуется параметром Х\, принимающим значение,
равное 4.
2.15. Дискретное представление переменных параметров источников
8 ·
&«2
*1
*2
Хз
ХА
X*
Хе
*7
χ*
Х9
Хю
Элемент
Клапан С
Клапан В
Регулятор
управления потоком
Сравнивающее
устройство
расхода
Регулятор уровня
Сравнивающее
устройство уровня
Задающее
устройство
Оператор
Датчик расхода
Датчик уровня
шение
я
СО
0
4
0
0,1
0
32
0
0,1
0
0,1
0
3
0
6
0
3
! 6
0
—0,1
0
—6
Исходный отказ
Нет
Полностью открыт
Полностью открыт
Нет
В сторону увеличения
Нет
В сторону увеличения
ι Нет
В сторону увеличения
Нет
В сторону увеличения
Нет
В сторону увеличения
Нет
Большая уставка
Очень большая
уставка
Нет
В сторону
уменьшения
Нет
В сторону
уменьшения
Количественная оценка
Уровень увеличился на
4 м
Входной поток
увеличился на 0,1 м3/с
Входной поток
увеличился на 0,1 м3/с
Сравнивающее
устройство — в сторону
увеличения на 0,1 м3/с
Задающий сигнал
расхода — в сторону
увеличения на 0,1 м3/с
Сравнивающее
устройство — в сторону
увеличения на 3 м
Устройство — в сторону
увеличения на 6 м
Задаваемое значение —
в сторону увеличения на
3 м
Задаваемое значение —
в сторону увеличения на
6 м
Датчик — в сторону
уменьшения на —0,1 м3/с
Датчик — в сторону
уменьшения на —6 м
В качестве другого примера рассмотрим расход входного
потока Q. Переменным параметром источника для Q является Х2. Для
того чтобы оценить эффект, вызванный открытием перепускного
клапана В, предположим, что значение предшествующего
переменного параметра V остается нулевым и что открытие
перепускного клапана увеличивает расход входного потока на величину,
равную 0,1 м3/с. Тогда отказ моделируем при помощи равенства Х2 =
= 0,1, как это показано в табл. 2.15.
105

Трудноуловимая ситуация может быть описана с помощью
переменного параметра Х$. Если регулятор расхода разрегулирован
в сторону увеличения потока, то управляющий клапан пропускает
больший входной лоток Q. Таким образом, отказ1 регулятора
расхода моделируется «с помощью параметра Х$.
Предположим, что при данном отказе увеличивается расход
входного потока на 0,1 м3/с при условии сохранения нулевого
значения предшествующего переменного параметра Eq. Тогда отказ
характеризуется
ЛГ3=0,1/(?2=0,1/0,0031=32.
Нет необходимости заменять положительные значения дли
переменных параметров Xq и Хм, так как коэффициенты а9 и аю в
табл. 2.14 не являются положительными. Положительные значения
параметров Хд и Х\0 способствуют успешному функционированию
системы, предотвращая переполнение бака. Другими словами,
даже если заменить эти положительные значения на нормальные
значения, т. е. нулевые, отказ системы будет иметь место, если
имеются другие отказы элементов.
Суммарное воздействие данных ненулевых переменных
параметров источника на величину уровня L не равно воздействию
параметров, приведенных в последнем столбце табл. 2.15; это
объясняется тем, что последний столбец получен в предположении о
нулевых значениях предшествующих переменных параметров
источников, данное предположение принято с целью оценки
воздействий, производимых основными отказами в системе. Окончательные
воздействия необходимо определить с помощью уравнений уровня
(см. табл. 2.14).
2.7.9. Определение исходных отказов, ведущих к опасным
состояниям в системе
Для многоконтурной системы регулирования уровня прежде
всего рассмотрим случай без учета отказов типа обрыва,
представленных в табл. 2.14. Уровень определяем по формуле
L=^akXk=0filXl+0filX2+0,00003lX3 + 0,3lXA +
k +0,31*Б+*б + *7+*8-0,31*д-*10.
Конечное событие определяем с помощью неравенства (2.4).
Определив значения Zk как
Z1=0,01^1, Z2=0,0Uf2, Z3 =0,000031^3,
Z4=0,31Ar4, Z5 =0,31^, Zq=X6, Z7=X7,
Z8=X8, Z9=—0,3L\T9, ΖΧο=—Xw,
1 С другой стороны, отказ насоса из-за перегрева должен моделироваться
с помощью параметра Х2, так как при этом увеличивается расход входного
потока Q без дополнительного открытия управляющего клапана.
106

Рис. 2.43. Классификационное дерево для
нахождения сочетаний, удовлетворяющих
неравенству (2.5)
Ы6.
Ζ8*δ
Zg*3
конечное событие можно
представить следующим неравенством:
L = Zl + Z2+Z3 + Z4+Z5+Z6+
+Z7+Z8+Z9+Z10>5. (2.5)
Значения параметров Xk из табл.
2.15 переписываем в виде
ZlG{0; 0,04}; Ζ26Ξ{0; 0,001};
Z3e{0; 0,001);
Z4£{0; 0,031); Ζ5£{0; 0,031);
Z6e{0; 3); Ζ7^{0; 6);
Z8G{0; 3; 6); Z9<E{0; 0,031);
Z10<E{0; 6). (2.6)
Сочетания параметров Z&, удовлетворяющих неравенству (2.5),
могут быть найдены с помощью классификационного дерева,
показанного на рис. 2.43. Нет необходимости рассматривать все
возможные сочетания. Наибольший из параметров Zk, т. е. Ζιο = 6,
проверяем в первую очередь при помощи классификационного дерева.
Это значение удовлетворяет неравенству (2.5), и данный результат
успешного поиска заключаем в круг, как показано на рис. 2.43.
Затем оцениваем значения, отличные от Ζι0=6. Наибольшим из
оставшихся значений является Z8 = 6. Как и раньше, неравенство
(2.5) удовлетворяется, поэтому опять используем круг как символ
успешного поиска.
Аналогичным образом находим узел С. На ступени α
классификационного дерева нельзя утверждать, справедливо ли
неравенство или нет. Исследуем дополнительные параметры и находим
следующее значение Ζ6=3. Неравенство (2.5) при этом
удовлетворяется, поэтому снова можно использовать круг как символ
успешного лоиска (узел/)).
Неравенство не может удовлетворяться для узла Е, так как
даже если каждый из оставшихся переменных параметров примет
наибольшее значение, уровень L остается меньше чем 5:
1 = 0,04 + 0,001 + 0,001 +0,031 + 0,031 + 0 + 0 + 0 +
+ 0,031 + 0 = 0,135<5.
Найденный в результате поиска узел отказа Ε обозначен
крестом. Классификационное дерево, изображенное на рис. 2.43,
дает четыре сочетания из Zk, удовлетворяющих неравенству (2.5);
они могут быть выражены через параметры Хк.
Узел A (Xi0=—6)—показания датчика уровня в сторону уменьшения.
Узел В (^8=6)—ошибка оператора (большое значение уставки). Узел С
107

Перелиб
Рис. 2.44. Часть дерева отказов для многоконтурной системы регулирования,
относящаяся к переливу
(X7=Q)—сигнал задающего устройства в сторону увеличения. Узел D (Х8=3,
Х6=3)—ошибка оператора (большое значение уставки) и сравнивающее
устройство уровня настраивается в сторону увеличения.
Часть дерева отказов, его крайняя левая часть, показанная на
рис. 2.44, теперь полностью построена. Для других случаев,
приведенных в табл. 2.14, используется та же процедура: найденные
сочетания Xk, удовлетворяющие неравенству (2.4), показаны в табл.
2.16. После этого можно построить полное дерево отказов для
системы.
2.7.10. Замечания
В разд. 2.7.6 каждое сочетание отказов типа обрыва в контурах
управления было детально определено с помощью необходимого и
достаточного набора проводимостей, равных нулю, а проводимос-
тям, не входящим в эти наборы, присваивались номинальные
значения. Теперь подтвердим правомерность такого подхода.
Предположим, что для случая 2, рассмотренного в разд. 2.7.6,
произошел отказ, связанный с параметром Gs, а также отказ, вли-
108

2.16. Сочетания переменных параметров источников, вызывающих
опасные состояния
Обрыв в
контуре
Нет
Контур 1
Контур 2

Контуры 1 и 2
Нулевые
проводимости
Нет
ι Я<7 = 0
G4 = 0
G2 = 0
α3 = ο
Hq = 0; <?! = 0
Hq = 0; G4 = 0
Я</= 0; Я/ = 0
Сочетания переменных параметров источников,
1 вызывающих отказы системы
{*10 = -6}, {*8=6}, {*7=6}, {^8=3, Х6=3)
{Л-10 = -6}, {Х8=6}, {Х7=6}. {^8=3, *6=3}
> {*10 = -6}, {*8=6}, №=3}, {^7=6},
{X6=S}, {ΑΊ-4, *4=0,1}. №=4, ЛГ9= —0.1},
{^4=0,1, ^5=0,1}, №=0,1, Х9 = — 0,1},
{^5=0,1, АГ9 = —0,1}
Нет
{*ι = 4, ^4 = 0,1}, № = 4, ^5 = 0,1},
№ = 4, ЛГ9 = _0,1}, {Х, = 0,1, ^6 = 0.1},
№ = 0,1, *9 = — 0,1}, {*5=0,1, *9 — -0,1}
№ = 4, ЛГ2 = 0,1}
№ = 4, ^2=0,1}, № = 4, ^з = 32},
{*2=0,1, ^з = 32}
Нет
{А-9 = -0,1}, {^5 = 0,1}, {Х4 = 0,1},
№ = 4, Хг = 0А}, {Χι = 1, *з = 32},
№ = 0,1, ^з = 32}
№0 = -6}, {*9 = _ο,1}, {Х8 = 6},{А-8 = 3},
№ = <>}. {^6 = 3}, №'=0,1}, {^4=0,1},
№ = 4, *2 = 0,1}, {Χι = 1, ^з = 32},
№ = 0,1, ^з = 32}
яющий на параметр Hq. Обозначим уровень при #д=0 через L\.
Тогда из данных, приведенных в табл. 2.14, следует, что
Lx =0,00031ΛΊ+0,01*а+0,000031*8 4- 0,31*4 -f 0,31*5 +
+*6+*7+*8-0,31*9-*10. (2.7)
Обозначим через L уровень при С?5 = 0 и одновременно при Hq=0.
Тогда, используя формулу (2.3), имеем
Ζ2=0,00031ΑΊ + 0,01*8+0,00003 lJf8+0,31Jf4+
+ 0,31*5+*6+*7 + 0*8-0,31*9-*10.
Так как параметры от Х\ до Х$ имеют неотрицательные значения,
а Х9 и Хю — неположительные, справедливо неравенство L{^L2.
109

Это неравенство показывает, что уровень понижается за счет
отказа проводимости Gs. Другими словами, этот отказ вносит свой
вклад в успешное функционирование системы. Таким образом,
если сочетание {Xi, Xf, Hq = 0, Gs = 0} является достаточным
условием для переполнения бака, то сочетание {Xi, Xf, Hq=0> G5 —
нормальное значение} также вызывает опасное состояние в системе.
Последнюю причину можно определить, придавая нулевое
значение Hq и оставляя величины других проводимостей нормальными,,
как было показано в разд. 2.7.6. Так как считается, что нормальные
события происходят с высокой степенью вероятности, можно
упростить сочетание {Xi, X}-, Hq = 0, G5 — нормальное значение}, получая
{Xi, Xf, Hq = 0}. Эта упрощенная причина использовалась при
построении дерева отказов.
При определении причин отказов типа обрыва контуров
регулирования следует сосредоточить внимание на выборе необходимых
и достаточных сочетаний нулевых проводимостей. Другие
избыточные проводимости, равные нулю, не следует вводить в модель,
поскольку они могут способствовать успешному функционированию
системы. Следовательно, окончательный набор причин
возникновения опасностных ситуаций в системе сокращается и содержит
только такие варианты, которые не имеют избыточных нулевых
проводимостей. Избыточные отказы можно рассматривать в смысле их:
влияния на успешную работу как маловероятные события. В
действительности отказы нельзя исключать.
Разработанный метод основан на использовании моделей
системы в виде графов прохождения сигналов. Любая модель является
лишь приближенным описанием реальной системы. Таким образом,,
полученное здесь дерево отказов необходимо подвергнуть
дополнительному анализу, используя имеющийся опыт и более точные
модели. Метод построения дерева отказов, описанный здесь, следует
рассматривать в основном как полезный подход для выявления
причинных взаимосвязей в сложных системах, содержащих контуры
регулирования.
Задачи
2.1. Имеются четыре путевые станции (рис. 2.45) по маршруту, проходящему
из Хэнгменз-Хилл к Плейсер-Галч (названия взяты из задачи Дж. Фусселя).
Отрезки данного маршрута равны:
Хэнгменз-Хилл — Станция 1—20 миль
Станция 1 — Станция 2 — 30 миль
Станция 2 —Станция 3 — 50 миль
Станция 3 —Станция 4 — 40 миль
Станция 4 — Плейсер-Галч — 40 миль.

Рис. 2.45. Система станций:
/ — Хэнгменз-Хилл; 2 — станция /; 3—станция 2; 4 — станция 3; 5 — Роберт-Руст; 5 —стан·
ция 4\ 7 — Плейсер-Галч
Максимальное расстояние, которое можно преодолеть без смены лошадей,
выполняемой только на путевых станциях, составляет 85 миль. Лошади, повозка
меняются при каждой возможности, однако станции очень часто подвергаются
налетам, и лошади уводятся разбойниками.
Нарисовать структурную схему анализа надежности и дерево отказов для
системы станции.
2.2. Построить дерево отказов для цепи, изображенной на рис. 2.46 с
конечным событием «лампа не светит», и определить граничные условия.
Рис. 2.46. Система освещения:
/ — выключатель; 2 —
предохранитель; 3— лампа накаливания; 4 —
кабель; 5 — источник питания
-av<;
Начальные условия: выключатель включен. Недопустимые события: отказы
внешние по отношению к системе.
Происходящие события: отсутствуют.
2.3. Построить дерево отказов для двухконтурной гидравлической тормозной
системы автомобиля, показанной на рис. 2.47.
ш

Состав системы: главный цилиндр в сборе, трубопроводы передних и задних
колесных тормозов, колесные цилиндры, узлы с колесными тормозными
колодками.
Рис. 2.47. Тормозная система:
/ — педаль; 2 — главный цилиндр;
3 — колесо; 4 — трубопровод; <5 —
тормозные колодки; 6 — колесный
цилиндр
Конечное событие: полная потеря возможности торможения.
Начальные условия: тормоза отпущены.
Недопустимые события: отказы, внешние по отношению к системе.
Происходящие события: стояночный тормоз не работает.
2.4. Построить дерево отказов для системы бытового нагревателя воды в
задаче 1.6 гл. 1. В качестве конечного события взять разрыв водяного бака.
Составить перечень вторичных отказов.
2.5. Переключатель взведения электрической системы на рис. 2.48 включен
для постановки схемы на самоблокировку и включения лампы освещения. Гра*
ничные условия системы для построения дерева отказов следующие.
Конечное событие: нет тока в цепи 1.
Рис. 2.48. Релейная схема:
/ — источник питания 2; 2 —
переключатель взведения; 3—реле А%
4 — реле В; 5 — лампа накаливания;
6 — выключатель; 7 — источник
питания /
±'
-о о—
Цепь Ζ
ψ
Цепь 1
Ьь
.χ
Начальные условия: выключатель включен. Переключатель взведения
кратковременно включается и затем выключается.
Недопустимые события: отказы проводки, ошибки оператора, отказ
выключателя.
112

Происходящие существующие события:' переключатель взведения выключен.
Нарисовать дерево отказов, обратив внимание на его конечную часть (из
отчета Fussell J. В. «Particularities of Fault Tree Analysis»).
2.6. Система (рис. 2.49) состоит из двух электрических нагревателей,
которые могут отказать при замыкании на землю. Каждый нагреватель имеет
выключатель, подключающий его к источнику питания. Если любой нагреватель
отказывает при включенном выключателе, то возникающее в результате этого
короткое замыкание вызывает, в свою очередь, короткое замыкание источника
питания и полный выход системы из строя.
Если один из выключателей отказывает в разомкнутом состоянии или
ошибочно выключается до возникновения отказа нагревателя, то только эта часть
системы отказывает и последняя работает на половину мощности.
Рис. 2.49. Схема к
задаче 2.6
Π
JLha
Источник
литания
Выключатели
nSB
г
Нагребатели
JLhb
Нарисовать дерево отказов и определить события, которые взаимно
исключают друг друга.
2.7. Назначение системы, показанной на рис. 2.50 — обеспечивать освещением
с помощью лампы накаливания. При включении ручного выключателя контакты
реле замыкаются, а контакты автоматического выключателя, который здесь
принимается в виде реле с нормально замкнутыми контактами, размыкаются. Если
контакты реле разомкнуты, свет погаснет, а оператор немедленно выключит
ручной выключатель, что, в свою очередь, вызывает замыкание контактов автомати-
тического выключателя и восстанавливает освещение. Граничные условия для
системы в этом случае следующие.
X
Цепь А
Цепь в
о
^
5 цепь с
б
h
Рис. 2.50. Система освещения:
/ — источник питания 1; 2—лампа
накаливания; 3 — реле; 4 —
автоматический выключатель;
5—источник питания 2; 6 — ручной
выключатель
Конечное событие: нет освещения.
Начальные условия: ручной выключатель включен.
Недопустимые события: ошибки оператора, отказы в проводке, вторичные
отказы.
Нарисовать дерево отказов и выявить зависимые исходные события.
2.8. Используя таблицы решений, приведенные в данной главе, составить
дерево отказов для системы теплообменника (см. рис. 2.28) с ненагруженным
резервным насосом, включающимся при отказе основного насоса.
113

СПИСОК ЛИТЕРАТУРЫ
1. Haasl D. F. Advanced Concepts in Fault Tree Analysis, System Safety
Symposium, June 8—9, 1965, Seattle: the Boeing Company.
2. Lambert Η. Ε. Systems Safety Analysis and Fault Tree Analysis,
UCID-16238, 31, May 9, 1973.
3. Fussell J. Fault Tree Analysis — Concepts and Techniques. — In: Generic
Techniques in Reliability Assessment, Henley E., Lynn J. (eds.) Noordhoff,
Publishing Co., Leyden, Holland, 1976.
4. Ogunbiyi E. Application of Decision Tables to Risk Analysis Studies,
Ph. D. Thesis, Department of Chemical Engineering, University of Houston, 1980.
5. Personal communication.
6. Fussell J. В., Aber E. F., Rahl R. G. On the Quantitative Analysis of Priority
AND Failure Logic, IEEE Trans, on Reliability, R-25, N. 5, December, 1976.
7. Wells G. L., Seagrave С J., Whiteway R. M. С Flowsheeting for Safety,
Inst. Chem. Engrs., Warwickshire, England, 1979.
8. Haasl D. F. Institute for Systems Sciences, Bellevue, Wash, private
communication.
9. Barlow R. E., Proschan F. Statistical Theory of Reliability and Life Testing
Probability Models, Holt, Rinehart and Winston, New York, 1975.
10. Fothergill C. D. H. The collection, Storage and Use of Equipment
Performance Data for the Sofety and Reliability Assessment of Nuclear Power Plants,
Proceedings of a Symposium on the Reliability of Nuclear Power Plants, Int'l.
Atomic Energy Agency, Vienna, 1975.
11. Lambert Η. Ε.
12. Browning R. L. Human Factors in Fault Trees, Chem. Eng. Prog., 72,
June, 1976.
13. WASH 1400, as cited by Wall I. A. Some Insights from the Reactor Safety
Study, Office of Nuclear Regulatory Research, U. S. NRC.
14. Fussell J. B. Synthetic Tree Model. A Formal Methodology for Fault Tree
Construction, UC32, ANCR-32, 1973.
15. Powers G. J., Tompkins F. C. Fault Tree Synthesis for Chemical Processes,
AIChE Journal, 20, 2, 376—387, 1974.
16. Salem S. L., Apostolakis G. E., Okrent D. A New Methodology for the
Computer-Aided Construction of Fault Trees, Annals of Nuclear Energy, 4, 417—
433, 1977.
17. Kumamoto H., Henley E. J. Safety and Reliability Synthesis of Systems
with Control Loops, AIChE Journal, 25, N. 1, 108, 1979.
18. Pollack S. L. Decision Tables: Theory and Practice, Wiley-Interscience,
New York, 1971.

Глава 3
КАЧЕСТВЕННЫЙ
АНАЛИЗ СИСТЕМ
Отказ системы может произойти различными путями. Каждый
отличающийся от других путь есть вид отказа системы,
включающий отказ одного или нескольких элементов. С целью уменьшения
возможности отказа системы необходимо выявить виды отказов и
затем устранить наиболее часто происходящие или наиболее
вероятные из них. Метод дерева отказов, рассмотренный в
предыдущей главе, облегчает выявление этих видов отказов, и большая
часть аналитических методов данной главы основана на
использовании дерева отказов, построенного для конкретной системы.
3.1. АВАРИЙНЫЕ СОЧЕТАНИЯ
Для данного дерева отказов виды отказов системы четко
определяются с помощью принципа аварийных сочетаний. Аварийное
сочетание— это определенный набор исходных событий; если все эти
исходные события случаются, существует гарантия, что конечное
событие происходит. Например, если для дерева отказов на рис.
2.24 события 2 и 4 происходят одновременно, конечное событие
также происходит, т. е. если одновременно происходит «отказ
контактов (залипание)» и «отказ переключателя (залипание)», то
происходит «разрыв бака под давлением». Таким образом, сочетание
{1, 2} есть аварийное сочетание, кроме того, сочетания {1} и {3,
5} являются аварийными для этой системы.
3.2. ПРОХОДНЫЕ СОЧЕТАНИЯ
Принцип проходного сочетания является дополнением принципа
аварийного сочетания. Проходное сочетание есть определенный
набор исходных событий. Если ни одно из событий этого сочетания
не происходит, гарантируется, что конечное событие не случится.
Когда система имеет только одно конечное событие, отсутствие
исходных отказов в проходном сочетании гарантирует успешное
функционирование системы. Отсутствие этих отказов не гарантирует
успешного функционирования системы, если имеется более одного
конечного события. В этих случаях проходное сочетание
обеспечивает лишь непоявление данного конкретного конечного события.
115

Например, если события 1, 2 и 3 для дерева отказов,
показанного на рис. 2.24, не происходят, конечное событие не может
случиться. Следовательно, если бак, контакты и таймер в нормальном
состоянии, бак не разрушится. Таким образом {1, 2, 3}, есть
проходное сочетание. Другим проходным сочетанием для данного
дерева отказов является сочетание {1, 4, 5, 6}, т. е. бак не
разрушится, если эти аварийные события не произойдут.
3.3. МИНИМАЛЬНЫЕ АВАРИЙНЫЕ И ПРОХОДНЫЕ СОЧЕТАНИЯ
Большие системы имеют огромное число видов отказов; для систем,
имеющих от 40 до 90 элементов, возможны сотни тысяч аварийных
сочетаний. Если имеются сотни элементов, могут существовать
миллиарды аварийных сочетаний. Чтобы упростить анализ, необходимо
уменьшать число видов отказов. Следует рассматривать только те
виды отказов, которые являются основными, в том смысле, что для
возникновения отказа в системе один или несколько основных
отказов должны произойти. При таком ограничении практически ничто
не теряется. Если бы можно было усовершенствовать систему
таким образом, чтобы исключить все основные виды отказов, это
автоматически ликвидировало бы все виды отказов системы.
Принцип минимального аварийного сочетания четко определяет
основные виды отказов. Минимальное аварийное сочетание — это
такое сочетание, в котором при удалении любого исходного
события оставшиеся события вместе больше не являются аварийным
сочетанием. Аварийное сочетание, включающее другие сочетания,
не являются минимальным аварийным сочетанием. Принцип
минимального аварийного сочетания дает возможность сократить число
аварийных сочетаний и число исходных событий, входящих в
каждое аварийное сочетание. Это упрощает проведение анализа.
Дерево отказов на рис. 2.24 имеет семь минимальных
аварийных сочетаний: {1}, {2, 4}, {2, 5}, {2, 6}, {3, 4}, {3, 5}, {3, 6}.
Аварийное сочетание {1, 2, 4} не является минимальным, потому что
оно включает сочетания {1} и {2, 4}. Для реализации вида отказа
{1, 2, 4} должны произойти оба вида отказов системы: ,{1} и {2, 4}.
Все виды отказов были бы предотвращены, если бы можно было
устранить возможность появления всех видов отказов,
определяемых минимальными аварийными сочетаниями.
Дерево отказов на рис. 2.30 имеет минимальные аварийные
сочетания {1} и {3}. Сочетание {1} есть аварийное сочетание, так
как непоявление события 2 приводит к появлению события 3.
Сочетание {1} есть минимальное аварийное сочетание, так как
оно состоит только из одного события. Это в некотором смысле
«тонкое» минимальное сочетание появляется потому, что данное
дерево отказов имеет два взаимоисключающих исходных события 2
и 3. В последующих разделах данной главы деревья отказов будут
классифицированы в зависимости от того, содержат ли они
взаимоисключающие события или нет. Следует заметить, что исключа-
116

ющие события не связаны с исключающим логическим знакам
«ИЛИ».
Минимальное проходное сочетание — это такое проходное
сочетание, которое перестает быть проходным при удалении из него
любого из исходных событий.
Дерево отказов на рис. 2.24 имеет два проходных сочетания:
{1, 2, 3} и {1, 4, 5, 6}. При отсутствии отказов в сочетаниях {1, 2,
3} и {1, 4, 5, 6} бак функционирует успешно.
3.4. ОПРЕДЕЛЕНИЕ МИНИМАЛЬНЫХ АВАРИЙНЫХ СОЧЕТАНИЙ
{ОТСУТСТВУЮТ ИСКЛЮЧАЮЩИЕ ИСХОДНЫЕ СОБЫТИЯ)
Если дерево отказов не содержит взаимоисключающих событий,
можно использовать машинную программу MOCUS, для того
чтобы определить минимальные аварийные сочетания [1]. Программа
MOCUS основывается на наблюдении, что логические знаки «ИЛИ
увеличивают число аварийных сочетаний, в то время как
логические знаки «И» увеличивают размер аварийных сочетаний.
Алгоритм программы MOCUS можно описать следующим образом.
1. Присвоить буквенный символ каждому логическому знаку.
2. Пронумеровать каждое исходное событие.
3. Отыскать самый верхний логический элемент, расположенный
в первом ряду первой колонки матрицы.
4. Последовательно, методом итераций выполнить один из двух
типов основных перестановок— (а) или (б) (см. ниже) по порядку
сверху вниз. Если встречаются события в прямоугольниках,
следует заменить их на эквивалентные логические знаки и исходные
события:
а) логические знаки «ИЛИ» заменить построениями
вертикального типа входов в эти логические знаки и увеличить число
аварийных сочетаний;
б) логические знаки «И» заменить построениями
горизонтального типа входов в эти логические знаки и увеличить размеры
аварийных сочетаний.
5. Когда все логические знаки заменены исходными событиями,
получить минимальные аварийные сочетания, удалив
суперсочетания. С у пер сочетание — это аварийное сочетание, включающее
другие аварийные сочетания.
В качестве примера рассмотрим дерево отказов, показанное на
рис. 2.24. Логическим знакам и исходным событиям этого дерева
уже присвоены необходимые обозначения. Самый верхний
логический знак расположен в первом ряду в первой колонке
А
Данный символ есть логический знак «ИЛИ», поэтому он
заменяется вертикальным построением, состоящим из входа в этот
логический знак
1
В
117

Так как В есть логический знак «И», он заменяется
горизонтальным входом
1
С, D
Знак С есть логический знак «ИЛИ», поэтому выполняется
преобразование в вертикальное построение его входов
1
2, D
3, D
Знак D есть логический знак «ИЛИ», поэтому производится
замена на вертикальное построение его входов
1
2,4
2, J·
3, 4
3, Ε
Наконец, логический знак Ε — «ИЛИ» заменяется
вертикальным построением его входов
1
2, 4
2, 5
2, 6
3,4
3, 5
3. 6
Таким образом, имеется семь аварийных сочетаний {1}, {2, 4},
{2, 5}, {2, 6}, {3, 4}, {3, 5} и {3, 6}. Все эти семь сочетаний
являются минимальными сочетаниями, так как среди них не содержатся
суперсочетания.
Если имеются суперсочетания они исключаются в процессе
замены логических знаков. Предположим, что на одном из
переходов получились следующие результаты:
1, 2, О
1, 2, 3, О
1, 2, К
118

Аварийные сочетания, получаемые из сочетания {1, 2, 3, G},
всегда включают сочетания из {1, 2, G}. Однако аварийное сочетание
из {1, 2, 3, G} может не включать какие-то сочетания из {1, 2, К},
потому что дальнейшая разработка знака К может отличаться от
разработки знака G. В итоге имеем следующий упрощенный
результат:
1, 2 О
1, 3, К
Когда в горизонтальном построении какое-то событие
появляется больше чем 2 раза, необходимо 'перестроить эти события так,
чтобы осталось одно событие. Например, построение {1, 2, 3, 2, Н}
следует изменить на {1, 2, 3, #}*.
3.5. ОПРЕДЕЛЕНИЕ МИНИМАЛЬНЫХ ПРОХОДНЫХ СОЧЕТАНИЙ
{ОТСУТСТВУЮТ ИСКЛЮЧАЮЩИЕ ИСХОДНЫЕ СОБЫТИЯ)
В алгоритме программы MOCUS для определения минимальных
проходных сочетаний используют то обстоятельство, что логический
знак «И» увеличивает число проходных сочетаний, в то время как
логический знак «ИЛИ» увеличивает размер проходных сочетаний.
Алгоритм строится следующим образом.
1. Присвоить буквенный символ каждому логическому знаку.
2. Пронумеровать каждое исходное событие.
3. Отыскать самый верхний логический элемент,
расположенный в первом ряду первой колонки матрицы.
4. Провести одно из двух типов основных перестроений (а) или
(б) (см. ниже) последовательно по порядку сверху вниз:
а) заменить логические знаки «ИЛИ» построениями
горизонтального типа входов в логический знак и увеличить размеры
проходных сочетаний;
б) заменить логические знаки «И» построениями
вертикального типа входов в логические знаки и увеличить число проходных
сочетаний.
5. Когда все логические знаки заменены на исходные события,
получить минимальные проходные сочетания, исключив все
суперсочетания.
В качестве примера рассмотрим снова дерево отказов,
показанное на рис. 2.24. Алгоритм программы MOCUS определяет
минимальные проходные сочетания следующим образом:
А
* Алгоритм программы MOCUS является примером поиска в направлении
сверху вниз. «Перевернутый» алгоритм (Chatterjee P., Fault Tree Analysis.—
In: Reliability Theory and System Safty Analysis, ORS 74-34 Univ. of
California, Berkeley, 1974) является, как говорят, более эффективным в случае, если
имеется много повторяющихся событий в дереве отказов. Машинная
программа F-TAP, по отзывам, способна обрабатывать более объемные деревья отказов,
чем программа MOCUS (private communication, H. Lambert, TERA Corp., 2150
Shattuck Ave, Berkeley, CA. 94704, 1979).
119

замена А
1, В
замена В
1, С
1, D
замена С
1, 2, 3
1, D
замена D
1. 9,3
1, 4, Ε
замена Ε
1» 2,3
1, 4, 5, 6
Таким образом, имеется два проходных сочетания
{1, 2, 3), {1, 4, 5, 6}.
Эти два сочетания являются минимальными, так как среди них нет
суперсочетаний.
3.6. ОПРЕДЕЛЕНИЕ МИНИМАЛЬНЫХ АВАРИЙНЫХ СОЧЕТАНИЙ
{ИСКЛЮЧАЮЩИЕ ИСХОДНЫЕ СОБЫТИЯ)
Дерево отказов может иметь взаимно исключающие исходные
события. Например, дерево отказов, показанное на рис. 2.30, имеет
два взаимно исключающих события «насос работает» и
«остановка насоса». При построении дерева отказов такой взаимной
исключаемое™ событий стремятся по-возможности избегать; однако
проблема неизбежна, если оборудование системы имеет много
возможных состояний, т. е. имеется множество видов отказов. Например,,
генератор может иметь взаимно исключающие аварийные события:
«остановка генератора», «пульсация генератора». Первый из этих:
отказов препятствует возникновению другого.
Если дерево отказов содержит взаимно исключающие события,
алгоритм программы MOCUS не всегда приводит к определению
минимальных аварийных сочетаний. Например, применение
программы MOCUS к дереву отказов, представленному на рис. 2.30,
дает аварийные сочетания {1, 2} и {3}. Таким образом,
минимально

ное аварийное сочетание {1} не может быть получено с помощью
программы MOCUS, хотя оно очевидно каждому инженеру.
Ниже описан метод получения аварийных сочетаний, который
можно применить для случая исключающих событий. Процедура
включает прежде всего применение программы MOCUS для того,
чтобы получить проходные сочетания. По этим сочетаниям строят
структурные схемы. На последнем шаге используют метод
классификации, с помощью которого определяют аварийные сочетания.
Программу MOCUS модифицируют таким образом, чтобы
исключить несовместимые проходные сочетания из ее решений;
несовместимые проходные сочетания — это сочетания, которые содержат
взаимно исключающие события, охватывающие все возможные
состояния элементов. Примером являются события: «генератор
исправный», «насос исправный», «остановка насоса», если насос
имеет, только два состояния: «насос исправный» и «остановка насоса».
Для этого проходного сочетания по крайней мере одно из
первичных событий всегда происходит, так что невозможно добиться
непоявления всех исходных событий в данном проходном сочетании.
Несовместимое сочетание не удовлетворяет определению
проходного сочетания и должно быть исключено.
Для дерева отказов, показанного на рис. 2.30, с помощью
программы MOCUS проходные сочетания определяются следующим
образом:
А
в,
1,
2,
, з
3
3
Сочетание {2, 3} является несовместимым; таким образом, только
проходное сочетание {1, 3} получается в результате применения
модифицированной программы MOCUS.
Конечное событие происходит тогда и только тогда, когда по
крайней мере одно исходное событие случается в каждом из
проходных сочетаний, полученных с помощью модифицированной
программы MOCUS. Поэтому конечное событие можно выразить в
виде структурной схемы, показанной на рис. 3.1.
Переключатель на структурной схеме может быть или замкнут
или разомкнут, в зависимости от того, происходит или нет событие,
соответствующее данной структурной схеме. Наличие события
соответствует замыканию контакта, а при его отсутствии он
размыкается. Конечное событие происходит тогда и только тогда, когда
гипотетический сигнал проходит через структурную схему к
выходному узлу.
Если с помощью программы MOCUS определены три
совместимых проходных сочетания (1, 3, 4), (1, 2, 4) и (1, 2, 3), конечное
событие представляют в виде структурной схемы, изображенной
на рис. 3.2. Следует отметить, что каждое проходное сочетание
121

(Г.ЗЛ) (11Ч-) (12,3)
Гипотетический
сигнал
о
Входной
узел
>ч.
7
J
Конечное
событие
,. —о
выходной
узел
Г ι 1 1
■JTxl
Г з\ Г
Г м
1 г7 ι Ι
FT]
1 Г 2\ Г
1 LLJ
FT]
1 LLJ
'-Θ-' ^
1»
Рис. 3.1. Структурная схема для
проходного сочетания {1, 3}
Рис. 3.2. Структурная схема для
проходных сочетаний {1, 3, 4}, {1, 2, 4}
и {1, 2, 3}
представляет собой параллельную цепь исходных событий. В
целом цепь образует последовательную структуру, составленную из
проходных сочетаний.
С помощью метода классификации проходные сочетания
преобразуют в минимальные аварийные сочетания. Необходимым и
достаточным условием для того, чтобы сочетание стало аварийным
сочетанием, является прохождение гипотетического сигнала через
параллельную структуру, при этом всем исходным событиям
соответствуют замыкания относящихся к ним переключателей, на
этом основан метод классификации. Группа аварийных сочетаний
разделяется на прогрессивно уменьшающиеся подклассы, и каждое
минимальное аварийное сочетание получают в виде минимального
сочетания в данном подклассе с помощью следующей процедуры.
Выбирают исходное событие L, появляющееся в рассматриваемой
структурной схеме, и проводят его дихотомическую
классификацию (деление на два противопоставляющих класса), в результате
которой получают два непересекающихся подкласса L(Y) и L(N).
L(Y) есть класс аварийных сочетаний, содержащий исходное
событие L. Любое аварийное сочетание в классе L(Y) не содержит
исходных событий, являющихся исключающими по отношению к
событию L. Подкласс L(N) есть класс аварийных сочетаний, не
содержащий исходного события L. Символы Υ κ Ν обозначают
соответственно «да» и «нет».
Для класса L(Y) соответствующий контакт Z/замкнут, так как
исходное событие L -может входить в L(Y). Соответствующие
исключающие события допускаются в L(Y), и соответствующие им
переключатели разомкнуты. Для класса L(N) переключатель L
разомкнут, потому что событие L не может входить в L(N).
Соответствующие исключающие события не допускаются и не
запрещаются в подклассе L(N), поэтому соответствующие им положения
переключателей остаются не определенными.
Каждый новый подкласс подвергают подобной дихотомической
классификации, и аварийные сочетания разделяют на все
уменьшающиеся подклассы. Состояния переключателей определяют со-
ответствущим образом. Структурная схема в конце концов либо
пропускает, либо блокирует сигнал, когда соответствующий под-
122

С й Р^нпасс (с) Подкласс (d)
Рис. 3.3. Дерево классификации для структурной схемы, показанной на рис. 3.1
Рис. 3.4. Структурная схема для подклассов (а) — (d)
класс становится достаточно малым. В каждой структурной схеме
переключатели, соответствующие исходным событиям, разомкнуты
тогда и только тогда, когда события не могут входить в
соответствующий подкласс. Переключатели замыкаются тогда и только
тогда, когда событие допускается в данном подклассе.
Подкласс, блокирующий сигнал, указывает на то, что имеется
параллельная структура и все входящие в нее переключатели
замкнуты из-за событий, запрошенных в данном сочетании.
Фактически можно замкнуть все эти переключатели, так как все проходные
сочетания совместимы. Вследствие этого сигнал не проходит во
всех случаях, когда выбирают исходные события, не запрещенные
в данном подклассе. Это значит, что рассматриваемый подкласс
фактически не имеет аварийных сочетаний. Таким образом, поиск
аварийных сочетаний в данном классе заканчивается.
Подкласс, пропускающий сигнал, указывает на то, что данные
исходные события, допускаемые в данном подклассе, замыкают по
крайней мере один переключатель в каждой параллельной
структуре. Таким образом, сочетание этих исходных событий как раз и
есть аварийное сочетание. Это сочетание является наименьшим
сочетанием в данном подклассе. В данном свойстве минимальности
подразумевается, что большая часть аварийных сочетаний,
полученных таким путем, являются минимальными аварийными
сочетаниями. Действительно, можно доказать, что наряду с
некоторыми суперсочетаниями найдены все минимальные аварийные
сочетания.
В качестве примера рассмотрим структурную схему,
показанную на рис. 3.1. С помощью дерева на рис. 3.3 проиллюстирован
процесс классификации. Подклассы (а), (Ь), (с) и (d)
соответственно приводят к структурным схемам, показанным на рис. 3.4.
Схема для подкласса (с) получена из схемы для подкласса (Ь)
замыканием переключателя 3. Подобным образом схема (d) получена
размыканием переключателя 3 в схеме (Ь).
Кружок на дереве классификации (см. рис. 3.3) обозначает,
что соответствующая схема пропускает сигнал, в то время как крест
123

Μ/ YWJ
Рис. 3.5. Дерево классификации для
структурной схемы, показанной на рис. 3.2
2(Υ)/ γΜ
з(у)/ \з(")
указывает на блокирование сигнала.
Видно, что подклассы (а) и (с)
содержат аварийное сочетание, а подкласс
(d) не содержит. Наименьшим
сочетанием в подклассе (с) является
сочетание {3}. Имеются минимальные
аварийные сочетания {1} и {3}, так как
отсутствуют взаимосвязи между зтими
двумя сочетаниями.
В качестве другого примера взята
схема, показанная на рис. 2.3.
Предположим, что события 2, 3 и 4
являются взаимоисключающими. Такими событиями, например, могут
быть соответственно «короткое замыкание кабеля», «обрыв
кабеля» и «кабель исправный». На рис. 3.5 показано дерево
классификации, с помощью которого получено минимальное аварийное
сочетание {1}; других минимальных аварийных сочетаний в схеме нет.
3.7. ОПРЕДЕЛЕНИЕ МИНИМАЛЬНЫХ ПРОХОДНЫХ СОЧЕТАНИЙ
{ИСКЛЮЧАЮЩИЕ ИСХОДНЫЕ СОБЫТИЯ)
Можно получить так называемое преобразованное дерево
отказов заменой логических знаков «И» и «ИЛИ» в исходном дереве
отказов соответственно на «ИЛИ» и «И». Аварийные сочетания для
преобразованных деревьев отказов совпадают с проходными
сочетаниями для исходного дерева отказов. Таким образом,
минимальные проходные сочетания для исходного дерева отказов можно
получить, применяя метод, описанный в предыдущем разделе, к
преобразованному дереву отказов.
В качестве примера определим минимальные проходные
сочетания для дерева отказов, показанного на рис. 2.30.
Преобразованное дерево отказов приведено на рис. 3.6. При помощи программы
Г^\
(7,2)
Рис. 3.6. Преобразованное дерево
отказов, соответствующее дереву на
рис. 2.30
Рис. 3.7. Структурная схема с
проходными сочетаниями {1, 2} и {3}
124

Рис. 3.8. Дерево классификаций у^^ ^*Ч
для структурной схемы, пока- /\ /\
занной на рис. 3.7 3(Y)/ \3(N) 2(Y)/ \2(N)
MOCUS проходные сочетания для преобразованного дерева
отказов находят следующим образом:
А
В
3
3
Так как здесь нет несовместимых проходных сочетаний,
используя проходные сочетания {1, 2} и {3}, строим структурную схему,
которая представлена на рис . 3.7; дерево классификации
показано на рис. 3.8. Имеется минимальное аварийное сочетание {1, 3}
для преобразованного дерева отказов и это аварийное сочетание
является минимальным проходным сочетанием для исходного
дерева отказов, показанного на рис. 2.30.
3.8. АНАЛИЗ ПРИ ОБЩЕМ ХАРАКТЕРЕ ОТКАЗОВ
3.8.1. Аварийные сочетания с общим характером отказов
Рассмотрим систему, состоящую из двух клапанов А и В.
Предположим, что один из клапанов является резервным, т. е. каждый
клапан может перекрыть систему; в качестве конечного события
принят отказ клапана. Соответствующее дерево отказов имеет
следующее минимальное аварийное сочетание:
{неисправность клапана А, неисправность клапана В].
Данная система клапанов существенно более надежна, чем
система с одним клапаном, если отказ одного клапана происходит
независимо от другого. Одновременное появление двух этих
неисправностей— крайне редкое явление. Однако если один клапан
подвержен отказам при тех же условиях работы, что и другой клапан,
система сдвоенных клапанов лишь незначительно надежнее
системы с одним клапаном.
Два клапана откажут одновременно, например, если оба
имеют один и тот же производственный дефект. При этих условиях два
клапана являются столь же надежными, как и один. Поэтому нет
значительной разницы в надежности между такими двумя
системами. Условие или событие, которое вызывает сразу несколько ис-
125

ходных событий, называется событием с общей причиной.
Примером общей причины является наводнение, которое вызывает
одновременный отказ всех элементов, считающихся резервными.
Методы определения минимальных аварийных сочетаний,
обсужденные в предыдущих разделах, дают минимальные сочетания
различных размеров. Аварийное сочетание, состоящее из η
исходных событий, называется n-мерным аварийным сочетанием (или
аварийным сочетанием из п-событий).
Аварийные сочетания из одного события вносят значительный
вклад в конечное событие в том случае, если вероятность их
появления не очень мала. Обычно частота отказов оборудования мала;
следовательно, серийными сочетаниями с несколькими событиями
часто можно пренебречь, если имеются аварийные сочетания с
одним событием. Это справедливо, потому что вероятность
одновременного появления двух редких событий крайне мала. Однако
если имеет место общая причина, она может вызвать сразу
несколько исходных отказов; таким образом, не всегда можно пренебречь
аварийными сочетаниями высокого порядка, так как аварийные
сочетания с двумя и большим числом событий в этом случае ведут
себя как аварийные сочетания с одним событием.
Аварийное сочетание называется аварийным сочетанием с
общим характером отказов, когда общая причина приводит к
появлению сразу всех событий из данного аварийного сочетания. Дж. Р.
Тейлор приводит данные по частоте происшествий,
относящихся к событиям с общей причиной, в энергетических реакторах [2].
Из 379 отказов элементов или групп отказов, возникавших в
результате независимых причин, 76 относились к событиям с общей
причиной. Поэтому при анализе видов отказов системы очень
важно выявить аварийные сочетания с общим характером отказов.
3.8.2. Общие причины и исходные события
Как показано на рис. 2.15, причины, вызывающие отказы
элементов, исходят от следующих четырех источников (одного или
нескольких) :
1) старение;
2) персонал предприятия;
3) окружающие систему условия;
4) другие элементы системы (или подсистемы).
В каждой из этих категорий имеется большое число «причин
общего характера, которые, в свою очередь, можно далее
классифицировать на подкатегории. Например, такие причины, как «гидрав:
лический удар» и «колебание трубы» в подсистеме трубопроводов
можно включить в категорию «динамические воздействия».
Некоторые категории причин с соответствующими примерами приведены
в табл. 3.1 [3].
Для каждой общей причины необходимо определить все
вызываемые ею исходные события. При этом определяют сферу действия
каждой общей причины, а также место расположения элементов и
126

3.1. Категории и примеры общих причин
Источник
Окружающая
среда, элементы
системы или
подсистемы
Персонал
предприятия
Старение
Символ
I
V
Ρ
G
S
Τ
' Ε
С
F
IN
Μ
О
TS
А
Категория
Динамические
воздействия
Вибрации
Давление
Посторонние
частицы
Напряжения
Температура
Выход из строя
источника
энергии
Калибровка
Изготовление
Сборочно-мон-
тажное
предприятие
Обслуживание
Оператор или one-.
рация
Процедура
испытаний
Старение
Примеры
Колебания труб, гидроудар за*
пуск ракеты, землетрясения.
разрушение конструкций
Движущиеся механизмы,
землетрясения
Взрывы, изменения в системах
за пределами допусков
(повышенная скорость насосов,
перекрытие потока)
Запыленность воздуха,
металлические частицы, образуемые
подвижными деталями с
размерами вне допуска
Термические напряжения в
сварных швах различных
металлов, термические
напряжения и изгибные моменты,
вызванные высокой
проводимостью и плотностью
Пожары, молнии, сварочное
оборудование, отказы системы
охлаждения, короткие
замыкания электрических цепей
Общий приводной вал, единый
источник энергии
Неправильная инструкция по»
калибровке
Повторяющиеся ошибки при
изготовлении, такие как
некачественное покрытие
контактов реле. Некачественная
обработка. Повреждение при
транспортировке
Исполнитель — тот же самый
субподрядчик или бригада
Неправильная процедура,
неквалифицированный персонал
Больной или переутомленный
оператор, неправильная
процедура
Неправильная процедура
испытаний, которая может
воздействовать на все элементы,
испытуемые совместно
Элементы из одного и того же
материала
127

Рис. 3.9. Дерево отказов для рассматриваемого примера
время происшествия. Некоторые общие причины имеют лишь
ограниченную сферу воздействия. Например, утечка жидкости может
ограничиваться одной комнатой, и электрические элементы,
расположенные в другой комнате, не будут повреждены вследствие
утечек, если только эти помещения не сообщаются друг с другом.
Исходные события, вызываемые общей причиной, называются
событиями общего характера для данной причины.
Рассмотрим дерево отказов, показанное на рис. 3.9 [3].
Планировка помещения
представлена на рис. 3.10. В этот рисунок
включены также места
происшествия исходных событий.
Рассматривается в общей
сложности 20 общих причин.
Каждой общей причине
соответствует набор событий
общего характера, приведенных
в табл. 3.2. В этой таблице
показаны также сферы
действия каждой общей причины.
Рис. 3.10. Планировка
помещения для рассматриваемого
примера и места происшествия
исходных событий
102
00
w
01
1 /0¥ 1
000
0
ЮЗ
0
"0
00
ws |
®|
128

3.2. Общие причины, сферы действия и события общего характера
Категория
Динамические
воздействия
Напряжения
Температура
Вибрация
Оператор
Источник энергии
Изготовитель
Сборочно-монтаж-
ное предприятие
Процедура испытаний
Общая
причина
I1
12
13
S1
1 S2
S3
Т1
Т2
VI
V2
01
02
Е1
Е2
F1
IN1
IN2
IN3
TS1
TS2
Сфера действия
102, 104
101, 103,
106
103, 105,
199
101, 102,
106
101, 102,
104, 105,
102, 104,
101, 103,
199
Все
Все
Все
Все
Все
Все
Все
Все
Все
Все
105
106
104
103
199
106
105
События общего
характера
6, 3
1 1, 2, 7, 8
10
11, 2, 7, 10
1 9
1, 4
1 10
5, И, 8, 12,
3, 4
5, 6, 10
7, 8
1, 3, 12
5, 7, 10
2, 9
1, 12
2, И
1, 12
6, 7, 10
3, 4, 5, 8, 9, И
2, И
4, 8
Только два исходных события 6 и 3 вызываются динамическим
воздействием II, в то вре*мя как исходные события 1, 2, 7, 8
вызываются динамическим воздействием 12. Такая разница возникает
потому что каждый вид динамического воздействия имеет свою
сферу влияния и каждое исходное событие имеет свое место
происшествия. Ни событие 4, ни событие 12 не вызываются
динамическим воздействием II, хотя они расположены в сфере действия II
(104). Это объясняется тем, что данные события происходят
независимо от данного динамического воздействия, несмотря на то же
самое место расположения, что и в случае события 3.
3.8.3. Определение аварийных сочетаний
с общим характером отказов
Предположим, что имеются перечни общих причин событий с
общим характером отказов и исходных событий. Можно быстро
определить аварийное сочетание с общим характером отказов,
если имеются все минимальные аварийные сочетания для данного
дерева отказов. Большие деревья отказов, однако, имеют
астрономически большое число минимальных аварийных сочетаний, и их опре-
129

деление требует больших затрат времени. Для подобного дерева
отказов часто используют упрощенный вариант метода, который
обсуждался в предыдущих разделах. В результате сохраняются
только аварийные сочетания из двух или одного событий. Однако
такое усечение применять не следует, если имеется возможность
появления отказов с общей причиной; в этом случае аварийные
сочетания с тремя или большим числом событий могут вести себя как
аварийные сочетания с одним событием, и, следовательно, ими
нельзя пренебрегать.
На основе упрощенного дерева отказов ниже разработан новый
подход к проблеме, связанной с общими причинами. Другой
подход, принадлежащий Фусселю и Вагнеру, основанный на усечении
дерева отказов, описан в работе [3], упомянутый выше.
Исходное событие называется нейтральным событием по
отношению к общей причине, если оно является независимым от этой
причины. Для данной общей причины любое исходное событие
является либо нейтральным, либо событием с общим характером
отказов. В рассматриваемом подходе предполагается наличие
вероятной ситуации для каждой общей причины. Эта ситуация
определяется с помощью следующего утверждения: «Предположим, что
имеется какая-то общая причина. Так как возможность появления
большей части нейтральных событий существенно меньше
возможности появления событий с общим характером отказов,
принимается, что данные нейтральные события не входят в рассматриваемое
дерево отказов».
Другие ситуации, нарушающие приведенные выше требования,
могут быть исключены, так как при этом необходимо появление
одного или нескольких редких событий.
Классификация с использованием вероятных ситуаций
позволяет упростить дерево отказов. При этом используются основные
упрощения, приведенные на рис. 2.34, по порядку снизу вверх. Для
упрощенного дерева отказов можно легко получить минимальные
аварийные сочетания. Эти минимальные аварийные сочетания
автоматически становятся аварийными сочетаниями с общим
характером отказов.
В качестве примера рассмотрим дерево отказов, показанное на
рис. 3.9. Предположим, что здесь нет исключающих исходных
событий. Следует заметить, что логические знаки «Два из трех» X
и У могут быть преобразованы так, как показано на рис. 3.11.
Проанализируем сначала общую причину 1. Событиями с
общим характером отказов для этой причины являются 1, 3 и 12.
Таким образом, нейтральными событиями являются 2, 4, 5, 6, 7, 8, 9,
10 и 11. Предположим, что эти нейтральные события имеют
существенно меньшие вероятности появления, чем события с общим
характером отказов при появлении общей причины 1. Основные
упрощения в соответствии с рис. 2.34 приводят к варианту дерева
отказов, показанному на рис. 3.12. Программа MOCUS применяется к
данному упрощенному дереву отказов, изображенному на рис. 3.12,
по следующей схеме:
130

A
#, С
1, 3, 12, С
1, 3, 12, 3-1, 3, 12
1, 3, 12, 1-1, 3, 12
Таким образом, имеется одно аварийное сочетание с общим
характером отказов {1, 3, 12} для общей причины 1.
На следующем шаге рассмотрим общую причину 13 из табл. 3.2.
Нейтральными исходными событиями являются события 1, 2, 3, 4,
Логический знак X
типа н 2 из J "
Логический знак Υ
. типа„2из 3"
Рис. 3.11. Эквивалентное представление логических знаков Χ κ Υ типа «2 из 3»
конечное событие
Рис. 3.12. Упрощенное дерево
отказов для общей причины 1
Ж
Нулевая вероятность
Рис. 3.13. Упрощенное дерево
отказов для общей причины 13
131

5, 6, 7, 8, 9, 11 и 12. Основные упрощения приводят к
сокращенному варианту дерева отказов, показанного на рис. 3.13. Видно, что
для общей причины 13 не существует аварийных сочетаний с
общим характером отказов.
Эта процедура повторяется для других общих причин, чтобы
получить все аварийные сочетания с общим характером отказов,
перечисленных в табл. 3.3.
3.3. Общие причины и аварийные сочетания с общим характером отказов
Общие причины
12
12
S3
Аварийные сочетания
с общим характером
отказов
Л2>,
{1, 7, 8}
{1, 4}
Общие причины
S1
Т2
1
Аварийные сочетания
с общим характером
♦отказов
{2, 10, 11}
(3, 4, 121
{1, 3, 12}
3.9. УПРОЩЕНИЕ ТАБЛИЦ РЕШЕНИЙ: ОСНОВНЫЕ ИМПЛИКАНТЫ
Таблицы решений, впервые введенные в гл. 2, были
использованы для автоматизации процесса построения деревьев отказов.
Дерево отказов системы, полученное с помощью таблиц решений для
элементов этой системы, обычно содержит взаимоисключающие
события, так же как и отдельные рабочие состояния ее элементов.
Таким образом, алгоритмы, подобные используемому в программе
MOCUS, непригодны для определения однозначных аварийных
ситуаций. Системы, которые содержат непростые аварийные
ситуации с отдельными событиями, соединенными логическими знаками
«И» — «ИЛИ» (знаком EOR), а также с рабочими состояниями
ряда элементов и т. д., называются некогерентными, и
соответствующие им аварийные ситуации называются основными импликантны-
ми. Более точное определение некогерентности будет дано в этой
книге, ниже; в данном разделе показано, как, используя метод
согласования, находят основные импликанты для некогерентных
деревьев. Кроме того, будет разработана методология, основанная на
таблицах решений, для получения основных импликантов
непосредственно из таблиц решений, минуя промежуточную ступень
построения дерева отказов.
Строка, состоящая из входных событий в таблице решений,
далее будет называться группой ее членов, или просто группой.
Говорят, что группа Г\ относится к категории группы г2, если Г\ и г2
вызывают одно и тоже выходное событие и если каждое входное
событие в группе г2 также входит в группу г\. Если такая ситуация
существует, в группу г2 переводят в боле короткую группу гь
удалив ее из таблицы решений.
В табл. 3.4 показаны аварийные сочетания, полученные из
дерева отказов. Очевидно, что строка 4 здесь является избыточной, так
как если возникает ситуация, описываемая строкой 3, в системе
132

происходит отказ. Таким образом, строку 4 можно исключить из
данной таблицы. Подобно этому табл. 3.5 можно упростить и
получить табл. 3.6. Эта процедура эквивалентна закону поглощения в
булевой алгебре
А или (А и В) = А.
3.4. Таблица аварийных сочетаний (таблица критических переходов)
Строка
1
2
3
4
А
F
F
—
в
—
F
F
С
F
—
F
F
D
—
—I
F
Выход
F
F
F
F
3.5. Таблица решений
А
Τ
τ
в ι
Τ
Выход
Τ
τ
3.6. Упрощенная
решений
А
Τ
в
—
таблица
Выход
Τ
После исключения всех промежуточных переменных параметров
таблица решений для конечного события будет называться далее
таблицей критических переходов. Строка (или группа) в этой
таблице является основным импликантом для данного конечного
события, если она не соответствует более короткой группе в таблице
критических переходов. Подобное определение применимо к
таблице решений, с помощью которых моделируются зависимости
вход/выход для отдельных элементов; группа является основным
импликантом для выходного события, если оно не относится к
более короткой группе, имеющей то же самое выходное событие.
Однако приведенная выше процедура поглощения не
гарантирует получения полного набора основных импликантов, особенно
если существуют элементы со многими возможными, в том числе
рабочими, состояниями. Метод, предложенный вначале Квином [4, 5]
и развитый Тисоном [6] применительно к таблицам истинности,
можно модифицировать для получения всех основных импликантов
для систем с выходными переменными параметрами,
характеризующими различные состояния элементов, включая рабочие
состояния. Данный метод называется операцией согласования, так как
при этом образуются новые группы на основе группы, входящих в
таблицу; при этом используются комбинирование и подгонка их
входных событий. Ниже этот метод демонстрируется на ряде
примеров.
133

Пример 1. Рассмотрим следующую таблицу:
Строка
1
2
3
Вход 1
А
W
ψ
в
N
F
R
с
F
D
W
W
Вход
О
2
2
2
Предположим, что выходные переменные параметры связаны с входными
событиями следующим образом:
^g(W, F}, £<ξξ{Ν, F, R}, Ce(W,F), £>e{WfF},
где W — рабочее состояние; F — отказ; R — обратное действие; N — нормальное
состояние.
Данная таблица является таблицей критических переходов, если входное
событие 2 представляет конечное событие. В другом случае она может
рассматриваться как часть таблицы решений для элемента, если событие 2 есть конкретное
выходное событие для этого элемента. Необходимо получить все основные импли-
канты для данной таблицы.
Решение. Процедура согласования сведена в следующую таблицу:
Шаг
1
2
Исходное
сочетание в начале шага
£2ЬА&7,
BPDW
AWBR
BFDW
AWBR
AwCpDw
Переменный
параметр Ρ (η — форма)
в исходном
сочетании
В
Нет
Остаток по
отношению к Ρ
/>ι
AwCpDw
Dw
рп
Aw
Нет
Новые элементы
согласования
(значения, полученные
из остатков для
различных Ρ;)
ΑψΟρΟψ
Нет
»тание
Конечное соче
в конце шага
BPDW
AwLpUw
Процедура
окончена
Исходное сочетание в начале шага 1 есть набор всех групп в таблице
решений:
AwBNCpDw; \
BpDw; \
AWBR. )
В таблице решений имеются соответствующие им строки 1, 2 и 3. Символ Aw
означает, что входной переменный параметр Л принимает значения W и т. д.
134

Строка 2 в таблице решений дает группу BFDW, а переменные параметры А и С
здесь отсутствуют.
Процедура начинается с поиска переменного параметра Ρ из η событий, так
что в начальном сочетании появляется по крайней мере одна группа, состоящая
из η событий каждая. Этот переменный параметр называется п-формой в
данном сочетании. Переменный параметр В есть трехразмерная форма (3-форма),
потому что Βν входит в первую группу, Bf— во вторую, a Br — в последнюю.
Остаток по отношению к событию Pi есть группа, полученная путем
удаления Pi из группы, содержащей его. Таким образом, остатки AwCfDw y Dw
и Aw получены соответственно для событий Вп, В? и Br. Остатки
группируются в η сочетаний в соответствии с тем, какое событие исключено из группы.
В данном случае имеется три сочетания (AwCfDw), {Dw) и (Aw), каждое
из которых состоит из одного остатка.
Эти новые элементы согласования являются результатом, полученным из
остатков различных групп. В рассматриваемом случае каждое сочетание имеет
только один остаток, и в результате имеется единственный элемент согласования
AwCfDw. Если элемент согласования содержит взаимоисключающие события,
он исключается из перечня новых элементов согласования. Как только элемент
согласования найден, он сравнивается с другими элементами согласования и со
всеми группами в начальном сочетании, после чего более длинные элементы
исключаются из таблицы. Видно, что группа AwB^CfDw может быть исключена
из данной таблицы, так как имеется группа AwCfDw.
Конечное сочетание, получаемое на шаге 1, есть объединение начальных
сочетаний и сочетаний новых элементов согласования. В данном случае это
объединенное сочетание есть
ΑψΟρϋψ. J
Это сочетание становится начальным сочетанием для шага 2.
Так как в полученном начальном сочетании нет переменного параметра в
виде /г-формы, процедура заканчивается. Таким образом, получены сочетания
BfDw, AwBr и AwCfDw, являющиеся основными импликантами. Другими
словами, таблица решений упрощается и принимает вид
А
W
W
в
F
R
—
с
—
F
D
W
—
W
О
2
2
2
Как продемонстрировано в
приведенном примере, новые
элементы согласования образуются
в результате нескольких
последовательных шагов. На /-м шаге
отыскиваются все элементы
согласования, существующие среди
групп начального сочетания 5 на /-м шаге и относящиеся к
переменному параметру Р, который является n-формой в данном
сочетании. Как только элемент согласования найден, он
сравнивается с другими группами в сочетании 5 или с другими элементами
согласования, уже полученными на i-u шаге. После этого более
длинные группы исключаются. Неисключенные группы и
элементы согласования включаются в сочетание в конце шага, а это
сочетание становится начальным сочетанием для следующего шага.
Пример 2. Объединение. Рассмотрим таблицу истинности
А В
Τ F
Τ Τ (Τ—-истинно; F —ложно).
135

Столбец выходов здесь не показан: принимается, что выходное событие одно
и то же для каждой строки событий на входе. Упростить таблицу.
Решение.В соответствии с условием Ат, Вт и Вр обозначим соответственно
через А, В и В. Далее выполним следующую процедуру:
Шаг
1
Начальное
сочетание
>&
Ж
Переменный
параметр
(би-форма)
В
Остатки
А
А
Новые элементы
согласования
А
Конечное
сочетание
А
Таким образом, имеется только один основной импликант Л, и упрощенная
таблица принимает следующий вид:
А
Процесс упрощения называется объединением, которое можно выразить с
помощью соотношений булевой алгебры (А и В) или (А и В)=А.
Если две группы в таблице истинности одинаковы, за исключением одного
входа, два входа имеют противоположные значения. Эти две группы можно
объединить (см. разд. 2.6).
Пример 3. Расширенный вариант объединения
θΕ(-2, —1, 0, 1, 2), A<=(W, F).
Упростить таблицу
А В
W
W
W
W
W
0
— 1
2
-2
1,
приняв все выходы одинаковыми.
Решение. Выполняем следующую процедуру:
Шаг
1
Начальное
сочетание S
>/Я^о
£*К
а,
л-форма
В
Остатки
Αψ
Αψ
Aw
Αψ
Aw
Λ
ле-
огл
Новые э
менты с
сования
Αψ
<υ£
Конечно
сочетай*
Ayr
136

Упрощенная таблица такова:
А
W
Данный расширенный вариант слияния применяется тогда, когда таблица
решений включает входной переменный параметр В, имеющий много состояний.
Если η групп в таблице решений одинаковы, за исключением одного входа,
включающего η событий, и если каждое из η возможных состояний входного
переменного параметра содержатся в этих группах, данные η групп могут быть
слиты.
Пример 4. Сжатие. Упростить
А В С
Τ Τ Τ
Τ F —
приняв все выходы одинаковыми.
Решение. Выполняем следующую процедуру:
Шаг
1
Начальное
сочетание S
АВ
Переменный
параметр
(би-форма)
В
Остатки
АС
А
Новые
элементы
согласования
АС
Конечное
сочетание
АЪ
АС
Упрощенная таблица такова:
А В С
Τ — Τ
Τ F —
Булево соотношение имеет вид (Л и β и С), или (А и В) = (А и С),
или (А к В). Это соотношение называется сжатием, если две
группы в таблице истинности сравнимы за исключением только одного
входа и большая из двух групп может быть сжата за счет данного
входа, при условии, что входы в обеих группах имеют
противоположные значения.
Несколько другая, модифицированная процедура, подобная
операции объединения, необходима, когда В есть переменный
параметр, состоящий из η событий. Для того чтобы сжать наибольшую
группу, каждое из η состояний В должно присутствовать в одной
из сравнимых групп. Видно, что упрощение в примере 1 есть
сжатие по отношению к переменному параметру 5, состоящему из трех
событий.
Операции упрощения (поглощение, объединение, сжатие)
применяются к группам, входящим в таблицы решений,
последовательными циклами до тех пор, пока ни один из них уже не может быть
137

применен. Когда это происходит, таблица становится неупрощае-
мой.
Пример 5. Система реактора. Получить дерево отказов и минимальные
аварийные сочетания для системы реактора, представленной с помощью следующих
связей вх/вых (см. структурную схему):
Вход
Компрессор I
Компрессор II
А
Η
Сушильный
агрегат
С
1 J
I
Обеднитель
Реактор
D
Выход
Условные обозначения: А — подача от компрессора к сушильному
агрегату; В— подача от насоса к обеднителю; С — подача от сушильного
агрегата к реактору; D — подача от обеднителя к реактору; Ε — внутреннее
состояние компрессора I; F — внутреннее состояние компрессора II; G — внутреннее
состояние насоса; Η — внутреннее состояние сушильного агрегата; I —
внутреннее состояние обеднителя; J — внутреннее состояние реактора.
Таблицы решений таковы:
1) реактор:
С
W
W
W
W
F
F
F
F
D
W
W
F
F
W
W
F
F
/
W
F
W
F
W
F
W
F
Выход из реактора
W
F
F
F
F
Ρ
F
F
2) сушильный агрегат (после упрощения):
е
I
g
н
W
F
—
А 1
W
—
F
1
W
F
F
138

3) подсистема компрессоров (после упрощения):
Ε F η л
h
i
j
Ψ
F
W
—
F
W
W
F
4) обеднитель (после упрощения):
в J
5) насос
k
1
m
W
F
—
W
—
F
W
F
F
w
F
W
F
Решение. Содержание операции согласования по упрощению таблицы
решений реактора сведено в табл. 3.7. Основными импликантами являются Dy,
Gf и /f- Упрощенная таблица такова:
3.7. Операция согласования по упрощению таблицы решений для реактора
* Шаг
1
2
3
Начальное
сочетание S
Cw^^r-
Q*r&f*Z*i
£w^*C
£r&*r*£u.
&¥%i
J^fttfa
/ι-форма Р
С
D
J
Остатки
DWJF
DpJw
DpJp
CpJw
J
Dp
CF
DwJw
DWJP
Dp Jw
DpJp
Jw
Jp
! 1
Новые
согласующие элементы
DwJp
Dp Jw
DpJp
CpJw
\ Jp
Cp
139

Нет выхода
из реактора
Строка с
Нет подача
от одеднитепя
Рис. 3.14. Дерево отказов для системы реактора
а
b
с
d
с
W
F
—
—
D
W
—
F
—
J
W
—
—
F
из
Выход
реактора
W
F
F
F
Упрощенная таблица решений, приведенная выше, используется для
построения дерева отказов, изображенного на рис. 3.14. Минимальными аварийными
сочетаниями являются {/f}, {£f}, {^f}, {#f}, \β^\ и Uf].
Пример 6. Таблица критических переходов. Составить таблицу критических
переходов для системы, представленной на рис. 3.15. Принять следующие
упрощенные таблицы решений:
1) таблица для переменного параметра О:
5 г II о
W W
a F —
b - F
W
F
F
140

Рис. 3.15. Соотношение
вх/вых для системы из
примера 6:
О — выход, при этом конечное
событие — нет выхода; X —
внутреннее состояние фильтра X с
выходом Τ; Υ — внутреннее
состояние фильтра Υ с выходом S;
U — выход из насоса А; V —
выход из насоса В; W — выход из
насоса D; А — внутреннее
состояние насоса А; В — внутреннее
состояние насоса В; D —
внутреннее состояние насоса D
Соединение
по типу.
насосов
, г из з"
Параллельное
соединение
цмпьтроЬ
2) таблица для переменного параметра S:
с
d
е
f
и
W
W
F
F
—
—
w
W
—
W
F
—
F
—
V
W
W
—
—
F
F
—
д1
W
W
W
—
—
—
F
1
W
W
W
F
F
F
F
3) таблица для переменного параметра U:
А II и
W
g F
W
F
4) таблица для переменного параметра W:
D \\ W
W
h F
W
F
W
F
5) таблица для переменного параметра V:
в \\ V
W
F

6) таблица для переменного параметра Т:
1
к
1
m
и
W
W
F
F
—
—
w
W
—
W
F
—
F
—
V
W
W
—
—
F
F
—
V ι
W
W
W
—
—
—
F
1 т
W
W
W
F
F
F
F
Конечное событие определяется, как переменный параметр О, принимающий
значение F. В принципиальной схеме, являющейся эквивалентом схемы,
показанной на рис. 7.20, два насоса из трех должны работать, для того чтобы обес·
печивать подачу к двум фильтрам.
Решение. В таблице критических переходов конечные события определены
через основные переменные параметры Л, В, D, X и Y. Таблица получена путем
исключения промежуточных переменных параметров «S, U, W, V и Т.
1. Начальный вариант таблицы для конечного события. Из таблицы для
переменного параметра О следует:
а
b
5
F
—
г || о
F
F
F
2. Исключение переменного параметра 5. Событие Sf в строке а может
быть заменено строками с, d, е и f. Кроме того, «безразличное» событие S—
в строке b может быть представлено в виде
и w ν χ и 5
Таким образом, таблица для конечного события принимает вид
с
d
е
f
η
и
F
F
—
—
—
w
F
—
F
—
—
^
V
F
F
—
—
X
—
—
F
—
τ
—
—
—
F I
F
F
F
F
F
Дальнейшее упрощение этой таблицы невозможно.
3. Исключение переменного параметра U. Событие (J? в строках end
в приведенной выше таблице для конечного события может быть заменено
строкой g. Событие U'-. заменяем на событие А _, . Тогда
g
g
е
I
η
I 21
F
F
—
—
—
w
F
—
F
—
—
V
F
F
—
—
X
—
—
F
—
T
—
—
—
F
1 °
F
F
F
F
ρ
142

Дальнейшее упрощение этой таблицы невозможно.
4. Исключение переменных параметров W и V. Полученная в результате
преобразований таблица для конечного события такова:
А
F
F
5.
А
F
F
—
6.
А
F
•F
—
|
W 1
D
F
F
Исключение
D
F
F
—
в
F
F
—
Исключение
D
F
F
—
в
F
F
—
1 У
в
F
F
X
F
переменного
X
F
—
и
F
F
г \
F |
парамет]
т—
w
F
F
эа
V
F
F
переменного параметра
X
F
—
и ι
А
F
F
w
F
— ]
F ]
V
F
F
Т:
U:
О
F
F
F
F
г
Г
F
о
F
F
F
F
F
F
F
1 F
г
F
0
F
F
F
F
F
F
F
1 F
Следует заметить, что данная таблица для конечного события содержит два
столбца для переменного параметра Л, которые следует объединить в один
столбец. Далее применяем следующие правила:
<-. -
(-. F)
(F, -)
(-, W)
(W, ~)
(F, F)
(W,W)
(F, W)
(W, F)
>=* -
=Ф F
=-> F
=Ф W
=Ф W
=Ф F
=Ф W
=Ф Исключить строку,
включающую данную пару.
=т> Исключить строку,
включающую данную пару.
143

Объединение для переменного параметра А дает
A D В X W V Υ II О
F F — — - — —
F _. F - - — —
— F F — — — —
_ _ _ F — — —
F _ _ _ F - —
F _.__-_ F -
_ _____ F F —
— _.__,_. — F
Дальнейшее упрощение этой таблицы невозможно.
7. Исключение переменного параметра W:
F
F
F
F
F
F
F
F
A D В X
F F — -
F — F -
— F F —
F — — —
F — — -
w
D
F
F
V Υ
F —
F -
— F
о
F
F
F
F
F
F
1 F
Произведя объединение для параметра D и применяя закоь
получаем
А
F
F
—
—
F
D
F
—
F
—
—
F
в
F
F
—
X
—
—
F
—
V
—
—
—
F
F
Υ
—
—
—
—
F
II °
F
F
F
F
F
-d-d
Дальнейшее упрощение этой таблицы невозможно.
8. Исключение переменного параметра V:
А
F
F
—
—
F
D
F
—
F
—
—
F
в
F
F
—
—
х\
—
F
—
ν
в
—
—
F
F
Υ
—
F
1 °
F
F
F
F
F
F
F
144

Объединение для параметра В дает
A D В X У
F F — — — F
о F — F — — F
ρ - F F - - F
— — — F — F
q ρ — f — — F
г - F F — — Ρ
_______ F F
Эту таблицу можно упростить, так как строка q совпадает со строкой о,
а строка г со строкой р. Строки q и г поглощаются в строки о и ρ
соответственно:
л
F
F
—
—
D
F
—
F
—
в
F
F
—
X
—
F
1
—
—
F |
1 °
F
F
F
1 F
Дальнейшие упрощения данной таблицы невозможны. Все входные переменные
параметры являются основными параметрами. Таким образом, приведенная выше
таблица является таблицей критических переходов. Можно обнаружить
следующие пять минимальных аварийных сочетаний (основных импликантов) для
данной системы:
{АР, Dp), {Αρ,Βρ}, {Dp.Bp}, {Хр}, {Ур}.
Следует заметить, что минимальные аварийные сочетания можно получить
непосредственно из таблиц критических переходов без построения дерева отказов.
3.10. ПРИМЕНЕНИЕ ТАБЛИЦ РЕШЕНИЙ ДЛЯ СИСТЕМ,
ИМЕЮЩИХ КОНТУРЫ РЕГУЛИРОВАНИЯ
Контуры регулирования значительно усложняют построение
дерева отказов, так как определенные логические сложности
невозможно [7] описать простыми булевыми функциями, в частности по
следующим причинам.
1. Порядок отказов элементов может стать важным фактором.
Отказ системы становится опасным, например, если выход из строя
регулятора температуры приводит к перегреву. Предположим, что
такая система имеет чувствительный к температуре выключатель,
отключающий нагреватель. Если регулятор отказывает перед
отказом выключателя, авария не возникает. Если сначала отказывает
выключатель, а затем выходит из строя регулятор, последствия
могут быть серьезными. Такого рода проблемы, связанные с
последовательностью отказов элементов, обсуждаются ниже, в гл. 11 при
анализе опасностей, связанных с системами защиты. Более полное
решение этой проблемы достигнуто при разработке машинной
программы PROTECT и прилагаемой инструкции по ее использованию.
145

2. Появление отказов системы зависит от ее внутреннего
состояния, так как выходные сигналы регуляторов в цепях обратной
связи являются функцией состояния системы. В системе охлаждения,
например, обратное действие дегулирующего клапана подачи
охлаждающей воды создает серьезную ситуацию, когда состояние
системы, т. е. температура на выходе теплообменника, находится
на верхнем пределе. Однако обратное действие не приводит к
отказу при низкой температуре, так как поток охлаждающей воды при
этом увеличивается.
Состояние системы является сложной функцией, зависящей от
многих факторов, предыстории возмущений, отказов отдельных
элементов и начального состояния, что значительно усложняет
ситуацию. Однако если сконцентрировать внимание на установившемся
состоянии системы в данный конкретный момент, задача
упрощается, потому что можно получить детальные модели установившихся
состояний, учитывающих возмущения и отказы элементов. Анализ
контуров регулирования, проведенный в разд. 2.7, основан именно
на таком подходе.
Подход, разработанный в настоящем разделе, нацелен на
анализ неустановившихся состояний системы с контурами
регулирования. Принцип, основанный на сочетаниях критических переходов,
распространяется на случай, в котором учитываются внутренние
состояния системы, зависящие, в свою очередь, от времени (или
последовательности событий).
Подход основан на методе Кумамото и Хенли, который
включает использование моделей в виде таблиц решений для элементов
системы [8], и на методе упрощения этих таблиц, который был
разработан и обеспечен вычислительными программами,
составленными Огунбийи и Хенли [9]. Код этой машинной программы назван
PITE (основной импликант для конечных событий). В программе
используется теория согласования Квина, а основные импликанты
определяются функцией с переменными параметрами состояний,
принимающими разные значения, при этом функция задается в
виде таблицы решений.
При помощи программы PITE можно составлять таблицы
критических переходов для целого ряда систем и определять основные
импликанты для конечных событий. В данном разделе используется
многоконтурная система управления в качестве примера для
демонстрации пригодности этой методологии для моделирования
систем, содержащих контуры регулирования.
3.10.1. Описание системы
Рис. 3.16 представляет собой структурную схему
многоконтурной системы регулирования уровня жидкости. Внутренний контур
регулирует расход жидкости, а при помощи наружного контура
осуществляется настройка расхода жидкости для внутреннего
контура. Имеются возмущения на входе каждого узла в контурах
регулирования, не входящие в технические характеристики системы.
146

Управляющий
—Ь<1—-—^
Ι/ΐ-Μ*/]
|£[-эд*/1
Wfl
Система
νηΐ-шЯ
VFE
Vtwi\
бак
реактора
VLTHh+i]
Временная
задержка
I I Регулятор -
^""l повторитель
l%o.ti\
VFM
Ho,+i\
ψιο,+ϊ\
Датчик -
повторитель
Временная
задержка
VFJ(t-1)
} FS
[ЦВ]
контрольный
прибор
задающего
устройства
L/C
LSP
Ш
VLE
ЮМ I \Н0.+
LS
Главный
регулятор
VLM
[-ιο,+ϊ]
LA
A\:io,+f\
Главный
датчик
VLT(t-1)
Рис. 3.16. Схема многоконтурной системы регулирования
Временные задержки введены контуры обратной связи для
описания внутреннего состояния системы или памяти. Приняты
следующие обозначения переменных параметров в системе:
А — внешние возмущения на главный датчик;
В — внешние возмущения на главный регулятор;
С — внешние возмущения на контрольный прибор задающего устройства;
D — внешние возмущения на датчик-повторитель;
Ε — внешние возмущения на регулятор-повторитель;
F — внешние возмущения на систему трубопроводов;
FIO — выход блока временной задержки контура регулирования потока
=VFI (t—1) (внутреннее состояние);
F/C — внутреннее состояние регулирующего клапана;
F/S — внутреннее состояние датчика расхода;
G — внутреннее состояние бака реактора;
LSP — заданное значение для контура регулирования уровня;
LTO — выход блока временной задержки контура регулирования уровня
=VLT (t—1) (внутреннее состояние);
L/C—внутреннее состояние контрольного прибора настройки;
L/S — внутреннее состояние датчика уровня;
t — дискретное время (целое число);
V01 — выход клапана, регулирующего расход;
VFE — выход управляющего устройства расхода;
VFI — выход из системы трубопроводов;
VFM — выход измерителя расхода;
VLE — выход главного регулятора;
VLT — выход измерителя уровня;
VLD — уровень жидкости в баке реактора (управляемый переменный
параметр) ;
VSP — заданное значение для контура регулирования потока, выход
контрольного прибора настройки.
Следующие обозначения используются для описания состояний
)борудования и аппаратуры, потока и ошибок:
147

—1 — низкое;
О — нормальное;
+ 1 —высокое;
В — поломка;
N — нормальное;
«—» — безразличное.
3.10.2. Определение системы и предварительное рассмотрение
Конечное событие для данной системы происходит тогда, когда
регулируемый варьируемый параметр (уровень жидкости в баке
реактора) выше требуемого. Из рис. 3.10 следует, что данное
событие происходит при значении варьируемого параметра VLT,
равном +1.
На основании предварительного рассмотрения порядка, в
котором промежуточные значения переменных параметров встречаются
в таблице для конечного события, таблицы решений для элементов
располагаются в следующей последовательности:
Элементы Типовые качественные зависимости в нормальном
режиме работы
1. Бак реактора Уровень пропорционален расходу
2. Система трубопроводов Расход пропорционален параметру V01 (выход
клапана, регулирующего расход)
3. Управляющий клапан Выход V01 пропорционален входной команде
VFE
4. Регулятор-повторитель Выход VFE обратно пропорционален измеренному
расходу VFM и пропорционален заданному
значению расхода VSP
5. Контрольный прибор за- Выход VSP (заданное значение расхода) пропор-
дающего устройства ционален FLE (команда от главного регулятора)
6. Главный регулятор Выход VLE обратно пропорционален измеренно-,
му уровню VLM при условии, что заданный
уровень нормальный
7. Главный датчик Измеренный уровень VLM пропорционален
уровню LTO
8. Датчик-повторитель Измеренный расход VFM пропорционален
расходу FIO
Таблицы решений для элементов приведены в табл. 3.8. Эти
таблицы были составлены при помощи типовых качественных
зависимостей элементов в нормальном состоянии и при возможных
отклонениях, вызываемых возмущениями и отказами. Таблицы для
элементов обычно неоднозначны. Поэтому рекомендуется
экспериментировать, составляя различные варианты таблиц для каждого
элемента, особенно при наличии противоречивых возмущений.
Была применена операция согласования, содержащаяся в
программе PITE, и получены упрощенные таблицы решений,
показанные в табл. 3.9.
3.10.3. Таблицы критических переходов
Была использована программа PITE, чтобы построить
таблицу критических переходов путем исключения промежуточных
варьируемых параметров. Табл. 3.10, полученная в результате такого
148

3.8. Таблицы решений для элементов системы
Бак реактора Главный регулятор
G VFI
-1 -1
+ 1+ 1 +
—о——о——о
— — —ооо ——
Управляющий
F/C VFE
N -1
В -1
N 0
В 0
N +1
В +1
VLT
-1
—1
+ 1
-1
0
+ 1
+ 1
+ 1
+ 1
клапан
V01
0
0
0
0
+ 1
0
Система трубопроводов
VOi [F
0 -1
+ 1 -1
0 0
4-1 0
0 +1
4-1 4-1
VFI
-1
+ 1
0
+ 1
+ 1
4-1
LSP
-1
0
+ 1
— 1
0
4-1
— 1
0
4-1
-1
0
+ 1
-1
0
+ 1
-1
0
4-1
-1
0
4-1
-1
0
+ 1
— 1
0
+ 1
в
-1
-1
—1
0
0
0
4-1
4-1
4-1
-1
-1
-1
0
0
0
4-1
4-1
4-1
-1
-1
-1
0
0
0
4-1
4-1
+ 1
VLM
0
0
0
0
0
0
0
0
0
4-1
4-1
+ 1
+ 1
4-1
+ 1
+ 1
+ 1
4-1
VLE
-1
-1
4-1
— 1
4-1
4-1
-1
4-1
— 1
-1
4-1
-1
0
4-1
— 1
4,1
+ 1
-1
-1
+ 1
—1
— 1
+ 1
-I
+ 1
+ 1

Регулятор-повторитель
VSP E VFM VFE
-1
0
+ 1
-1
0
+ 1
-1
0
+ 1
-1
0
+ 1
-1
0
+ 1
-1
0
+ 1
— 1
0
+ 1
— 1
0
4*
—1
0
+ 1
-1
ι
— 1
-1
0
0
0
+ 1
+ 1
+ 1
-1
-1
— 1
0
0
0
+ 1
+ 1
+ 1
-1
-1
- 1
0
0
0
4-1
+ 1
4-1
— 1
ι
— 1
— 1
— 1
— 1
— 1
— 1
0
0
0
0
0
0
0
0
0
+ 1
+ 1 .
+ 1
+ 1
4-1
4-1
+!
4-1
4-1
-1
— I
+ 1
-1
+1
+ 1
-I
+J
+ 1
-1
-I
+ 1
— I
0
+ 1
-1
+ 1
+1
— I
—I
+ 1
— I
-1
+ 1
-I
+ 1
+ 1
Главный датчик
A L/S LTO VLM
— 1
0
4-1
— 1
0
4-1
— 1
0
4-1
-1
0
4-1
— 1
0
+ 1
— 1
0
+ 1
N
N
N
В
В
в
Ν
Ν
Ν
Β
Β
Β
Ν
Ν
Ν
Β
Β
Β
ι
— 1
— 1
— 1
— 1
— 1
0
0
0
0
0
0
+ 1
4-1
+ 1
+ 1
4-1
4-1
— 1
—1
— 1
0
0
0
—1
0
4-1
0
0
0
4-1
4-1
+ 1
0
0
0
Продолжение табл. 3.8
Контрольный прибор задающего
устройства
С L/C VLE VSP
-1
0
4-1
— 1
0
4-1
—1
0
4-1
— 1
0
4-1
—1
0
4-1
— 1
0
4-1
N
N
N
В
В
В
N
N
N
В
В
в
N
N
N
В
В
в
—1
— 1
— 1
— 1
— 1
— 1
0
0
0
0
0
0
4-1
4-1
+ 1
4-1
+ 1
4-1
-1
0
4-1
— 1
0
4-1
— 1
0
+ 1
— 1
0
4-1
+ 1
+ 1
4-1
— 1
0
4-1
Датчик-повторитель
D F/S FIO VFM
—1
0
4-1
— 1
0
4-1
— 1
0
4-1
— 1
0
+ 1
— 1
0
4-1
— 1
0
+ 1
N
N
N
В
В
в
N
N
N
В
В
в
N
N
N
В
В
в
J
1
—1
1
1
— 1
0
0
0
0
0
0
+ 1
+ 1
4-1
4-1
+ 1
4-1
— 1
— 1
— 1
0
0
0
— 1
0
+ 1
0
0
0
4-1
+ 1
4-1
0
0
0

3.9. Упрощенные таблицы решений для элементов системы
Бак реактора Система трубопроводов
G
— 1
0
—1
+ 1
0
NFI
—1
—1
0
—
+ 1
0
Управляющий
F/C
В
N
Контр*
с
—1
—1
— 1
0
0
0
+ 1
А
_
— 1
—
0
+ 1
—
ольный
VFE
— 1
0
—
+ 1
VLT
—1
—1
—1
+ 1
+ 1
0
; клапан
V01
0
0
0
+ 1
прибор задающего
L/C
в
—
—
В
—
N
VLE
ι
— 1
0
—
— 1
0
—
—
+ 1
Главный датчик
L/5
N
N
В
—
N
N
LTO
—1
0
—
0
0
+ 1
V5P
1
— 1
—1
0
0
0
+ 1
+ 1
VLM
—1
-1
0
0
+ 1
+ 1
V01
0
+ 1
—
0
F
—1
—
+ 1
0
Регулятор-повторитель
VSP
— 1
0
0
+ 1
0
0
0
LSP
— 1
0
0
+ 1
0
0
0
D
— 1
—
0
+ 1
—
Ε
— 1
0
0
+ 1
0
Главный
в
ι
— 1
0
—
0
+ 1
0
VFM
+ 1
-1
0
регулятор
VLM
—
+ 1
— 1
—
0
Датчик-повторитель
F/S
N
N
В
N
N
FIO
— 1
0
—
0
0
+ 1
VFI
—1
+ 1
+ 1
0
VFE
— 1
— 1
—1
+ 1
+ 1
+ 1
0
VLE
— 1
— 1
— 1
+ 1
+ 1
+ 1
0
VFM
—1
—1
0
0
+ 1
+ 1

3.10. Таблица критических переходов (минимальный вариант)
О F/C С L/0 LSP В A L/S LTO Ε D F/S FIO F VLT
+ 1 - - ---,------- - +1
-Ν +1 ---------- - +1
__ Ν— Ν +1- — _ — — _ — _ _ +1
— Ν -ч Ν 0 0— Ν -1— — — — — + 1
— Ν — Ν 0 0—IN 0 — — — — — + 1
— Ν — Ν 0+1— — — — — — -. — 4-1
_Ν 0 — —1 — — — — ο—IN 0—4-1
__Ν 0 — — —1 — — — ο—IN 0-4-1
_Ν ο — — — — — — 0 — Ν — 1 — + 1
— Ν 0 — - ο— — — ο—IN 0-4-1
_Ν ο Β — — — — — 0—IN 0—4-1
_Ν 0 — —1 — — — — +1 — — +1 — +1
_Ν 0 — — —1— — — +1— — — — +1
_ Ν ο — — 0— — — +1— — — — 4-1
_Ν 0Β— — — — — 4-1--— — +1
— N0 — — — — - ίο—1 Μ 0—41
_Ν Ο — — — 41 — — Ο—IN 0—4-1
— Ν Ο — — — — — 1 ο—IN 0-41
_ Ν Ο — — — — Β — ο—IN 0-41
— Ν Ο — — — Ο — — ο —IN 0—41
_Ν Ο — +1 — — — — ο—IN 0—41
— Ν Ο — — — — — —1 -Ь1 — — — - 4-1
__Ν Ο — — — 4-1— - +1 — — — — +1
_Ν ο — — — — — +1+1— — — — +1
— Ν Ο — — — — Β — +1 — — _ — 4-1
— Ν Ο - — — Ο— — +1— — - — +1
— Ν Ο- +1— - — — +1— — — — +1
— Ν Ο— 0+1— — — ο—IN ο— +1
— Ν ο Ν — +1 — — — Ο—IN ο— +1
— Ν ON Ο — — — — ο—IN ο— +1
— Ν ON Ο — — — — -Ы — — — — -Ы
исключения, содержит более 30 строк, причем каждая из них
является минимальной в том смысле, что ни одна из строк не совпадает
ни с какой другой. Каждая строка состоит из параметров,
характеризующих виды отказов элементов или внутренние состояния
системы. Суммарное время, затрачиваемое на получение этой таблицы
на вычислительной машине «Honeywell 66/10», составляет 7,06 с.
При использовании метода согласования Квина, данную таблицу
сокращают с целью исключения повторений. В окончательном виде
таблица критических переходов показана как табл. 3.11, которая
представляет собой перечень всех основных импликантов для
конечного события в зависимости от параметров, характеризующих
виды отказов элементов и внутренние состояния системы.
Пренебрегая событиями, относящимися к нормальному или
безразличному состоянию системы, в каждой строке получим
следующие 10 видов отказов системы, которые вызывают увеличение
уровня в баке:
1) G = + l: воздействие больших внешних возмущений на бак
реактора.
152

3.11. Таблица критических переходов (вариант без повторений)
F/С С L/C LSP В A L/S LTO Ε D F/S FIO F VLT MODE
+ !_____ -_______+! 1
-N+1— — — —— — ——— — — +1 2
_Ν— Ν +1—■——--—- — -+1 3
— Ν — Ν 0 0— Ν — 1— — — — - +1 4
— Ν — Ν 0 0—IN ο ——— — — +1 5
_ Ν _ Ν 0+1— — — ——— — — +1 6
_ Ν 0 — — — — — — 0-1 Ν ο— +1 7
— Ν ο — — — — — — ο— Ν—1— +1 8
_ Ν ο — - — — — — +1-— — — +1 9
— _ _ _____ ______ +1+1 10
2) С = + 1: воздействие больших внешних возмущений на
контрольный прибор задающего устройства;
3) LSP = -f--: заданное значение в контуре регулирования
уровня слишком велико.
4) LTO = — 1: низкое значение на выходе из блока временной
задержки регулирования уровня; если уровень низкий,
отрицательная обратная связь увеличивает уровень и приводит к
переполнению, при этом чувствительность контура регулирования должна
быть уменьшена, чтобы исключить перерегулирование.
5) А= — 1: главный датчик дает сигнал, соответствующий,
заниженным показаниям; при данном отказе главный регулятор
увеличивает сигнал расхода, несмотря на то, что фактический уровень
жидкости является высоким;
6) В= + 1: главный регулятор дает завышенные значения
сигнала;
7) D=—1: датчик клапана дает заниженный сигнал, а
регулятор-повторитель увеличивает расход, хотя фактический расход
через систему трубопроводов останется большим:
8) FIO=—1: соответствует низкому выходу из блока временной
задержки контура управления расходом; при низких значениях
сигнала в контуре управления расходом имеется возможность
переполнения;
9) Е = + 1: регулятор-повторитель дает завышенные значения
сигнала;
10) F= + l: большая величина внешних возмущений в системе
трубопроводов.
Задачи
3.1. На рис. 3.17 показано упрощенное дерево отказов для бытового
нагревателя воды, рассмотренного в задаче 1.6.
Найти: 1) минимальные аварийные сочетания; 2) минимальные проходные
сочетания.
153

Рис. 3.17. Упрощенное дерево
отказов для системы бытового
нагревателя воды
3.2. В работе П. С. Уффорда (Chem. End. Prog., 68, No 3, 47, 1972)
приведена упрощенная структурная схема химической установки, показанная на рис. 3.18.
Построить дерево отказов и найти минимальные аварийные сочетания и
проходные сочетания.
Поток А
*
Потоп д
Компрессор I
Компрессор Д
Насос
3
?
Сушильный
агрегат
Ойеднитель
7
Реактор
■*
Рис. 3.18. Структурная схема к задаче 3.2
3.3. На рис. 3.19 показано дерево отказов для системы нагревателей,
рассмотренных в задаче 2.6. Получить минимальные аварийные сочетания, приняв во
внимание исключающие события.
3.4. На рис. 3.20 показано дерево отказов для релейной системы,
рассмотренной в задаче 2.7. Получить минимальные аварийные сочетания, приняв во
внимание взаимно исключающие события 4 и 9, 5 и 6.
154

3.5. Проверить аварийные сочетания с общим характером отказов в табл. 3.3
для случаев S3, S1 и Т2.
3.6. Упростить табл. 2.8, используя процесс согласования.
3.7. Получить таблицу критических переходов и основные импликанты для
системы, показанной на рис. 2.28; конечное событие — «высокая температура
кислоты на выходе».
Рис. 3.19. Дерево отказов для системы нагрева
155

8 9
Рис. 3.20. Дерево отказов для релейной системы
156

СПИСОК ЛИТЕРАТУРЫ
1. Fussell J. В., Henry Ε. В., Marshall N. Η. MOCUS — A Computer Program
to Obtain Minimal Cut Sets from Fault Trees, ANCR-1156, 1974.
2. Taylor J. R. RISO National Laboratory, Rotskild, Denmakr, private
communication.
3. Wagner D. P., Cate C. L., Fussell J. B. Common Cause Failure Analysis for
Complex Systems. Nuclear Systems Reliability Engineering and Risk Assessment,
Fussell J. and Burdick G., (eds.), SI AM, Philadelphia PA, p. 289, 1977.
4. Quine W. V. The Problem of Simplifying Truth Functions. American
Mathematical Monthly, vol. 59, pp. 521—531, 1952.
5. Quine W. V. A Way to Simplify Truth Functions. American Mathematical
Monthly, vol. 62, pp. 627—631, 1955.
6. Tison P. Generalization of Consensus Theory and Application to the
Minimization of Boolean Functions. IEEE Trans, on Electronic Computers, EC-16, N. 4,
pp. 446—456, 1967.
7. Henley E. J., Kumamoto H. Comments on Computer-Aided Synthesis of Fault
Trees, IEEE Trans. Reliability, R-26, N. 5, 316, 1977.
8. Kumamoto H., Henley E. J. Safety and Reliability Analysis of Systems with
Control Loops, AIChE Journal, 25, N. 1, 108, Jan. 1979.
9. Ogunbiyi E. Ph. D. Thesis, University of Houston, Dept. of Chemical
Engineering, Sept., 1979.

Глава 4
КОЛИЧЕСТВЕННАЯ ОЦЕНКА
ИСХОДНЫХ СОБЫТИЙ
Все системы в конце концов отказывают: ничто не является
совершенно надежным, ничто не работает вечно. Специалист по
надежности должен исходить из того, что любая система откажет, и,
следовательно, должен сконцентрировать свои усилия на
уменьшении частоты отказов до экономически и социально приемлемого
уровня. Такой подход является более реалистичным и логичным,
чем призывы «полное отсутствие загрязнений», «без риска»,
«безаварийный» и т. д.
Вероятностные понятия знакомы широким слоям
общественности. Мы уже привыкли, например, к такому прогнозу погоды, как
«возможна гроза с вероятностью 20%». Подобно этому,
возможность для человека промокнуть, если его зонтик неисправен, может
быть выражена вероятностным путем. Например, можно сказать,
что вероятность безотказной работы зонтика, изготовленного год
назад, равна 90%. Эта вероятность, разумеется, изменяется со
временем. Надежность зонтика, как ожидается, со временем
уменьшается: зонтик, купленный два года назад, вероятно откажет скорее,
чем зонтик, который прослужил только один год.
Надежность ни в коем случае не является единственным
критерием, с помощью которого можно характеризовать такие вещи, как
зонтик. Если вещь не работает или сломана, ее можно починить.
Когда зонтик отдается в починку, его нельзя использовать, таким
образом его работоспособность можно измерить с помощью
коэффициента готовности, т. е. того отрезка времени, в течение
которого он готов к использованию и функционирует нормально. Ремонт
требует денег, таким образом всегда хочется знать ожидаемое
число отказов в течение заданного времени.
Существуют аналитические зависимости между такими
понятиями, как надежность, коэффициент готовности и ожидаемое число
отказов. В данной главе эти зависимости будут детально
рассмотрены. Точное описание отказов элементов и видов отказов
занимает центральное место при выявлении опасностей в системе, так как
они вызываются сочетаниями отказов этих элементов. Если между
отказами элементов нет взаимосвязей, обусловленных данной
конкретной системой, количественная оценка исходных (относящихся
к элементам) отказов не зависит от их конкретного использования
в системе и общие данные можно распространить на данный слу-
158

чай. К сожалению, обычно это не соответствует действительности.
В настоящей главе прежде всего проводится количественная
оценка исходных событий, относящихся к элементам системы с
двумя возможными состояниями, т. е. исправное состояние и состояние
отказа. Здесь под элементами понимаются единицы оборудования
и приборов, подсистемы и т. д. Затем количественные оценки
распространяются на элементы, имеющие несколько видов отказов.
И, наконец, обсуждаются количественные аспекты ошибок человека
и взаимодействия с окружающей средой.
Предполагается, что читатель знаком с элементами статистики.
В данной главе рассматриваются основы статистики, относящиеся
к надежности, а дополнительный материал можно найти в прил. 4.3
настоящей главы. Перечень основных терминов приведен в
прил. 4.6.
4.1. УСЛОВНАЯ И БЕЗУСЛОВНАЯ ВЕРОЯТНОСТИ
В настоящей главе приводится, как может показаться,
бесконечный перечень сложных определений и формул, и у читателя может
возникнуть вопрос, оправдана ли такая детализация и сложность
или это лишь чисто академическое увлечение.
Первый вариант данной главы, написанный в 1975 г., был
существенно проще и содержал меньшее число определений. Когда
этот материал был распространен в 1978 г. в Италии в Институте
по изучению, перспективным исследованиям и анализу риска при
НАТО, после вызванных им дискуссий стало совершенно ясно, что
отсутствие точных и строгих определений, относящихся к
параметрам отказов и одинаково понимаемых широкими кругами
специалистов, привело к разработке теорий, имеющих лишь ограниченную
ценность, а также к составлению вычислительных программ,
предназначенных для расчета одних и тех же параметров, но не
выполняющих своего назначения. При переработке настоящей главы
авторы стремились привести материал в порядок и дать точные и
ясные определения всем параметрам. Много путаницы происходит из-
за отсутствия точных определений параметров, относящихся к
условным и безусловным видам отказов. Например, вероятность для
человека умереть на следующий день после приема гостей по
случаю его тридцатилетия не равна вероятности прожить тридцать лет
я один день. Вероятность последнего события является безусловной,
в то время как первая зависит от вероятности дожить до 30 лет.
Система записи и теоремы, относящиеся к условной
вероятности, могут быть незнакомы некоторым читателям, поэтому кратко
остановимся на них.
4.1.1. Определение условной вероятности
Условная вероятность Рг(Л|С) есть вероятность появления
события А при условии, что событие С произошло. Эта вероятность
определяется как
159

Рг(Л|С) —относительная доля предметов, приводящих к событию Л, среди
группы предметов, дающих событие С.
Условная вероятность отличается от безусловной вероятности
появления любого из событий Рг(Л) или Рг(С) или от Рг( Л, С):
Рг(Л)—относительная доля предметов, приводящих к событию Л, среди
всех предметов;
Рг(С)—относительная доля предметов, приводящих к событию С, среди
всех предметов;
Рг(Л, С)—относительная доля предметов, приводящих к одновременному
появлению событий Л и С, среди всех предметов.
Пример 1А. Имеется шесть шаров малого, среднего и большого размера,
красного, белого и синего цвета:
шар 1 шар 2 шар 3 шар 4 шар 5 шар 6
малый малый средний большой малый средний
синий красный белый белый красный красный
1) Рг (синий шар);
2) Рг (малый шар);
3) Рг (синий шар, малый шар);
4) Рг (синий шар|малый шар).
Решение. Имеется шесть шаров. Среди них — один синий, три малых и один
малый и синий. Таким образом:
Рг (синий шар) = 1/6;
Рг (малый шар) =3/6= 1/2;
Рг (синий шар, малый шар) = 1/6.
Среди трех малых шаров — только один синий, следовательно:
Рг (синий шар | малый шар) = 1/3.
Условная вероятность Рг(А\В, С) есть вероятность появления события Л
при условии, что оба события В и С произошли. Эта вероятность определена,
как Рг(Л|В, С)—относительная доля предметов, дающих событие Л, среди
группы предметов, приводящих к одновременному появлению событий В и С.
Пример 2А. Определить:
1) Рг( шар 2);
2) Рг (малый шар, красный шар);
3) Рг (шар 2, малый шар, красный шар);
4) Рг (шар 21 малый шар, красный шар);
5) Рг (шар 1| малый шар, красный шар).
Решение. Среди шести шаров — два малых и красных, и только шар 2
одновременно является малым и красным. Таким образом,
Рг (шар 2) = 1/6;
Рг (малый шар, красный шар) =2/6= 1/3;
Рг (шар 2, малый шар, красный шар) = 1/6.
Шар 2 является одним из двух малых красных шаров, поэтому
Рг (шар 2| малый шар, красный шар) = 1/2.
Шар 1 не принадлежит к группе из двух красных малых шаров.
Таким образом,
Рг (шар 1| малый шар, красный шар) =0/2 = 0.
4.1.2. Правило цепи
Одновременное существование событий А и С эквивалентно
существованию события С плюс существованию события А при
появлении события С. В символическом представлении:
(Л, С)^С и (Л|С).
Данную эквивалентность можно распространить на вероятности
Рг(Л, С)=Рг(С)Рг(Л|С). (4.1)
160

В более общем виде:
Рг(Ль Л2,...,А„)=Рг(Л1)Рг(А2|А1)...РгИ„|Ль Аъ...,Ап^). (4.2)
Если говорить о всем мире (о всем населении Земли), имеющем
определенное количество имущества W, формула (4.1) принимает
вид
Рг(Л, C\W)=Pr(C\\V)Pr{A\C, W). (4.3)
Эти формулы выражают соотношения, называемые правилом
цепи. Они полезны для вычисления вероятностей появления
одновременных (безусловных) событий по вероятностям условных
событий. Некоторые условные вероятности можно вычислить проще,
чем безусловные вероятности, так как условия сужают обозримую
часть мира.
Пример ЗА. Подтвердить правило цепи для:
1) Рг (синий шар, малый шар)=Рг (малый шар) Рг (синий шар | малый
шар);
2) Рг (шар 2, малый шар | красный шар)=Рг (малый шар | красный шар)
Рг (шар 2/малый шар, красный шар).
Решение. Из примера 1А известно:
Рг (синий шар, малый шар) = 1/6;
Рг (малый шар) = 1/2;
Рг (синий шар | малый шар) = 1/3.
Правило цепи для случая 1 подтверждается, так как 1/6= (1/2) (1/3).
Среди трех красных шаров два являются малыми, а шар 2 есть
единственный шар, который является малым шаром 2. Таким образом,
Рг (шар 2, малый шар | красный шар) = 1/3;
Рг (малый шар|красный шар) =2/3.
Только один шар есть шар 2 среди двух малых красных шаров:
Рг (шар 2|малый шар, красный шар) = 1/2.
Таким образом, для второго случая правило цепи подтверждается, так как
1/3= (2/3) (1/2).
4.1.3. Другое выражение для условней вероятности
Из соотношений для правила цепи (4.1) и (4.3) следует, что
Рг(Л1СНРг(Л> С) ; (4.4)
v J Рг(С) v
Рг (А | С, W) = Рг(Л' C]W) . (4.5)
Видно, что условная вероятность есть отношение безусловной
вероятности и вероятности условия С.
Пример 4А. Подтвердить, что:
1Ч г* / ι ά \ Рг (синий шар, малый шар)
1) Рг (синий шар | малый шар)=—* — ;
Рг (малый шар)
2) Рг (шар 2 | малый шар, красный шар) =
Рг(шар 2, малый шар | красный шар)
Рг (малый шар | красный шар)
6—533 161

Решение. Из примера ЗА следует:
1/6
1/3 = —— = 1/3 ддя первой формулы;
1 »z
1/3
1/2 = —— = 1/2 для второй формулы.
1/3
4.1.4. Независимость
Событие А независимо от события С, если и только если
рг(Л | С)-Рг(Л). (4.6)
Это означает, что вероятность события А не изменяется при
появлении события С. Соотношения (4.4) и (4.6) дают
Рг(Л, С)=Рт]{А)Рт(С).
Это есть другое выражение независимости. Видно, что если
событие А независимо от события С, то и событие С также независимо
от события Л.
Пример 5А. Независимо ли событие «синий шар», от события «малый шар»?
Решение. Оно не является независимым, так как
Рг (синий шар=1/6) (см. пример 1А);
Рг (синий шар | малый шар) = 1/3 (см. пример 1А).
Появление события «синий шар» становится более вероятным, когда
происходит событие «малый шар». Другими словами, возможности появления
«синего шара» возрастают, если наблюдается «малый шар».
4.1.5. Правило моста
Проще вычислять условную вероятность Рг(Л|С), когда
причинные связи между событиями А и С становятся более ясными.
Чтобы добиться ясности, введем промежуточные события В\...Вп,
каждое из которых выполняет роль моста от события С к событию
А (рис. 4.1). Примем, что события Βι...Βη являются
взаимоисключающими и охватывают все возможные случаи, т. е.
Pr(Bh Bj)=0 ддя I φ J; (4.7)
Рт{Вг или В2 или... или Вп)=1ш (4.8)
Тогда условную вероятность Рг (А \С) можно выразить в виде
Рг(Л | C)=2Pr(5 I QPr(A | Bh С). (4.9)
Событие А может проявиться через любое из событий В\...Вп.
Интуитивно можно сказать: Рг(£/|С) есть вероятность выбора моста
Βι, а Рг (А \ ВiC) есть вероятность появления события Л, когда мост
Bt пройден.
Пример 6А. Вычислить Рг (синий шар | малый шар) приняв, что события В
есть /-й шар:
162

Рис. 4.1. Мосты Вх ... В η
Решение. Выражение (4.9)
записывается для данного случая в
виде Рг (синий шар | малый шар) =
= Рг (шар 1| малый шар) Рг (синий
шар|шар 1, малый шар)+Рг (шар
21 малый шар) Рг (синий шар| шар 2,
малый шар)+Рг (шар 61 малый шар)
Рг (синий шар|шар 6, малый шар) = (1/3) (1) + (1/3) (0) + (0) (0) + (0) (0) +
+ (1/3) (0) + (0)(0) = 1/3.
Когда нет шара, удовлетворяющего заданному условию, соответствующая
условная вероятность равна нулю. Следовательно, Рг (синий шар | шар 3, малый
шар) =0.
Таким образом, подтверждается результат, полученный в примере 1А.
4.2. ВЕРОЯТНОСТНЫЕ ПАРАМЕТРЫ ЭЛЕМЕНТОВ С ДВУМЯ
ВОЗМОЖНЫМИ СОСТОЯНИЯМИ
Примем, что в любой момент времени элемент функционирует
нормально или отказал и что состояние элемента изменяется с
течением времени. Возможные переходы состояний показаны на рис. 4.2.
Новый элемент сразу переходит в исправное состояние, находится
в нем в течение какого-то времени, затем отказывает и испытывает
таким образом переход в состояние отказа. Если элемент невосста-
навливаемый, состояние отказа продолжается вечно.
Восстанавливаемый элемент остается в состоянии отказа в течение некоторого
периода, затем, когда ремонт закончен, переходит в исправное
состояние. Предположим, что элемент меняет свое состояние
мгновенно. Далее предположим, что не более одного перехода происходит
в течение достаточно малого интервала времени и что возможность
двух или более переходов пренебрежимо маля
Переход в исправное состояние называется ремонтом, в то время
как переход в состояние отказа есть отказ. Предположим, что в
результате ремонта элемент восстанавливается до кондиции нового
элемента. Таким образом, можно рассматривать производство
элементов как процесс их ремонта. Полный цикл, следовательно,
состоит из повторения процессов ремонта — отказа, а затем отказа —
ремонта. Сначала будет рассмотрен процесс ремонт — отказ, затем
процесс отказ — ремонт и, наконец, полный цикл.
Элемент
отказывает
ш%аовяНнив (\Имра8ноа\ ^{Состоят^\ ^™f
^— \^^Л^ [ —а)) ^сГтс»
Элемент
отремонтирован
Рис. 4.2. Диаграмма переходов для состояний элементов
163

4.2.1. Ремонт —отказ
Полный период жизни является типичным процессом ремонт —
отказ. Здесь под ремонтом подразумевается рождение, а под
отказом — смерть.
Невозможно предсказать точное значение продолжительности
жизни любого человека, поскольку его отказ является случайным
переменным параметром, и эти характеристики можно определить,
рассматривая его как представителя всего огромного населения. Его
отказ можно характеризовать только с помощью стохастических
данных, относящихся ко всему населению.
Показатель надежности R(t) в данном примере есть вероятность
достижения возраста t (включая t)f которая равна числу людей,
доживших до возраста t, деленному на общее число данной
выборки. Подобно этому показатель ненадежности F(t) есть вероятность
смерти до возраста t (t не включается), которая получается
делением общего числа смертей до возраста t на общее число людей.
По данным смертности в табл. 4.1, в которой приведена
продолжительность жизни населения численностью 1 023 102 человек,
подсчитаны показатели надежности и ненадежности, показанные в табл,
4.2, и построены графики, изображенные на рис. 4.3.
4.1. Данные смертности [1]
/
0
1
2
3
4
5
10
МО
1 023 102
1 000 000
994 230
990 114 ι
986 767 1
983 817
971 804
/
15
20
25
30
35
40
45
Ш)
962 270
951 483
939 197
924 609
906 554
883 342
852 554
t
50
55
60
65
1 70
1 75
80
L(t)
810 900
754 191
677 771
577 822
454 548
315 982
181 765
;
85
90
95
99
Щ)
78 221
21577
ЗОН
125
Примечание. Символ t — возраст, лет; L(t) — число живущих в возрасте t.
Кривая R(t) по времени t есть распределение выживаемости, а
кривая F(t) по времени t есть распределение отказов.
Распределение выживаемости дает вероятность для индивидуума дожить до
возраста /, а также определяет относительное число людей, которое,
как ожидается, доживет до любого заданного возраста t.
Распределение отказов F(t) есть вероятность смерти индивидуума до
возраста t. Оно также показывает относительное число людей,
которые, как предсказывается, умрут до возраста t. Разность F(t2) —
F(t\)> где t2>tu равна относительному чцслу людей, которые, как
ожидается, умрут в возрасте от t\ до /2 (включая возраст t\ и не
включая /г).
Так как число смертей в каждом возрасте известно, можно
построить гистограмму (рис. 4.4). Высота каждой колонки на этой
гистограмме представляет собой число смертей на данном отрезке
164

Рис. 4.3. Распределения выживаний
(1) и отказов (2)
Рис. 4.4. Гистограмма и непрерывная
кривая
10 20 30 ¥0 50 60 70 80 90 100
Возраст, лет
20 90 60 8i
Возрасту t лет
100
4.2. Показатель надежности для человека
Возраст /, год
0
1
2
3
4
5
10
15
20
25
30
35
40
45
50
55
60
65
70
75
80
85
90
95
99
100
Число живущих
в возрасте /
1 023 102
1 000 000
994 230
990 114
986 767
983 817
971 804 1
962 270
951 483
939 197
924 609
906 554
883 342
852 554
810 900
754 191
677 771
577 882
454 548
315 982
181 765
78 221
21 577
ЗОН
125
0 1
N
1,0
0,9774
0,9718
0,9678
0,9645
0,9616
0,9499 ι
0,9405
0,9300
0,9180
0,9037
0,8861
0,8634
0,8333
0,7926
0,7372
0,6625
0,5648
0,4443
0,3088
0,1777
0,0765
0,0211
0,0029
0,0001
0,0 |
7ЧО-1-ЖО
0,0
0,0226
0,0282
0,0322
0,0355
0,0384
0,0501
0,0595
0,0700
0,0820
0,0963
0,1139
0,1366
0,1667
0,2074
0,2628
0,3375
0,4352
0,5557
0,6912
0,8223
0,9235
0,9789
0,9971
0,9999
1,0
165

жизни. Она пропорциональна разности F(t + A)—F(t), где Δ —
ширина отрезка жизни.
Если уменьшать ширину отрезка, уступы на рис. 4.4 постепенно
сближаются, пока не сформируется непрерывная кривая. Эта
кривая после нормирования (приведения к общему числу выборки
населения) представляет собой плотность распределения наработки до
отказов, т. е. плотность отказов f(t). Вероятность смерти на
протяжении малого отрезка жизни [/, t + dt] определяется величиной
f(t)dt и равна F(t+dt)—F(t).
Вероятность смерти в период между двумя возрастами t\ и t2
равна площади под кривой, и ее можно определить интегрировани-
ем функции f(t) на данном отрезке ^ (t2) — F (1^= Г f(t)dt. Это ра-
\х
венство указывает на то, что плотность отказов f(t) определяется
по формуле f(t)=dF(t)/(dt) и может быть приближенно
подсчитана численным дифференцированием: f(t)&[F(t + A)—F(t)]/A.
Далее вводятся следующие обозначения: N — общее число
выборки (N=1 023 102); η(t) —число смертей до возраста t\ n{t +
+ Δ) —число смертей до возраста t + A. Тогда величина [n(t+A)—«
—n(t)}/N есть относительная часть населения, которая, как
ожидается, умрет на отрезке [tt t + A) и, следовательно, равна F(t + A) —
—F(t). Таким образом,
f(i)^ln(t + L)-n(i)]l(b-N). (4.10)
Величина [n(t + A)—n(t)] равна высоте гистограммы на отрезке
жизни [t, t + A). Таким образом, формула численного
дифференцирования (4.10) эквивалентна нормированию гистограммы,
представленной на рис. 4.4, при делении на общее число выборки и на
ширину отрезка Δ.
Подсчитанные значения f(t) даны в табл. 4.3 и построены в
виде кривой на рис. 4.5. Данные в правой графе табл. 4.3 основаны на
численном дифференцировании непрерывной кривой F(t), а в
графе 3 — на численном дифференцировании (т. е. нормировании)
гистограммы. Непрерывное распределение отказов можно получить с
помощью полиномной аппроксимации дискретного значения.
Рассмотрим теперь часть населения, которое состоит из
индивидуумов, доживших до возраста t. Частота отказов r(t) есть
вероятность смерти за единицу времени в возрасте t для индивидуума
этой части населения. Таким образом, для достаточно малого
отрезка Δ, величина r(t)A оценивается числом смертей в течение
отрезка [/, ί+Δ), деленным на число индивидуумов, доживших до
возраста t:
,л д число смертей в течение [t, t + Δ) [г (^+Δ) —-n(t)]
число .поживших до возраста t L (t)
Если разделить числитель и знаменатель на общее число
выборки (N=1023 102), то получим r(t)A=f(t)A/[R(t)l так как R(t)
есть число доживших до возраста t9 деленное на общее число насе-
166

ления, а числитель определяется по формуле (4.10). Данное
выражение можно записать в виде r(t) =f(t)/[l—F(t)].
4.3. Функция плотности отказов f(t)
-
Возраст, год
о
1
2
3
4
5
10
15
20
25
30
35
40
45
50
55
60
65
70
75
80
85
90
95
99
100
ψ
Число отказов
(смертей)
л(*+А)-л(0
23 102
5 770
4116
3 347
2 950
12013
9 534
10 787
12 286
14 588
18 055
23 212
30 788
41654
56 709
76 420
99 889
123 334
138 566
134217
ι 103 554
56 634
18 566
2 886
125
0
я(*+А) -n(t)
/2 (Οβ
0,02260
0,00564
0,00402
0,00327
0,00288
0,00235
0,00186
0,00211
0,00240
0,00285
0,00353
0,00454
0,00602
0,00814
0,01110 I
0,01500
0,01950
0,02410
0,02710
0,02620
0,02020
0,01110
0,00363
ί 0,00071
0,00012
/ tt\ ар<<г)
Λ (Ο =
dt
0,00540
0,00454
0,00284
0,00330
0,00287
0,00192
0,00198
0,00224
0,00259
0,00364
0,00393
0,00436
0,00637
0,00962
0,01367
0,01800
0,02200
0,02490
0,02610
0,02460
0,01950
0,00970
0,00210
—
—
Возраст,
год
0
1
2
3
4
5
10
15
20
25
30
35
4.4. Подсчет частоты отказов r(t)
Число
отказов
(смертей)
23 102
5 770
4116
3 347
2 950
12013
9 534
10 787
12 286
' 14 588
18 055
23212
L(o—Z!£L
0,02260
0,00570
0,00414
0,00338
0,00299
0,00244
0,00196
0,00224
0,00258
0,00311
0,00391
0,00512
Возраст,
год
40
45
50
55
60
65
70
75
80
85
90
95
99
| 1
Число
отказов
(смертей)
30 788
41 654
56 709
76 420
99 889
123 334
138 566
134217
103 554
β6 634
18 566
2 886
125
Ι-F (О
0,00697
0,00977
0,01400
0,02030
0,02950
0,04270
0,06100
0,08500
0,11400
0,14480
0,17200
0,24000
1,20000
167

_ι ι ι ι μ ι i-J
w 00 ^
Возраст t,neir
80
t.nem
Рис. 4.5. Плотность распределения от- Рис. 4.6. Частота отказов r(t) в
заказов f(t) висимости от t
Данный метод вычисления частоты отказов r(t) дает
результаты, которые сведены в табл. 4.4 и по которым построена кривая
на рис. 4.6. Кривая r(t) известна под названием U-образной кривой.
Для нее характерна относительно большая начальная частота
отказов (период приработки), за который следует период расцвета
сил с довольно постоянной частотой, когда отказы происходят
случайно, а затем следует конечная фаза износа, или догорания. В
идеальном случае, ответственное оборудование вводят в эксплуатацию
после периода приработки и заменяют до вступления в фазу
износа.
Пример 1. Вычислить, используя данные смертности в табл. 4.1, показатель
надежности /?(/), показатель ненадежности F(t), плотность отказов f(t) и
частоту отказов r(t) для:
а) 75-летнего человека;
б) человека в первый день после празднования его 75-летнего юбилея.
Решение:
а) для человека в возрасте 75 лет (пренебрегаем одним дополнительным
днем):
/?(0 =0,3088; F(/) =0,6912 (см. табл. 4.2); /(0=0,02620 (см. табл. 4.3);
г (0=0,08500 (см. табл. 4.4);
б) фактически решение начинаем для нового населения численностью N,
равной 315 982 человека, имеющего следующие характеристики (где / = 0
означает возраст 75 лет):
168

/
0
5
10
15
20
24
25
L(t)
315 982
181 765
78 221
21577
ЗОИ
125
0
L(t)/Nf
*<0
1
0,575
0,248
0,0683
0,0095
0,0004
0
i-/?(0,
F(t)
0
0,425
0,752
0,9317
0,9905
0,9996
1
Табл. 4.3,
Л(/ + А)-л(/)
134217
103 554
56 634
18 566
2 886
125
0
Л(/ + А)-л(0
,
JV Δ
/<0
0,0850
0,0655
0,0358
0,0118
0,0023
0,0004
0
* (0
/?(/) ,r(/)
0,0850
0,1139
0,1444
0,1728
0,2421
1,0000
С помощью интерполяции для возраста 75 лет и один день получаем
0,575— 1
*«> = 1+Ί^Γ=°'9998:
F(t) = \—R (έ) = 0,0002;
0,0655 — 0,0853
/Ю=0.085+ 5χ365
г (t) =0,0850.
На рис. 4.7 показано распределение
вероятности смерти для этого населения.
4.2.2. Полный цикл (ремонт —
отказ — ремонт)
Восстанавливаемый элемент
испытывает неоднократное
повторение цикла ремонт — отказ —
ремонт. Характеристики таких
элементов можно получить,
рассматривая элемент как образец из
большой группы подобных элементов,
подвергающихся аналогичным
повторным применениям. Графики
временных зависимостей для каждого
образца из группы в десять
элементов приведены на рис. 4.8.
Предполагаем, что образцы мгновенно
переходят в исправное состояние в
начальный момент времени, т. е.
элемент является новым при / = 0.
Следующие вероятностные параметры
характеризуют группу элементов
(см. рис. 4.8).
Коэффициент готовности A (t) в
момент t есть вероятность того, что
= 0,0853;
Рис. 4.7. Отказы F(t) для
примера 1
169

г.
3
10
F
N{
F
N
F
N{
N{
N[
F
N{
N{
N{
F
N{
F
i-H
t
t
Η
г
г
т
г
г
i
δ
10
о 1 г з ч 5 в
Время t
Рис. 4.8. Графики состояния элементов:
F — отказ; N — исправное состояние
элемент является исправным в момент t. Он равен числу
исправных элементов в момент /, деленному на общее число образцов.
Например, Л(5) =6/10=0,6. Необходимо отметить, что исправные
элементы в момент t имеют различные сроки службы, которые
отличаются от t. Например, элемент 1 (см. рис. 4.8) имеет срок
службы 0,5 в момент 5, в то время как элемент 4 имеет срок службы
1,2.
Коэффициент простоя Q(t) есть вероятность того, что элемент
находится в состоянии отказа в момент t и равен числу отказавших
элементов в момент /, деленному на общее число образцов.
Безусловная интенсивность отказов w(t) есть вероятность того,
что элемент отказывает в единицу времени в момент t. На рис. 4.8
видно, что элементы 3 и 7 отказывают в интервале [5, 6). Таким
образом, приближенное значение w(5) равно 2/10 = 0,2.
Величина w(5)Xl равна ожидаемому числу отказов W (5, 6) в
интервале [5, 6). Ожидаемое число отказов W (0,6) в интервале
[0, 6) оценивается по сумме W(0, 6) =w(0) X 1 + ... + α;(5)IX 1.
Точное значение W(0y 6) определяется интегрированием
в
W (0,6)= ^w (t) dt.
ό
Безусловная интенсивность ремонтов v(t) и ожидаемое число ре-
монтов V(t\, t2) можно определить подобно w(t) и W(tu t2)
соответственно. Затраты из-за отказов и ремонтов в интервале [tu /2)
170

можно связать соответственно с W(tu t2) и V{tu t2), если известны
расходы на ремонт и потери продукции из-за отказов.
Имеется еще один параметр отказа, который нужно определить.
Рассмотрим другую группу элементов, которые находятся в
исправном состоянии в момент t. Когда /=5, эта группа состоит из
элементов 1, 3, 4, 5, 7, 8 и 10. Условная интенсивность отказов λ (О
есть доля исправных элементов в совокупности, которая, как
ожидается, откажет в единицу времени в момент t. Например, λ(5)Χΐ
оценивается в 2/6, так как элементы 3 и 7 отказывают в интервале
[5, 6). Условную интенсивность ремонтов μ(/) определяют
подобным образом. Большее значение λ(ί) означает, что элемент вот-вот
должен отказать, в то время как большие значения μ(^
соответствуют тому, что элемент будет отремонтирован в ближайшем
будущем.
Пример 2. Подсчитать значения R(t), F(t), f(t), r(t), A(t), Q(t), w(t)y
№(0, t) и λ(0 для 10 элементов (см. рис. 4.8) при f=5 и t = 9 ч.
Решение. Необходимо иметь данные по наработке до отказа, т. е. срокам
службы, для того чтобы вычислить R(t), F(t), f(t) и г (t), так как эти
параметры относятся к процессу ремонт — отказ.
Элемент
1
1
1
2
2
3
3
4
4
ремонта
0
4,5
7,4
0
1,7
0
6,8
0
3,8
t до
отказа
3,1
6,6
9,5
1,05
4,5
5,8
8,8
2,1
1 6,4

Наработка до
отказа
3Л
2Л
2>1
1,05
2,8
5,8
2,0
2,1
2,6
Элемент
5
6
7
7
8
8
9
9
_ 10 _
t до
ремонта
0
0
0
3,5
0
3,65
0
6,2
0
t до
отказа
4,8
3
1,4
5,4
2,85
6,7
4,1
8,95
7,35
ι**" аагг

Наработка до
отказа
4,8
3
1,4
1,9
2,85
3,05
4,1
2,75
7,35
Следующие данные по выходу из строя элементов получены из приведенных
выше значений наработок до отказа.
/
о
1
2
3
4
5
6
7
8
9
Щ)
18
18
15
5
4
2
1
1
0
0
*<0
1
1
0,8333
0,2778
0,2222
0,1111
0,0556
0,0556
0
0
F(t)
0
0
0,1667
0,7222
0,7778
0,8889
0,9444
0,9444
1
1
n_{t)
0
3
10
1
2
1
0
1
0
1 °
fit)
0
0,1667
0,5556
0,0556
0,1111
0,0556
0
0,0556
0
0
0
0,1667
0,6667
0,2001
0,5000
0,5005
0
1,0000
—
171

Таким образом, при *=5 получаем /?(5)=0,1111; ^(5) =0,8889; f(5) =
= 0,0056; г(5) =0,5005, а при / = 9 имеем Я(9)=0; F(9) = l; f(9)=0; г(9) —
не определено.
Параметры A(t), Q(t), W(0, t) и %{t) определяем из анализа полного цикла
ремонт — отказ — ремонт, показанного на рис. 4.8.
А (5) = 6/(10) =0,6; Q (5) =0,4; w (5) =0,2;
W (0,5) = [2+2 +2+3]/(10)=0,9; λ (5) = 2/6 = 1/3,
а при t=9
А (9) = 6/(10) = 0,6; Q (9) = 0,4; w (9) = 0,1;
1Γ(0,9)=1Γ(0,5)+[2+3+1+2]/(10)=1,7; λ(9) = 1/6.
4.2.3. Вероятностные параметры для процесса ремонт — отказ
Теперь вернемся к вопросу, какими параметрами можно
характеризовать процесс ремонт — отказ. Этот процесс относится к не-
восстанавливаемым элементам, а также к восстанавливаемым
элементам, если ограничиться рассмотрением процесса до момента
первого отказа. Прежде всего повторно приведем некоторые
определения, введенные в разд. 4.2.1, в более формализованном виде и
затем выведем некоторые новые зависимости.
Рассмотрим процесс, начинающийся с ремонта и1
заканчивающийся при первом отказе. Сместим начало отсчета таким образом,
что при окончании ремонта элемента /=0; при этом элемент
считается новым. Ниже приведены вероятностные характеристики
процесса и соответствующие им обозначения: R(t)—показатель
надежности в момент t\ вероятность того, что элемент не откажет в
интервале (0, t] при условии, что элемент был отремонтирован в
начальный момент.
Кривая R(t) в зависимости от времени t представляет собой
распределение выживания. Это распределение монотонно убывает,
так как надежность уменьшается с течением времени. Типичное
распределение выживания показано на рис. 4.3.
Следующие асимптотические свойства справедливы для R(t):
11m/? (0=1; (4.11)
11m/? (0=0. (4.12)
Формула (4.11) показывает, что почти все элементы сохраняются
в окрестности /=0, а формула (4.12) указывает на исчезающе
малую вероятность для элемента уцелять вечно.
F(t) —показатель надежности в момент времени t: вероятность
того, что элемент откажет первый раз в интервале [0, t) при уело-
вии, что он был отремонтирован в начальный момент.
Кривая F(t) в зависимости от времени t называется
распределением отказов и является монотонно возрастающей функцией от
t. Типичные зависимости распределения отказов показаны на
рис. 4.3.
172

Следующие асимптотические свойства справедливы:
limF(t)=0; (4.13)
llmF@-\. (4.14)
Формула (4.13) показывает, что очень малое число элементов
отказывают сразу после ремонта, в то время как формула (4.14)
указывает на асимптотическое стремление к полному отказу.
Так как элемент либо остается исправным, либо отказывает
первый раз в момент tt то
R(t)+F(t)=l. (4.15)
Теперь, пусть ίι<ί2. Разность F(t2)—F(ti) есть вероятность
того, что элемент впервые откажет в интервале [tu t2) при условии,
что он был, как новый в начальный момент. Схема
определение-вероятности показана на рис. 4.9.
f(t) — плотность вероятности отказов; первая производная от
F(t).
Выше было показано, что f(t) является первой производной от
F(t):
/W=^L, (4.16)
at
или, в эквивалентной записи,
f{t)dt=F(t + dt)-F(t).
(4.17)
Таким образом, f(t)dt есть вероятность того ,что первый отказ
элемента произойдет в течение малого интервала [t, t+dt) при уело-
Элементы,
определяющие
F(t1)
Элементы.
определяющие
F(tz)-F(tj)
Λ/il
Ν
F
aJ
Λ/
F
J
rF
Ail
N
F
a/1
\N
F
vL
/\
vL
l 1
I
1
r~
_J
I
I
Элементы,
определяющие
F(tz)
Время t
Рис. 4.9. К определению вероятности F(tx) —F(t2):
F — отказ; N — исправное состояние
173

вии, что элемент был
отремонтирован в начальный
момент времени.
Показатель ненадежное·
ти F(t) получается
интегрированием, т. е.
t
F(t)= |/(й)</я.(4.18)
о
Подобно этому разница в значениях показателя ненадежности
и
F№-F(tu=\f{u)du, (4.19)
К
а показатель надежности есть
оо
R(t) = ^f{u)du. (4.20)
Эти соотношения проиллюстрированы на рис. 4.10.
r(t) — частота отказов:.вероятность того, что элемент
отказывает в единицу времени в момент времени t при условии, что элемент
был отремонтирован в начальный момент и не отказал до
момента t.
Величина r(t)dt есть вероятность того, что элемент откажет а
интервале [ty t + dt) при условии, что элемент имеет срок службы,,
равный t. Здесь срок службы означает, что элемент работал в
начальный момент и продолжает работать до момента L Частота
отказов обозначается просто через г, если она зависит от срока
службы t. Элемент с постоянной частотой отказов г рассматривается как.
новый элемент, если он продолжает функционировать.
Η ДО — наработка до отказа: промежуток времени от ремонта
до первого отказа.
Наработка до отказа является случайным переменным
параметром, так как невозможно заранее предсказать точное время
первого отказа.
С Η ДО — средняя наработка до отказа: ожидаемое значение
наработки до отказа.
Эта величина определяется по формуле
оо
СНДО=р/(/)Л. (4.21)
о
Величина f(t)dt есть вероятность того, что НДО близко к t;
таким образом, величина, определяемая по формуле (4.21), есть
среднее значение всех возможных НДО.
Пример 3. В табл. 4.5, показаны данные по отказам 250 германиевых
транзисторов, причем все транзисторы отказали за период испытаний. Определить пока-
Время t
Рис. 4.10. Интегрирование плотности
отказов f(t)
174

Рис. 4.11. Показатели
надежности и ненадежности
транзисторов
^ 1,0
олу
затель ненадежности F(t), час-1
тоту отказов r(t), плотность^ 0,8 \
отказов f(t) и СНДО. |
Решение. Показатель не- ,§ qq I
надежности F(t) в момент / §
есть просто отношение числа ξ
отказавших транзисторов к об- ^
щему числу (250) испытуемых &
образцов. Результаты вычисле- § №\
ний сведены в табл. 4.6, а рас- §
пределение вероятностей отка-с§
зов представлено в виде
графика на рис. 4.11.
Плотность отказов f(t) и
частоту отказов r(t) вычисляем
подобно подсчету смертности в примере 1 (см. табл. 4.6). Первое приближение
для чистоты отказов есть постоянная величина г (/)=/·=0,0026, являющаяся
средним значением частоты. В целом постоянная частота отказов характерна
для полупроводниковых приборов (твердотельных элементов), а также для
нового оборудования и систем, например для автомобилей с пробегом от 4,8 до
32 тыс. км.
4.5. Данные по отказам для транзисторов
400 600 800 1000 1200 ПОО 1600
Наработка до отказа, мин
Наработка до отказа
t, мин
0
20
40
60 |
90 1
160
I
Накопленные отказы
| nit)
о 1
9
23
50
83
ИЗ
Наработка до
t, мин
230
400
1 900
1200
2500
-*2500
отказа
Накопленные отказы
nit)
143
160
220
235
240
-*250
4.6. Показатели надежности и ненадежности, плотность отказов
и частота отказов для транзисторов
У
0
20
40
60
90
160
230
400
900
1200
2500
L{t)
250
241
227
200
167
137
107
90
30
15
10
R{t)
1
0,9640
0,9080
0,8000
0,6680
0,5480
0,4280
0,3600
0,1200
0,0600
0,0400
^(О
0
0,0360
0,0920
0,2000
0,3320
0,4520
0,5720
0,6400
0,8800
0,9400
0,9600
n(t)
9
14
27
33
30
30
17
60
15
5
""*■
Δ
20
20
20
30
70
70
170
500
300
1300
/ι(/+Δ)-/ι(/)
/(О
0,00180
0,00280
0,00540
0,00440
0,00171
0,00171
0,00040
0,00048
0,00020
0,00002
"
fit)
R{t) '
MO
0,00180
0,00290
0,00595
0,00550
0,00256
0,00312
0,00093
0,00133
0,00167
0,00033
175

Если частота отказов постоянна, то, как показано в разд. 4.4, СНДО=1/г=
= 384,6. Другой способ вычисления заключается в использовании формулы
(4.21), которая дает
СНДО == ΙΟχΟ,0018X20+30x0,0328X20+... + 1850X0,00002χ 1300 = 501,4.
4.2.4. Вероятностные параметры для процесса отказ — ремонт
Рассмотрим процесс, начинающийся с отказа и оканчивающийся
первым ремонтом. Начало отсчета времени сместим таким образом,
чтобы ^ = 0 при отказе данного элемента. Вероятностные
параметры определяем из условия, что элемент отказывает в начальный
момент времени.
G(t) —вероятность ремонта в момент времени t: вероятность
того, что ремонт завершается до момента времени t, при условии, что
элемент отказал в начальный момент.
Кривая G(t) в зависимости от t есть функция распределения
ремонтов. Она обладает такими же свойствами, как и кривая
распределения отказов F(t). Невосстанавливаемый элемент имеет
параметр G(t), тождественно равный нулю. Распределение ремонтов
есть монотонно возрастающая функция для восстанавливаемого
элемента; справедливы следующие асимптотические свойства:
ИтО«Н0; (4.22)
limG(*)=l. (4.23)
g(t)—плотность вероятности ремонтов; первая производная от
G(t).
Это равенство можно записать как
g(t)=dG(t)/(dt)y (4.24)
или g{f)dt=G(t + dt)-G(t). (4.25)
Таким образом, величина g{t)dt есть вероятность того, что
ремонт элемента завершен в интервале [t, t + dt) при условии, что
элемент отказал в начальный момент эксплуатации.
Плотность ремонтов связана с распределением ремонтов и с
разностью двух ее значений следующим образом:
Q(t) = ^g(u)du; (4.26)
о
0(*2)-<ЭД= §g(u)du. (4.27)
Следует отметить, что разность G(t2)—G(t\) есть вероятность
завершения первого ремонта в интервале [tu £2) при условии, что
элемент отказал в начальный момент времени.
m(t) — частота ремонтов: вероятность того, что элемент
отремонтирован в единицу времени в момент t при условии, что элемент
176

отказал в начальный момент и находился в состоянии отказа до
момента t.
Величина m(t)dt есть вероятность того, что элемент
отремонтирован в интервале [t, t + dt) при условии, что продолжительность
пребывания в состоянии отказа элемента равна t.
Продолжительность состояния отказа означает, что элемент отказал в начальный
момент и находился в этом состоянии до момента t. Если частота
не зависит от продолжительности состояния отказа t, ее
обозначают просто через т. Элемент с постоянной частотой ремонтов
имеет одинаковый шанс быть отремонтированным, когда бы он ни
отказал, а невосстанавливаемый элемент имеет частоту ремонтов,,
равную нулю.
ПР — продолжительность ремонта; промежуток времени от от-
каза до первого последующего ремонта.
Продолжительность ремонта есть случайный переменный
параметр, потому что первый ремонт завершается в произвольный
момент.
СПР — средняя продолжительность ремонта: ожидаемая
величина продолжительности ремонта ПР.
Средняя продолжительность ремонта определяется как
СПР =]tg(t)dt. (4.28)
Пример 4. Были зарегистрированы следующие продолжительности ремонтов
(ПР) электрических двигателей.
№ ремонта
1
2
3
4
5
6
7
8
9
Время, ч
3,3
1,4
0,8
0,9
0,8
1,6
0,7
1,2
1,1
№ ремонта
10
И
12
13
14
15
16
17
Время, ч
0,8
0,7
0,6
1,8
1,3
0,8
4,2
1,1
Используя эти данные, определить значения G(t)y g(t) по таблице (см. ниже)
и СПР по формуле (4.28).
Решение: N=\7 — суммарное число ремонтов.
Формула (4,28) дает
СПР = (0,25χ0+0,75χ0,9412 + ...+4,25x0,1176) Х0,5= 1,3676.
Среднее значение продолжительностей ремонтов также дает
СПР = [3,3+1,4+...+ 1,1]/17 = 1,3588.
177

t (ΠΡ)
0,0
1 0,5
ι,ο
1,5
2,0
2,5
3,0
3,5
4,0
4,5 j
Число
законченных ремонтов
0
0
8
13
15
15
15
16
16
17
G(t)-JLLiL
Ν
0
0
0,4706
0,7647
0,8824
θ,8824
0,8824
0,9412
0,9412
1
0(/+Δ)-0(/)
Ι Δ
0
0,9412
0,5882
0,2354
Ι о
0
0,1176 :
о
0,1176
mlt)-*<!L
l-G(t)
0
0,9412
1,110
1,0004
0
0
1
0
2,0000
—
4.2.5. Вероятностные параметры для полного цикла
Рассмотрим полный цикл, состоящий из повторения отдельных
процессов ремонт — отказ и отказ — ремонт. Предположим, что
элемент мгновенно переходит в исправное состояние в начальный
момент, и, таким образом, служит как новый при /=0. Несколько
отказов и ремонтов могут произойти до момента />0. На рис. 4.8
момент t для полного цикла отличается от момента t для отдельного
процесса ремонт — отказ, так как t для последнего случая отсчитьь
вается от последнего ремонта, предшествующего моменту t для
полного цикла. Обе шкалы времени совпадают тогда и только тогда,
когда элемент остается исправным до момента t. В этом случае
время для процесса ремонт — отказ отсчитывается с начального
момента для полного цикла, потому что элемент, как предполагается,
мгновенно переходит в исправное состояние в начальный момент.
Подобно этому, время t для полного цикла отличается от времени
t для отдельного процесса отказ — ремонт. Вероятностные
критерии для полного цикла определяются следующим образом:
A (t) — коэффициент готовности в момент времени t: вероятность
того, что элемент является исправным в момент t при условии, что
он был как новый в начальный момент.
Показатель надежности обычно отличается от коэффициента
готовности, потому что надежность подразумевает исправное
состояние элемента в течение всего интервала времени (0, t].
Коэффициент готовности элемента A(t) изменяется, а надежность неизменна
в случае, если элемент отказал до момента t> а затем был
отремонтирован и исправен в момент t. Таким образом, коэффициент
готовности A(t) больше показателя надежности R(t) или равен ему:
А (/) > R (t).
(4.29)
Равенство в выражении (4.29) справедливо для невосстанавли-
ваемых элементов, потому что элемент находится в исправном
состоянии в том и только в том случае, если он находится в этом со-
178

Рис. 4.12. Схематическое представление
зависимостей коэффициента готовности A(t)
для восстанавливаемых (1) и невосстанав-
ливаемых (2) элементов
стоянии в течение всего времени до ^
момента t. Таким образом, I
A(t)=R{t) — Для невосстанавливае-
мых элементов. (4.30)
Коэффициент готовности
Время t
для Ц*
невосстанавливаемого элемента g
стремится к нулю при увеличении tf ч
в то время как коэффициент
готовности для восстанавливаемого
элемента приближается к ненулевому
положительному значению. Типичные зависимости A(t) показаны
на рис. 4.12.
Q(t)—коэффициент простоя в момент t: вероятность того, что
элемент находится в состоянии отказа в момент t при условии, что
он мгновенно перешел в исправное состояние в начальный момент.
Так как элемент находится либо в исправном состоянии, либо
в состоянии отказа в момент времени t> коэффициент простоя Q(t)
определяется через коэффициент готовности и наоборот:
A(t) + Q(f)=l.
(4.31)
Из формул (4.15), (4.29) и (4.31) можно получить неравенство
Q(t)<Ftf). (4.32)
Другими словами, коэффициент простоя Q(t) меньше
показателя ненадежности F(t) или равен ему. Равенство справедливо для
невосстанавливаемых элементов:
Q(^)=rF(/)_для невосстанавливаемых элементов. (4.33)
Коэффициент простоя невосстанавливаемых элементов
стремится к единице с возрастанием /, в то время как коэффициент простоя
восстанавливаемых элементов остается меньше единицы.
X(t) —условная интенсивность отказов: вероятность того, что
элемент отказывает в единицу времени в момент t при условии, что в
начальный момент он находился в исправном состоянии и остается
исправным в момент t.
Величина X(t)dt есть вероятность того, что элемент отказывает
в течение короткого интервала [t, t + dt) при условии, что элемент
был как новый в начальный момент и является исправным в момент
t Следует отметить, что величина r(t)dt представляет собой
вероятность отказа элемента в интервале [t, t + dt) при условии, что
элемент был отремонтирован (т. е. был как новый) в начальный
момент и продолжал оставаться исправным до момента L Величина
%(t)dt отличается от r(t)dt, так как последняя определяется при
179

условии непрерывного исправного состояния до момента t, т. е. в
интервале [0, t] не произошло ни одного отказа:
\(t) фг{{) — в общем случае.
Интенсивность отказов λ(/) совпадает с частотой отказов r(t)
для невосстанавливаемых элементов, потому что элемент является
исправным только при условии, что он непрерывно был в
исправном состоянии до момента t:
\(t)z=r(t) — для невосстанавливаемых элементов. (4.34)
В приложении 4.1 (см. в конце данной главы) также
доказывается, что интенсивность отказов λ(/) превращается в частоту
отказов для постоянной частоты отказов г:
Х(^)=г —для постоянной частоты отказов г. (4.35)
w(t)—безусловная интенсивность отказов в момент t:
вероятность того, что элемент отказывает в единицу времени в момент t
при условии, что он мгновенно переходит в исправное состояние в
начальный момент.
Другими словами, величина w(t)dt есть вероятность того, что
элемент отказывает в интервале [t, t-\-dt) при условии, что элемент
был как новый в начальный момент. Для невосстанавливаемых
элементов безусловная интенсивность отказов w(t) совпадает с
плотностью отказов f(t).
Обе величины λ(/) и w(t) относятся к отказам в единицу
времени в момент t. Однако эти величины подсчитаны для разных групп
элементов. При условной интенсивности отказов λ(/)
предполагается, что в начальный момент элементы группы считаются как
новые и исправны в момент t\ в то же время безусловная
интенсивность отказов w(t) относится к элементам, считающимся только в
начальный момент новыми. Таким образом, эти параметры
различны. Например, из рис. 4.13 следует, что
λ (ί) dt=0Jdt/70=0flldt;
w (t) dt=0Jdt/ 100=0,007rf/. (4.36)
W(t, t + dt)—ожидаемое число отказов (ОЧО): ожидаемое
число отказов в интервале [t, t + dt) при условии, что элемент
мгновенно перешел в исправное состояние в начальный момент.
Из определения ожидаемого числа отказов следует:
оо
W(t, t + dt)=^iPr{i отказов в интервале (*, t+4t\\C}9 (4.37)
где С — элемент, мгновенно перешедший в исправное состояние в
начальный момент. Самое большее один отказ происходит в
интервале (Y, t + dt), следовательно,
W(t, *+Л)=Рг{один отказ з интервале (i, t+df[\C], (4.38)
180

0J at
Рис. 4.13. К определению условной Рис. 4.14. Схематическое представле-
инте«сивйости λ(ί) и безусловной ин- ние зависимостей ожидаемого числа
тенсивности w(t) отказов отказов №(0, t) для
восстанавливаемых (/) и невосстанавливаемых (2)
элементов
или, что эквивалентно,
U7=(/f t + d£)=w(t)dt. (4.39)
Ожидаемое число отказов подсчитывается путем интегрирования
безусловной интенсивности отказов w(t).
W(th t2) —ОЧО в заданном интервале времени: ожидаемое
число отказов в интервале (t\t2) при условии, что элемент мгновенно
перешел в исправное состояние в начальный момент.
W(tu t2) определяется интегрированием W(t, t-\-dt) в интервале
[fi2 U)· Таким образом,
*2
W(tu t2)=§w(t)dt. (4.40)
tY
Величина W(0, t) для невосстанавливаемого элемента равна
F(t) и приближается к единице с увеличением t Типичные
зависимости №(0, t) показаны на рис. 4.14. Асимптотический характер
зависимости W и других параметров отмечен ниже, в табл. 4.9.
μ (Ϊ)—условная интенсивность ремонтов: вероятность того, что
элемент отремонтирован в единицу времени в момент t при уело-
вии, что он мгновенно перешел в исправное состояние в начальный
момент и находится в состоянии отказа в момент t.
Интенсивность ремонтов обычно отличается от частоты
ремонтов m(t). Окончательно для взаимосвязи между λ(/) и r(t) здесь
181

имеются следующие особые случаи:
p(t)=rn(t)=0—для ^восстанавливаемых элементов; (4.41)
p(t)=m — для постоянной частоты ремонтов т. (4.42)
v(t)—безусловная интенсивность ремонтов в момент t:
вероятность того, что элемент отремонтирован в единицу времени в
момент t при условии, что он мгновенно перешел в исправное
состояние в начальный момент.
Интенсивности ремонта v(t) и >μ(/) являются различными
величинами, так как относятся к разным группам элементов.
V(t, t-\-dt)—ожидаемое число ремонтов: ожидаемое число
ремонтов в интервале [t, t-\-dt) при условии, что элемент мгновенно
перешел в исправное состояние в начальный момент.
Подобно формуле (4.39) справедлива следующая взаимосвязь:
V(t, t + dt)=v(t)dt. (4.43)
V(t\> t2) —ожидаемое число ремонтов в интервале времени (tu
t2): ожидаемое число ремонтов в интервале \tu t2) при условии, что
элемент мгновенно перешел в исправное состояние в начальный
момент.
Аналогично формуле (4.40) имеем
V(tl9 t2)=^v(t)dt. (4.44)
tx
Ожидаемое число ремонтов V(0, t) равно нулю для невосстанав-
ливаемых элементов. Значение V(0, t) для восстанавливаемого
элемента асимптотически приближается к бесконечности при
увеличении t. В следующем разделе доказано, что разность №(0, t) —
—V(0, t) равна коэффициенту простоя Q{t).
СВМО — среднее время между отказами: ожидаемый
промежуток времени между двумя последовательными отказами.
Среднее время между отказами равно сумме СНДО и СПР, т. е.
СВМО = СНДО+СПР, (4.45)
СВМР — среднее время между ремонтами: ожидаемый
промежуток времени между двумя последовательными ремонтами.
Величина СВМР равна сумме СНДО и СПР,. а следовательно,
СВМО, т. е.
СВМР = СВМО = СМВО+СПР. (4.46)
Пример 5. Для данных, приведенных на рис. 4.8, вычислить μ (7), υ (7)
и У (0,5).
Решение. Шесть элементов отказали к моменту /=7. Среди них только два
отремонтированы в единичном интервале [7, 8). Таким образом,
μ (7) = 2/6 =1/3;
ί/(7) =2/10 = 0,2.
4
V (0,5) == 1/10^ —[суммарное число ремонтов в интервале (/, / + !)] =
= 1/10χ(0 + 1+0+3+1) = 0,5.
182

4.3. ОСНОВНЫЕ ЗАВИСИМОСТИ МЕЖДУ ВЕРОЯТНОСТНЫМИ
ПАРАМЕТРАМИ
В предыдущем разделе были определены различные вероятностные
параметры и их взаимосвязи. Эти соотношения и характеристики
вероятностных параметров сведены в табл. 4.7, 4.8 и 4.9. Табл. 4.7
относится к процессу ремонт — отказ, табл. 4.8 — к процессу отказ —
ремонт, а табл. 4.9 — к полному циклу. Эти таблицы включают ряд
новых и важных взаимосвязей, которые выводятся в данном
разделе.
4.7. Соотношения между вероятностными параметрами для процесса
ремонт — отказ (первый отказ)
Частота
отказов
г if)
Общий
случай
r(t)
(1) R(£) + F(t) = l
(2) Д(0) = 1,#(оо)=0
(3) F(0) = 09F(oo) = l
dFjf) a
(4) /(*)=-
dt
(5) f(t)dt = F(t + dty-
-F(t)
t
(6) F{t) = If (a) da
(7) /?(*)=} F(u)du
(8) СНДО= J tf(t)dt
о
(9) /·(*) =
fit)
[1-^(01
(13)/?(0=e
(15)/(0=Xe-
-λ/
-λ/
a
о
о
(10) fl(*)=exp — j*r(a)Ai
(11) f?(t)=l— exp —|r(tt)^
-Jr(a)<fa
(12)/(0 = r(0exp
(14) /4*) = 1-e
-λ/
(16) СНДО^:-
1
4.3.1. Соотношения для процесса ремонт — отказ
Ниже будут выведены следующие соотношения:
r{t)
F{t)=\
У?(/)=ехр
fit)
\-F(t)
-exp -\r[u.
)du
(4.47)
(4.48)
(4.49)
183

4.8. Соотношения между вероятностными параметрами для процесса
отказ — ремонт
Частота
ремонтов
m(t)
Общий
случай
1 m(t)
=L I
II
const m (t)
(1) G(t)=g(t)=m(t) = 0
для невосстанавливае-
мых элементов
(2) G(0)=0,G(oo) = l
dG(t)
+ dt) = G(t)
t
(5)G(t)=$g(u)du
(inG(0 = l— e~^
(13)СПР =
\(6)G(t2)-G(tl)= \g(u)du
00
(7) СПР = j* tg(t)dt
о
/"ЯЧ m /A . , , о V. /
(01 /7Z (И ~ ' ^ л
(9) G (*) = 1 — exp
(13) g(t)=m(t)exp
— \ m(u) du\
— [ m(u)du\
- 0 J
(12) ^(0«μβ-^
/(0=r(/)exp - f r(u)du
(4.50)
Первое равенство используется для получения частоты отказов
r(t), когда показатель надежности F(t) и плотность отказов f(t)
заданы. Равенства со второго по четвертое можно использовать для
вычисления значений F(t), R(t) и fit), когда частота отказов г(t)
задана.
На схеме переходов (рис. 4.15) показаны основные процедуры
для вычисления вероятностных параметров для процесса ремонт —
отказ. Число, расположенное рядом со стрелкой, указывает на
соответствующее соотношение, приведенное в табл. 4.7. Следует
отметить, что первый шаг при обработке данных по отказам (например,
данных, приведенных в табл. 4.1 и 4.5), заключается в построении
гистограммы (рис. 4.4) или в приведении их в соответствие со
стандартными распределениями (экспоненциальными, нормальными
и т. д.). Методы оценки этих параметров и распределения отказов
будут обсуждены ниже в данной главе.
Начнем вывод равенств (4.47) —(4.50) с определения условной
вероятности [см. формулу (4.5)]:
Рг{Л, С \W)
Рт{А | С, W)
Рг {С | W)
(4.51>
184

4.9. Соотношения между вероятностными параметрами для полного цикла
~—~ ι
Значение
tv
ошени5
нхос
о
:новн]
С
и
CQ ^
О «5
Я « *
П О 0)
υ я 5
>> as
я
я
я
о
с
о
fct
Элементы
восстанавливаемые
(1) Л(*) + <?(0 = 1
(2) A(t)>R(t)
(3) 0 (0 < F (0
(4) »(<) = /(<) +
+ ) f(t — u)v(U)du
0
(5) t/ (0 = j* £ (* — и) w (и) ^и
Ό
(6) W{t,t + dt)=w(t)dt
(7) Κ^,ί-ΜΟ^ίΟ^
*2
(8) IF(^,^2)= J ^(«)^и
(9) V(tltt2)=fv(u)du
(10) Q(0=1*40,0—^(0.0
nwitt\ WW
(ΐΐ)λ(ο= 1β(?(0 |
(12) a(0 = —tt^—
(13) СВМО=СВМР=СНДО+СПР
(14) 0< Л(оо)< 1,0< Q(oo)< 1
(15) 0 < W(oo) < oo, 0<i/(oo)< oo
(16) W (oo) =v (oo)
(17) lF(0,oo) = oo,K(0,oo) = oo
(18) »(*)¥■ λ(0, ϋ(/)^μ(0
(19) λ(0¥=Γ(0, \L(f) + m(t)
(20) w (*)*/(*), O(t) + g(f)
невосстанавливаемые
^(0 + 0(0=1
Λ (0 = /?(*)
Q(0 = /\(0
w(0 = /(0
ν (0 = 0
1^(^,0 + ^0=^(0^^
*2
lF(*lf *2) = J W(ll)dU =
= f'(.t2)~ F(t,)
V(tut2)=0
Q(0-r(o, 0 = /="(0
xm »«>
λ(0~ i-Q(0
μ (0=0
CBMO=CBMP=oo
Λ(οο) = 0, Q(oo) = l
a;(oo) = 0, f(oo)= 0
ffl) ( Oo) = I/ (OO ) = 0
W(0, oo)= 1, F(0, oo) = 0
α»(0=£λ(θ, ι/(ί) = μ(0=ο
λ(θ = /·(ο, μ(<) = /η(0 = ο
w(t) = f(t), v{t)=g(t)=0
185

Допущения
'
I экспоненциальное, Вейо~улла,
нормальное,логарифмиче-
\ ски-нормальное
Данные
по бремени отназоо ι
Определение
параметров }
(12)
J
Г Частота
отказов г (t)
ι
!
^ 1
(9) 1
(11)
(10)
\ \
Аппр
Ппотность отназоб
(В)
1
!
чя
Распределение
отказов F(t)
Α ι
(7J
Показатель
Ни
юетности
Н(Ь)
оксимация
ΊΗΟΜΟΜ
\
Гистограмма
(8) ' |
СНДО
Рис. 4.15. Структурная
схема переходов при
вычислении вероятностных
параметров для
процесса ремонт — отказ
Величина r(t)dt совпадает с условной вероятностью Pr{A | С, W},
где события таковы:
А —элемент отказал в интервале [t, t-\-dt)\
С — элемент был исправен до момента t\
W — элемент был отремонтирован в начальный момент.
Вероятность Pr{C|№} есть показатель надежности, равный
R(t) = \—F(t). Далее Рг{Л, С\Щ задается величиной f(t)dt.
Таким образом, из (4.51) имеем
w 1_F(0 '
(4.52)
что дает равенство (4.47). Следует отметить, что f(t)=dF/dt, отку
да следует формула
г(/)- dF,dt
\-F(t)
Формулу (4.53) можно записать в виде
d
r{t)=
at
inli-/^)!·
Интегрируя обе части равенства (4.54), получим
\
г (и) du=ln [ 1 - F (0)] - In 11 - F (t)\.
(4.53)
(4.54)
(4.55)
186

Подставляя F(0) =0 в формулу (4.55), получим
' r{u)du= — \a[l-F(t)\,
l·
(4.56)
что дает равенство (4.48). Оставшиеся два равенства получаются
из формул (4.15) и (4.16).
Структурная схема переходов (см. рис. 4.15) показывает, что
величины /?(f), F(t), f(t) и r(t) можно получать, если один из
рассматриваемых параметров известен.
4.3.2. Соотношения для процесса отказ — ремонт
Подобно рассмотренному случаю для процесса ремонт — отказ,
будут получены следующие связи между параметрами для
процесса отказ — ремонт:
w ι - σ (*)
Q (t)= 1 — exp — Г т (и
g(t)=m{t)exp\ -f
m(u)du
(4.57)
(4.58)
(4.59)
допущения
1
Экспоненциальное, Вейбулла,
нормапьное,логарфмически-
\ нормальное
Определение па}
(Ю)
Данные
тям ремонтов \
оаметров
\
Частота
ремонтов m(t)
f
(S)
ι \
Аппро
1
Плотность
ремонтовg(t)
(5)
1
1
Чз)
Распредепение
ремонтов G(t)
I
\
\
Гистограмма
ксимация полиномом
(7)
СПР
(9)
ис. 4.16. Схема переходов при вычислении вероятностных параметров для
процесса отказ — ремонт
187

Рис. 4.17. Схема переходов при вычислении
вероятностных параметров для полного
цикла
Первое равенство используется
для получения частоты ремонтов
m(t), когда вероятность ремонтов
G(t) и плотность ремонтов g(t)
заданы. С помощью второго и
третьего равенств подсчитываются
значения G(t) и g(t), когда задана
частота ремонтов т(и).
На схеме переходов,
представленной на рис. 4.16, показаны
основные процедуры вычисления
вероятностных параметров,
относящихся к процессу отказ — ремонт.
Число, расположенное рядом со
стрелкой, соответствует номеру
формулы в табл. 4.8. Можно вычислить G(t)y g(t) и m(t)y если один
из этих параметров известен.
Ι Плотности
1 fit Loft) |
'
(4 (δ)
безусловные ~Ί
интенсивности
w(t), v(t) I
(7)
r-|
ι
J
(ЗШ)
Ожидаемые 1
значения
W(0,t),V(0,t) 1
f
(10)
Коэффициент Ί
прсстоя U
Q(t) \
Коэффициент
готовности
у 11),02)
τ
1 Условные
интенсивности
1 Mt),M(t) I
4.3.3. Соотношения для полного цикла
Общая процедура вычисления вероятностных параметров для
полного цикла показана на рис. 4.17. Справочные числа на схеме
приведены в табл. 4.9. Схема включает ряд новых и важных
соотношений, которые выведены ниже.
Безусловные интенсивности w(t) и v(t). Как показано на рис.
4.18, элементы, которые отказывают в интервале [f, t+dt), можно
подразделить на два типа.
Тип 1. Элемент, который был отремонтирован в интервале [и,
u + du], оставался исправным до момента времени /, отказал в ин-
«о г
UTL.
% г
%»
Элемент
типа
Μ
Элемент
типа Ζ
ч
г
О uu+du tt+dt
Время t
Рис. 4.18. Состояние элементов,
отказавших в интервале [/, t+dt):
F — отказ; N — исправное состояние
188
и u+du t t + dt
Время t
Рис. 4.19. Состояние элемента,
отремонтированного в интервале
It, t+dt):
F — отказ, Ν — исправное состояние

тервале [t, t+dt) при условии, что элемент мгновенно перешел в
исправное состояние в начальный момент.
Тип 2. Элемент, который был исправным до момента t и
отказал в интервале [t, t + dt) при условии, что он мгновенно перешел
в исправное состояние в начальный момент.
Вероятность, относящаяся к первому типу элементов, есть
O(u)duf(t—u)dt, так как [см. формулу (4.2)]:
v(u)du— вероятность того, что элемент отремонтирован в
интервале [и, u + du) при условии, что он был как новый в начальный
момент;
f(t—и) dt — вероятность того, что элемент оставался исправным
до момента t и отказал в интервале [t, t + dt) при условии, что он
был как новый в начальный момент и отремонтирован в момент и.
Необходимо отметить, что к определению f(t—u)dt добавлено
дополнительное условие, потому что характеристики отказов
элементов зависят только от наработки t—и и в момент t не зависят
от предыстории до момента и.
Вероятность, относящаяся ко второму типу элементов, есть
f(t)dt, как это следует из формулы (4.17). Величина w(t)dt есть
вероятность того, что элемент отказывает в интервале [/, t + dt) при
условии, что он мгновенно перешел в исправное состояние в
начальный момент. Так как эта вероятность есть сумма вероятностей,
относящихся к первому и второму типу элементов, можно получить
выражение
t
w(t)dt=f(t)dt + dt\f(t — u)v(u)du9 (4.60)
о
что эквивалентно
w(t)=f {*)+ \ f (t-u)v(u)du. (4.61)
G
С другой стороны, элементы, которые были отремонтированы в
интервале [tj + dt), состоят из элементов следующего типа.
Тип 3. Элемент, который отказал в интервале [и, u + du),
оставался в состоянии отказа до момента /, был отремонтирован в
интервале [ty t + dt) при условии, что он мгновенно перешел в
исправное состояние в начальный момент.
Поведение элемента этого типа проиллюстрировано на рис. 4.19.
Вероятность, относящаяся к элементу третьего типа, есть
w(u)dug(t—u)dt. Таким образом, имеем
ν {t) dt=dt [g(t — u)w (и) du9 (4.62)
о
что эквивалентно
t
ν (/)= Г g (t - и) w (и) du. (4.63)
δ
189

Из выражений (4.61) и (4,63) получаем следующую систему
уравнений:
w
(t)=f(t) + $f(t-u)du;
t
ν (t)= Γ g (t — a) w (u) du,
о
(4.64)
Безусловную интенсивность отказов w(t) и интенсивность
ремонтов v(t) вычисляют путем численного интегрирования
итерационным способом по формулам (4.64), если заданы значения
плотностей f(t) и g(t). Если требуется получить точное аналитическое
решение, можно использовать преобразования Лапласа.
Зависимости для вычисления коэффициента простоя Q(t). Пусть
x(t) есть вспомогательный переменный параметр, определенный как
x(t)=ly если элемент находится в состоянии отказа; (4.65)
х(/)=0, если элемент в исправном состоянии. (4.66)
Подставим Xo,\(t) и *ι,ο(0 соответственно как числа отказов и
ремонтов; тогда имеем
*(0=*ол(')-*1.о(0. (4.67)
Например, если элемент испытал три отказа и два ремонта к
моменту t, состояние элемента x(t) в момент t определяется как
jc(/)—3 — 2=1. (4.68)
По аналогии с уравнением (4.67), как показано в,приложении 4.2
к данной главе, имеем
Q(t)=W{0, t)-V(0, t). (4.69)
Другими словами, коэффициент простоя Q(t) определяется
разностью между ожидаемым числом отказов ЩО, t) и ремонтов
У(0, t) к моменту времени t. Эти ожидаемые значения
определяются по условной интенсивности отказов w(u) и интенсивности
ремонтов υ (и) в соответствии с формулами (4.40) и (4.44). Выражение
(4.69) можно записать в виде
t
Q (t) - f [w (и) - ν (и)] du. (4.70)
δ
Соотношение для вычисления условной интенсивности отказов
λ(/). Как было показано с помощью «правила цепи» (разд. 4.1.2),
одновременное появление событий Л и С эквивалентно появлению
события С, за которым следует событие А [см. (4.3)]:
Рг(Л, С | W)=Pr(A | С | W)Pr(C)W. (4.71)
Свяжем символы в формуле (4.71) со следующими событиями:
190

С — элемент исправен в момент времени t\
А— элемент отказал в интервале (t, t + dt);
W — элемент мгновенно перешел в исправное состояние, в
начальный момент времени.
Самое большее один отказ происходит в течение малого
интервала времени, и когда происходит событие Л, подразумевается, что
произошло событие С. Таким образом, одновременное появление
событий Л и С сводится к появлению только событие Л, и выражение
(4.71) можно переписать в виде
Рг(Л | \V)=Pr(A | С, W)Pr{C \ W). (4.72)
В соответствии с определениями коэффициента готовности A(t),
условной интенсивности отказов λ(/) и безусловной интенсивности
отказов w(t) имеем
Рг(Л | w)=w(t)dt; (4.73)
Рг(Л | С, W)=X(t)dt; (4.74)
Рг(С | W)=A{t). (4.75)
Таким образом, из (4.72) следует
w{t)=\{t)A(t), (4.76)
или, что эквивалентно,
w(0=x(01i —QW1; (4.77)
X(/W »(*> . (4.78)
Равенство (4.78) используется для вычисления условной
интенсивности отказов, когда даны безусловная интенсивность отказов
w(t) и коэффициент простоя Q(t). Значения w(t) и Q{t) можно
получить при помощи формул (4.64) и (4.69) соответственно.
В случае постоянной частоты отказов условная интенсивность
отказов совпадает с частотой отказов г, как было показано при
помощи равенства (4.35). Таким образом, интенсивность отказов λ(/)
оказывается известной, и формулу (4.77) можно использовать для
получения значения w(t) по величинам λ{t)=r и Q{t).
Соотношение для вычисления μ(/). Как и для случая λ(ί),
имеются следующие равенства для условной интенсивности ремонтов
v(t)=p(t)Q(t)J (4.80)
Значение μ(/) можно вычислить по формуле (4.79), когда
известны безусловная интенсивность ремонтов v{t) и коэффициент
простоя. Параметры υ(ί) и Q(t) можно получить соответственно с
помощью формул (4.64) и (4.69).
191

Ν
BMP/
ήλοι
Щ
ΠΡ1
%ι
ΒΜΡΖ
ν
ндог хпр2
ν
#.
ΒΜ01
3,5
0,8
НД03
ν
7Ш5
ΒΜ02
ι
Рис. 4.20. Временной график для
элемента типа 1:
F — отказ; N — исправное состояние
Когда элемент имеет
постоянную частоту ремонтов m(t)=m,
условная интенсивность
ремонтов превращается в т и, таким
образом, известна. В этом случае
формулу (4.80) используют для
вычисления .безусловной
интенсивности отказов v(t) по
известным μ(ί) и Q(t).
Если элемент имеет
переменную по времени частоту отказов
r(t), условная интенсивность
отказов K(t) не совпадает с
частотой r(t). Подобно этому
переменная по времени частота ремонтов
m(t) не разна условной интенсивности ремонтов μ(ϊ)· Таким
образом, для общего случая
¥55
Время t
7 8 9 10
W(t)fr(t)[l-Q(t)];
v(t)£m(t)Q(i).
(4.81)
(4.82)
Пример 6. Используя результаты примеров 2 и 5, подтвердить соотношения
(2), (3), (4), (5), (10), (И) и (12) из табл. 4.9. Определить НДО, ПР, ВМО,
BMP для элемента типа 1.
Решение. 1. Неравенство (2): из примера 2 имеем Л(5) =0,6>i?(5) =0,111К
2. Неравенство (3) определяем как Q(5)=0,4<F(5) =0,8889 (пример 2),.
3. Равенство (4): покажем, что w (5) = / (5)-J- J / (5 — и) υ {и) du. Из
примера 2 имеем ш(5)=0,2.
Вероятность f(5)Xl относится к элементу, который оставался исправным до
момента 5 и отказал в интервале [5, 6), при условии, что он был как новый в
начальный момент. Элемент 3 определен, поэтому имеем f(5) = l/10.
Интеграл в правой части относится к следующим элементам:

Отремонтированный
Исправный Отказавший
Номер
элемента
0,1) I
:ι,2)
2,3)
3,4)
Г 1,5)
2,5)
'3,5)
[4,5)
[5,6)
[5,6)
[5,6)
[5,6)
Поэтому |/(5 — и) ν (и) du= 1/10.
0,2=1/10+1/10.
192
Выражение (4) подтверждается, так как

7
4. Равенство (5): покажем, что ν (7) == f g (J — u)w (и) da.
ό
Из примера 5 имеем и (7) =0,2.
Интеграл в первой части относится к следующим элементам:
Л ~ Отремонти-
Отказывает Отказал рован
[0,1)
1,2)
2,3)
3,4)
4,5)
Г5,6)
[6,7)
[1,7)
2,7)
3,7)
V)
5,7) |
6,7)
[7,8)
7,8)
7,8)
7,8)
7,8)
7,8)
[7,8)
Номер
элемента
—
—
—
—
7
1
Таким образом, интеграл равен 2/10=0,2, что подтверждает равенство.
5. Равенство (10): покажем, что Q (5) = №(0,5)—V(0,5). Из примера 2
имеем Q(5)=0,4; №(0,5) =0,9. Из примера 5 берем У (0,5) =0,5. Таким обоазом,
0,4=0,9—0,5.
6. Равенство (И): из примера 2 имеем Q(5)=0,4; ш(5)=0,2; λ(5) = 1/3.
0,2 ^ g w(5)
Таким образом, 1/3=- -— ; λ (5)=- , и равенство подтверждено.
ν (7)
7. Равенство (12): покажем, что μ (7) = -—. Из примера 5 имеем μ (7) =
V ν' /
= 1/3; и (7) =0,2. Из рис. 4.8 имеем Q(7) =6/10 = 0,6. Равенство подтверждено,
0,2
так как 1/3= —.
0,о
8. Значения НДО, ПР, ВМО, BMP приведены на рис. 4.20.
4.4. АНАЛИЗ МОДЕЛЕЙ ПРИ ПОСТОЯННОЙ ЧАСТОТЕ ОТКАЗОЗ
И ЧАСТОТЕ РЕМОНТОВ
В разд. 4.2.3 приведен пример 3 процесса при псевдопостоянной
частоте отказов. Теперь этот подход распространим на более
общий случай.
4.4.1. Процесс ремонт — отказ при постоянной частоте отказов
Постоянная частота отказов значительно упрощает анализ
систем и поэтому пользуется очень большой популярностью у
математиков и специалистов по анализу систем и оптимизации.
Предположение о постоянной частоте оправдано, если:
1) элемент новый (после приработки);
2) элемент является электронньш устройством на твердотельных
элементах;
3) рассматриваемый элемент состоит из многих входящих в
него элементов, имеющих различные частоты отказов или сроки
эксплуатации;
4) данные настолько ограничены, что более сложная
математическая обработка является неоправданной.
193

Рис. 4.21. Определение средней
наработки до отказа Τ
Π Равенство (4.35)
показывает, что нет разницы
между частотой отказов r(t)
и условной интенсивностью
отказов K(t), когда частота
постоянна. Поэтому
обозначим через λ обе величины:
постоянную частоту отказов
I и постоянную условную ин-
^7 тенсивность отказов.
Подставив λ в формулы
(4.48), (4.49) и (4.50),
получим
F{t)~l-e-xt; (4.83)
#(/)=е-х'; (4.84)
/(/)=Xe-Xi. (4.85)
Распределение, задаваемое формулой (4.83), называется
экспоненциальным распределением] его характеристики приведены в
табл. 4.10.
СНДО определяется выражением (4.21);
СНДО- fft е~х' dt=±- . (4.86)
о
СНДО можно определить как среднеарифметическую величину
времени до отказа. Условная интенсивность отказов λ есть
обратная величина от СНДО.
На графике, показанном на рис. 4.21, значение F(t) при
<=СНДО равно (1—е-1) =0,63 (рис. 4.21). Когда распределение
отказов известно, можно получить СНДО, определив время, для
которого удовлетворяется равенство
/?(/) = 0,63. (4.87)
Наличие или отсутствие постоянной частоты отказов можно
обнаружить с помощью специальной процедуры построения графика,
которая обсуждается ниже, в разделе этой главы, посвященном
определению параметров.
4.4.2. Процесс отказ — ремонт при постоянной частоте ремонтов
Когда частота ремонтов постоянна, она совпадает1 с условной
интенсивностью ремонтов и обозначается через μ.
% % 0,865\
§ § от
II
I!
7
/т)
гт
зт
время t
ч-т
194

4.10. Основные соотношения для моделей с постоянной частотой
Элементы
восстанавливаемые
невосстанавливаемые
Γ(0 = λ
R(t) = e~u
F(t) = \ — e
f(t) = le~u
СНДО= 1/λ
-λ/
-λ/
R(t) = e
F (>) = 1 — e
/(0=λβ-λ/
СНДО = 1 /λ
-λ/
m (t) = μ
^(0 = μβ-^
СПР = 1/μ
СПР= οο
λ + μ
A(t) =
w(t) =
λ+μ λ+μ
λμ
λ2
λ + μ λ + μ
λμ
"(λ + μ)/
-(λ + μ) /
λ+μ
IF(0, 0="
Χ2
(λ + μ)2 f
λμ
λ + μ
t +
-(λ+μ)/]
λμ
" (λ+μ)2
λμ
λ + μ
■(1 —e-^+^'j
*Q(0
utf
-=~(λ + μ)ρ(ο +
+ λ,(?(0) = 0
0(οο) =
Α(οο) =
СПР
λ + μ СНДО + СПР
μ __ СНДО
λ+μ СНДО+СПР
Q(0=l-e-x/ = F(0
Л (θ = β"λί = Λ(θ
ι; (Ο = 0
IF (0,0= 1— e-u=F(t)
υΟ,ύ)=0
dQ{t)
dt
= — XQ(0-b λ, <?(0) = 0
Q(oo)=I
Л(оо)=0
195

Продолжение табл. 4.10
Процесс
Элементы
восстанавливаемые
невосстанавливаемые
w(oo) =
λμ
1
t/(oo)
0(0
λ + μ СНДО + СПР
λμ
λ + μ
= W(oo)
= 0,632 лля*=-
1
Q(oo) λ+μ
0=+(λ + μ)(3(οο)-|-λ
до(оо) = 0
ί/(οο) = Ο = w(oo)
β('\ =0,632 для <=-j-
Q(oo) λ
0= _λ(?(οο)-|-λ
Подставляя μ в формулы (4.58) и (4.59), получим
G(0=1 —е~^;
(4.88)
(4.89)
Распределение (4.48) есть экспоненциальное распределение
ремонтов. Величина СПР определяется как
оо
СПР= f/jie-^rf/» —
(4.90)
Величину СПР можно приближенно определять как
среднеарифметическое значение времени до ремонта, а постоянная частота
ремонтов есть обратная величина от СПР.
Когда распределение ремонтов G(t) известно, можно также
приближенно определить СПР, вычислив ί, для которого
удовлетворяется равенство
О (/)=0,63. (4.91)
Справедливость предположения о постоянной частоте ремонтов
можно проверить при помощи построения соответствующих
графиков. Численный пример, демонстрирующий применение этой
процедуры, приведен ниже.
4.4.3. Использование преобразования Лапласа
для анализа полного цикла
Когда берут постоянную частоту отказов и постоянную частоту
ремонтов, анализ полного процесса упрощается настолько, что
можно получить аналитические решения. Вывод этих решений,
приведенных в табл. 4.10, дается ниже. Прежде всего сделаем несколько
замечаний, относящихся к преобразованию Лапласа.
196

Преобразование Лапласа L[h(t)] от h(t) есть функция от
параметра 5, определяемая выражением
оо
L[h(t)] = ^e->4i(t)dt. (4.92)
Например, преобразование от функции e~ot
оо
L [e-fl']= f e~st e~at dt = —— . (4.93)
J s+a
о
Обратное преобразование Лапласа L~l[H(s)] есть функция от /,
имеющая преобразование Лапласа, равное H(s). Таким образом,
обратное преобразование для 1/(5 + а) равно erat:
L-
1Ш-*-"- <4·94)
Одним из важнейших свойств преобразования Лапласа является
следующее равенство:
U ^h1(t — u)h2(u)du = L[h1(t)]L\h2
01-
Другими словами, преобразование от свертки двух функций
может быть представлено в виде произведения преобразований
Лапласа для этих двух функций L[h[(t)] и L[/i2(0]· Интеграл свертки
можно представить в виде алгебраического произведения
преобразований Лапласа.
Теперь выполним преобразования Лапласа для выражений
(4.64):
L[w(t)\ = L[f(t)]i-L[f{t)]L\v(% ) '
L[v(t)]~L[g(t)]L[w(t)]. J
Для постоянной частоты отказов λ и частоты ремонтов μ
получим
ZI/(01 = £(£e-4 = XZ[e-»l=-J- ; (4.96)
S + λ
i[g(t)\ = -i-. (4.97)
Таким образом, формулы (4.95) превращаются в следующие
выражения:
МИ')]=-хт+-^И')1;
S ■+- λ 5 -j- λ
L[v(t)\=-^-L[w(t)].
(4.98)
197

Равенство (4.98) есть система алгебраических уравнений для
определения L[w(t)] и L[v(t)]. Их решения дают
L[w(i)\ ^- f-LU-^-f ! ) ; (4.99)
1 WJ ν + μ\ S ) ^λ + Д S+λ + μ- J K '
L[v(t)\=-*-Ш_ Je-f—!_). (4.ioo)
1 Wl λ+μ. U / V+A S + λ+μ. ) K
Произведя обратное преобразование Лапласа для выражений
(4.99) и (4.100), получаем
W(*)ei£-£-i Ш + iLz-i ( ! ) ; (4.101)
1 ' λ+μ. W / λ + μ. \ S + λ+μ / V
г,(/)=^./;-1Ш__^£-1( ! \. (4.102)
W λ+μ. \S ) λ+μ \ «+λ+μ ) V
Используя (4.94), имеем
w(i)*=-&-+ —«-&+*)*; (4.103)
λ+μ λ+μ.
*>(<)= i£ ^-e-<x+^'. (4.104)
λ+μ λ+μ
Ожидаемые числа отказов W(0, t) и ремонтов V(0, t)
определяются интегрированием выражений (4.40) и (4.44) при t\ = 0 и
t2=t:
W(0,i)=^-i + -^—(l-e-^n (4.105)
λ+μ. (λ+μ-)2
У (0, i)=g-t -~^-2 (1 - er№). (4.106)
λ+μ- (λ+μ-)2
Коэффициент простоя Q(t) получим с помощью формулы (4.69):
Q(/)=U7(0f/)-Vr(0f/)=— (l-e-^+^O- (4.107)
λ+μ-
Коэффициент готовности определяется по формуле (4.31):
Λ (/)=1-Q (/) = -£- + — β-(λ+μ)/. (4.108)
λ+μ. λ+μ-
Установившиеся значения коэффициента простоя Q(oo) и
коэффициента готовности А (оо) есть
Q(oo)=-L= 1/μ ; (4.109)
4 λ+μ Ι/λ+1/μ- V '
Л(оо) = -^=—!£_ . (4.110)
4 λ+μ 1/λ+1/μ V '
Подобно этому установившиеся значения коэффициента простоя
и коэффициента готовности могут быть выражены как
198

Q(oo)=
Л(оо)=
СПР
СНДО + СПР
сндо
СНДО+СПР
Можно также получить
9(0
Q(oo)
= 1 — е-(х+^)'.
(4.111)
(4.112)
(4.113)
Таким образом, постоянные установившиеся значения
коэффициента простоя, равные 63,2 и 86,5%, получаются соответственно в
моменты Τ и 2 Г, где
7-=-!-=: снДо-спр ^спр (4Л14)
λ+μ СНДО+СПР
СПР « СНДО.
(4.115)
если
Пример 7. Принять постоянную частоту отказов и ремонтов для элементов,
показанных на рис. 4.8. Определить Q(t) и w(t) при /= оо (установившиеся
значения).
Решение. По величинам НДО из примера 2 имеем
СНДО = 54,85/18 = 3,05.
Далее, имеются следующие данные по ПР:
Элемент
1
2
2
2
3
4
4
Время
отказа
3,1
6,6
1,05
4,5
5,8
2,1
6,4

Отремонтирован
при t
4,5
7,4
1,7
8,5
6,8
3,8
8,6
ПР
Μ
0,8
0,65
4,0
1,0
1>7
2,2
Элемент
5
6
7
7
8
8
9
Время
отказа
4,8
3,0
1,4
5,4
2,85
6,7
1,1

Отремонтирован
при t
8,3
6,5
3,5
7,6
3,65
9,5
6,2
ПР
3,5
3,5
2,1
2,2
0,8
2,8
2,1
Таким образом,
СПР =28,75/14 = 2,05; λ = 1/СНДО =0,328; μ = 1/СПР =0,488;
Q W = 0,328+^488(1 - е-*0'328*0'488*) = 0,402 (1 ~- в"**");
0,328X0,488 0,3282 (0,328+0,488)/ в0 1дв + 0,131е-0'816<
W 0,328 + 0,488^0,328+0,488 '
и, окончательно,
Q (5) = 0,395; Q(oo) = 0,402;
ν(5)= 0,198; w(oo)= 0,196,
что хорошо согласуется с результатами из примера 2.
199

4,4.4. Марковский анализ полного цикла
при постоянной частоте
Теперь используем другой подход к анализу полного процесса
для случая с постоянной частотой отказов и ремонтов. Этот подход
называется марковским анализом.
Пусть x(t) есть вспомогательный параметр, определяемый
выражениями (4.65) и (4.66). Можно использовать основные
соотношения для вычисления условной интенсивности отказов λ, чтобы
получить следующие формулы:
P(l\0) = Pr[x(t + di)=l\x(t)=0]^ldt\
Р(0|0) = Рг[л:(/ + Л)=0|л:(0=01=1 —λέ/<; (4.116)
P(l\l) = Pr[x(t + dt)=l\x(t)=l]=l—pbdt\
P(0\l) = Pr[x(t+dt)=0\x(t)=l\ = \idt.
Pr[x(t + dt) = l\x(t)=Q] есть вероятность отказа в интервале t + dt
при условии, что элемент функционирует в момент t и т. д.
Величины Р(1|0), Р(0|0), Р(1|1) и Р(0|1) называются вероятностями
перехода. Переходы из одних состояний в другие показаны в виде
марковской диаграммы на рис. 4.22.
Условные интенсивности λ и μ соответственно равны известным
величинам г и т. В марковском анализе не может использоваться
функция с зависящими от времени частотами r(t) и m(t)y так как
в этом случае условные интенсивности являются изменяющимися со
временем неизвестными.
Коэффициент простоя Q(t + dt) есть вероятность того, что
x(t + dt) = l; это значение, в свою очередь, можно определить в
виде двух возможных состояний параметра x{t) и соответствующих
переходов к значению χ (t+dt) = 1:
Q(t+dt) = Pr\x(i+dt)=l\ = P(l\0)Prlx(t)=0] +
+ P(l\l)Pr[x(t)=l\=Xdt[l-Q(i)] + (\^dt)Q(i). (4.117)
Это равенство можно записать как Q(t+dt)—Q(t)=dt(—λ—μ) Χ
XQ(t)+hdt, что дает
dQ (t)/(dt)= -(λ + V) Q (0 + λ (4.118)
Adt = P(J\Q)
judt=P(0\j)
Рис. 4.22. Марковская диаграмма перехода
200

при начальном условии (при /=0)
Q(0)=0. (4.119)
Решением этого линейного дифференциального уравнения является
Q(0= —(1-е-<х+«0'). (4.120)
Таким образом, получается результат, соответствующий формуле
(4.107).
Безусловные интенсивности w(t) и v(t) находятся из
выражений (4.77) и (4.80), так как Q(t), λ и μ известны. Результаты
были получены выше [см. формулы (4.103) и (4.104)].
Ожидаемые числа отказов Щ0, t) и ремонтов V(0, t) можно
подсчитать с помощью выражений (4.40) и (4.44), что дает
формулы (4.105) и (4.106) соответственно.
4.5. СТАТИСТИЧЕСКИЕ РАСПРЕДЕЛЕНИЯ ПАРАМЕТРОВ
ДЛЯ ПРОЦЕССОВ РЕМОНТ — ОТКАЗ И ОТКАЗ — РЕМОНТ
Общепринятые распределения приведены в табл. 4.11. Для
элементов, которые имеют возрастающую со временем частоту отказов,
используются нормальное и логарифмически-нормальное
распределения, а также распределение Вейбулла с коэффициентом формы β,
который больше единицы. Нормальные распределения
соответствуют чисто случайным процессам, возникающим в результате
действия большого числа незначительных возмущений. Время ремонтов
часто соответствует логарифмически-нормальному распределению,
так как отдельные продолжительности ремонта ^огут быть
значительно больше средних значений, например некоторые ремонты
занимают продолжительное время из-за отсутствия запасных частей
или затрат времени на диагностику. Детальное описание этих типов
распределений дано в прил. 4.3, а также приведено в большинстве
учебников по статистике или надежности.
Когда имеется достаточный объем данных, может быть
построена гистограмма, подобная изображенной на рис. 4.4. Плотность
распределения можно определить аналитически, путем
кусочной аппроксимации с помощью полиномов нормированной
гистограммы.
4.6. АНАЛИЗ ПОЛНОГО ЦИКЛА С ОБЩЕЙ ЧАСТОТОЙ
ОТКАЗОВ И РЕМОНТОВ
Рассмотрим гистограмму, показанную на рис. 4.5. Эта
гистограмма построена по данным смертности, приведенным на рис. 4.4,
после деления на общее число населения, равное 1 023 102 человека.
Кусочная полиномная интерполяция данной гистограммы дает
следующую плотность отказов:
201

4.11. Типичные
Параметр
pdf.W)
Показатель
ненадежности F(t)
Экспоненциальное
λ ехр (—\t)
1-е
-it
Нормальное
j|/"2.
ы-а^г\
zY2:
!rt J
ехр [(*—μ)2/2σ2] dt
Частота отказов]
fit)
I-Fit)
Средняя
наработка до отказа
1/λ
f(t)
F(t)
r(t)
\
1
9
г (г,
FU)
to
0,811
0,5
%159
I
ζ i
L^i -J—i- ^
0 //-* A A^ £
/•w
HI
202

распределения
Логарифмически-
нормальное
^4-τ(ΐηΗ4
Вейбулла
Пуассона
β(*-ν)β
ί-1
Χ
Хехр
н^л
e~xt(lt)n
1 Г 1 Г 1
о
— μ.)2/σ2 dt
'-Ч-(^Л
/-о y
(η — число отказов)
/(О
1-^(0
Η*-if-1
ир|+Т'2)]
v + .r(i±l)
λ*
$■=/,$■
3=1,0
e" t
fit)
3=1/2
0 6 t-Z
f(n)
«ими ^
£» t
r(t)
L*"43
\*=f'° 6=1,5
о е" t
О б i-1
r(t)
о б t-г
203

f{t):
г—I
0,00638-0,001096*+0,951 χ 10-^2-0,349χ 10"5/3 +
+ 0,478 Χ 10-V при ί<30;
j 0,0566-0,279 χ 10-2* + 0,259 χ 10-"^+
+ 0,508 χ 10-6Я-0,573 χ 10-¥> при 30 <ί <90; ~
Ι -0,003608+ 0,777 χ ΙΟ-^-Ο^δδχΙΟ-5*2 при *>90.
Функция плотности отказов построена на рис. 4.5. Предположим
теперь, что имеются также данные по ремонтам и они
соответствуют логарифмически-нормальному распределению
1 г l/lnt
g{t)=-
-/2zi<st
-exp
[-ИгтЧ] «·122>
при следующих значениях параметров:
μ = 1,0; σ=0,5.
(4.123)
Теперь продифференцируем фундаментальные равенства (4.64):
w(t)
dt
■ = //(0 + /(0)tF(/) + j/'(/-li)u(«)rf«;
о
t
dt
(4.124)
где f'(t) и g'(t) определены как
f'if)=^f-, g'i^-ψ
at dt
(4.125)
Если теперь проинтегрировать дифференциальные уравнения
(4.124), получим результаты, показанные на рис. 4.23.
Ожидаемое число отказов №(0, /) и ремонтов V(0, t) можно
вычислить интегрированием выражений (4.40) и (4.44).
Показатель ненадежности Q{t) определяем по формуле (4.69);
его поведение для неустановившегося состояния показано на рис.
4.24. Условная интенсивность отказов λ(ί) может быть подсчитана
по формуле (4.78). Обнаружено, что λ(/) существенно отличается
от частоты отказов r(t) на рис. 4.6. Разница вызвана тем, что r(t)
и m(t) являются непостоянными величинами.
При условии, что интенсивности отказов и ремонтов известны,
вероятностные параметры для процесса любого типа могут быть
определены указанным способом.
4.7. ОПРЕДЕЛЕНИЕ ПАРАМЕТРОВ РАСПРЕДЕЛЕНИЯ
При наличии достаточного объема данных можно построить
гистограмму, подобную показанной на рис. 4.5, и определить
распределение отказов или ремонтов при помощи кусочно-полиномкой ап-
204

Рис. 4.23. Результата интегрирования уравнений (4.124)
проксимации, как было показано в разд. 4.6. Затем, применяют
процедуру, соответствующую показанной на рис. 4.17, и
определяют качественно вероятностные характеристики.
Если в наличии имеется лишь отрывочная информация,
невозможно построить полную гистограмму. В таком случае необходимо
задаться определенным распределением, а его параметры оценить
по имеющимся данным. Затем можно получить количественные
характеристики для элементов, используя схему переходов на рис.
4.17. В данном разделе представлены методы определения
параметров для процессов ремонт — отказ и отказ — ремонт.
«fb
1
5
§ 5Ю·
I
I
Логарифмически-нормальное распределение интенсивности
(β-10;6-0,5)
Л 100 150
Время t
Рис. 4.24. Кривая коэффициента простоя Q(t)
205

4.7.1. Определение параметров для процесса ремонт — отказ
При определении параметров на основании данных испытаний
могут возникнуть три случая:
1) все относящиеся к анализу элементы работают до отказа и
ни один из элементов не изымается до появления отказа (все
образцы отказали);
2) не все элементы, подвергающиеся испытаниям, продолжают
работать до отказа, так как они были изъяты до возникновения
отказов (неполные данные по отказам);
3) только небольшая часть образцов испытывается до отказа
(данные по ранним отказам).
Случай 1. Все образцы отказали. Рассмотрим данные по
отказам для 250 германиевых транзисторов, приведенные в табл. 4.5.
Примем постоянную частоту отказов λ. Справедливость того, что
величина λ постоянна, может быть проверена следующим образом.
Функцию распределения работоспособности определяем по
формуле /? (t) = e~xt. Она может быть записана в виде
In
L*(oJ
(4.126)
Таким образом, если построить график натурального логарифма
от l/R(t) в зависимости от времени /, должна получиться прямая с
наклоном λ.
Значения \n[l/R(t)] в зависимости от /, взятые из табл. 4.5,
нанесены на рис. 4.25. Затем проводим прямую так, чтобы она
наилучшим образом проходила через нанесенные точки, при этом ее
наклон легко определяем из графика
У2~У1
1,08 — 0,27
*2"
ч
400—100
=0,0027.
(4.127)
Следует заметить, что полученное значение хорошо согласуется с
постоянной величиной частоты г в примере 3.
100 200 300
Наработка 0с отказа
200 Ϊ00 600 800
Наработка до отказа,ч
Рис. 4.25. Проверка постоянства λ Рис. 4.26. Распределение отказов для
подшипников
206

Случай 2. Неполные данные по отказам. При некоторых
испытаниях элементы исключаются из работы по причинам, не
связанным с отказами. Это влияет на число элементов, доведенных до
отказа в любой момент, поэтому при оценке надежности необходимо
ввести поправочный коэффициент. В качестве примера рассмотрим
данные по срокам службы шарикоподшипников, приведенные в
табл. 4.12. Начальное число шарикоподшипников при испытаниях
до отказа равно 202; однако между отказами несколько
подшипников исключалось из работы до возникновения их отказа.
4.12. Данные по испытаниям подшипников
(1)

Наработка до
отказа, ч
(2)
Число
отказов
(3)
Число
образцов,

подверженных
отказам
(4)*
Ожидаемое число
отказов, если бы
начальная партия была
подвергнута испытаниям!
до отказа
(5)

Ожидаемое
накопленное!
число
отказов
(6)
F(t)
(7)
RV)
141
337
364
542
716
765
940
986
202
177
176
165
156
153
144
143
202—1
IX j^—=1,135
, 202-2,135
1Χ-^-=1,135
202—3,27
1х^г-=1·20
202—4,47
,χ-ϊ^-=1·27
, 202X5,74
Ιχ-ϋ^-='·28
144
, 202-8,37
Ιχ-ϋΤ-=1·35
1,0
2,135
3,27
4,47
5,74
7,02
8,37
9,72
0,0049
0,0106
0,0162
0,0221
0,0284
0,0347
0,0414
0,0481
0,9951
0,9894
0,9838
0,9779
0,9716
0,9613
0,9586
0,9519
* См. описание процедуры вычисления в прил. 4.4.
Показатель ненадежности F(t) вычислим делением
накопленного числа отказов на общее число образцов (202), предполагая,
что все начальное количество элементов продолжало работать до
отказа. График распределения отказов F(t) для данных табл. 4.12
построен на рис. 4.26. Он представляет только ту часть зависимости
числа выходов из строя, которая относится к отказам из-за
раннего износа.
Случай 3. Данные по ранним отказам. Обычно, когда
испытывают до отказа η образцов, испытания заканчивают до того, как
все η образцов откажут, Это делается из-за ограничения по вре-
207

мени или по экономическим соображениям. В таком случае
распределение отказов все еще можно определить по имеющимся данным,
задавшись определенным типом распределения и построив
экспериментальную зависимость, соответствующую принятому
распределению. Близость экспериментальных точек к прямой указывает
на хорошее соответствие этих данных принятой модели. В качестве
примера рассмотрим наработки до отказа для первых семи
отказов при испытаниях 20 систем управления (л = 20), приведенные в
табл. 4.13 [2].
4.13. Данные по отказам для системы управления
Номер отказа
1
2
3
4
Наработка
до отказа, ч
1
4
6
Номер отказа
5
6
7
Наработка
до отказа, ч
15
20
40
Предположим, что необходимо оценить число отказов при /=*
= 111 и / = 300 ч. Прежде всего примем, что данные могут быть
описаны трехпараметрическим распределением Вейбулла, которому
соответствует следующее уравнение (см. табл. 4.11):
| 1 — ехр I —Г—-—^^ ПРИ ^>Y;
F(t) = \ L V σ Л F ^ь (4.128)
[ 0 при 0</<γ,
где у — момент времени, когда элемент начинает отказывать; σ —
характеристический срок; β — параметр формы.
Из практических соображений обычно оказывается удобным
принять γ = 0. Это упрощает приведенное выше соотношение
/^)=l-exp[-(i-)P]
:expl(fi
или
\-F(t)
и, окончательно,
In In Г - 1
= pin/ — βίησ.
(4.129)
Это соотношение является основным для построения зависимостей,
соответствующих распределению Вейбулла; здесь график
зависимости In 1п{1/[1—F(t)]} в координатах Ш есть прямая, имеющая
наклон β, с координатой пересечения с осью у, равной у0 =—βίησ:
наклон =β; (4.130)
0О=-In в; (4.131)
о = ехрр=р-). (4.132)
208

Оценка малых значений бета
4 -о Начало
8,0 9,0
CJ С,5
50 100
500 1000 5000 10000
Рис. 4.27. График, полученный по данным эксперимента
Для того чтобы использовать эти выражения для экстраполяции
вероятности отказов, необходимо определить два параметра σ и β
по экспериментальным данным наработки до отказа. Это
выполнено на рис. 4.27 для данных, приведенных в табл. 4.14. Процедура
нанесения упорядоченных точек на графике получена с помощью
метода, описанного в прил. 4.5.
4.14. Точки для построения графика
Номер
отказа
i
Наработка
до отказа, ч
Точки на
графике (число
отказов, %)
f(o=_(/-l/2>100
Номер
отказа
Наработка
до отказа, ч
Точки на
графике (число
отказов, %)
F(t)- (/-1/2П0а
2,5
7,5
12,5
17,5-
15
20
40
22,5
27,5
32,5
Параметры β и σ определяем из графика:
β (угол наклона) = У2~Уг = 2'°-(--3>0> =0,695;
; χ, — Χι 7,25 — 0,06
σ=e-^o/β=е-(-3'4/°^695> = 132,85.
Таким образом,
"(1«»-«-«р[-(^;П-0*
Число отказов при ί= 100 ч есть 0,56X20=11,2, а также
,<300,= 1-ехр[-(^Г]=0,828,
(4.133)
(4.134)
209

или число отказов в момент / = 300 ч есть 0,828x20= 16,6.
В табл. 4.15 приведено фактическое время до отказа для всех
20 элементов. Сравнение полученных выше результатов с
фактическим числом отказов для ί = 100 и /=300 ч подтверждает
правильность выбора распределения Вейбулла.
4.15. Фактические данные по отказам для системы управления
Номер отказа
1
2
3
4
5
6
7
8
9
10
Наработка
до отказа, ч
1
4
5
6
15
20
40
41
60 1
93
Номер отказа
п
12
13
14
15
16
17
18
19
20
Наработка
до отказа, ч
95
106
125
151
200
268
459
827
840
1089
После того, как вид распределения отказов установлен и его
константы определены, можно легко найти другие параметры,
относящиеся к надежности, для процесса ремонт — отказ. Например,
чтобы подсчитать плотность отказов, используют производную
функции Вейбулла, определяющей выход элементов из строя:
F(0=l-^exp[-(-^J]; (4.135)
тогда
/«-^-■^Ч-в-П· (4·136)
Подстановка значений β и σ дает
-,,* 0,02324 Г / t \o,655i
/(')=7Porexp[-(—) j. (4.137)
Вычисленные значения f(t) приведены в табл. 4.16, а график
построен на рис. 4.28. Эти величины представляют вероятность того,
что элемент отказывает в единицу времени в момент t при условии,
что элемент работал в начальный момент и оставался исправным
до момента ί.
Ожидаемое число раз, когда происходят отказы в интервале от
/ до t + dt, есть w(t)dt, и интеграл от этой величины в данном
интервале равен ожидаемому числу отказов. После того как
плотности отказов и ремонтов известны, можно определить безусловную
интенсивность отказов w(t) по формуле (4.64).
210

Рис. 4.28. Плотность отказов для система
управления
Предположим, что элемент был
как новый в начальный момент и
что как только элемент отказал в
момент />0, его нельзя
отремонтировать (невосстанавливаемый
элемент). Тогда плотность ремонтов
тождественно равна нулю, и
безусловная интенсивность ремонтов υ(ί),
определяемая по формуле (64.4),
становится равной нулю. Таким
образом, формула (4.64) упрощается:
200
100 200
дрем л, ч
Ζ00
и\ *λλ 0,02324 Г / t \ο,695Ί
В результате безусловная интенсивность отказов есть
одновременно плотность отказов для невосстанавливаемых элементов.
Значения f(t) в табл. 4.16 представляют также величины w(t).
Ожидаемое число отказов W(tu t2) можно определить
интегрированием приведенных выше выражений в интервале времени от
t\ до t2:
W(tu t0)= [w(t)dt= [f(t)dt = F(t2)-F(tl)=
\V(tbt,)=[w(t)dt=^
-{■-ч:ш,:·
4.16. Плотность отказов для системы управления
(4.139)
Наработка
до отказа, ч
1
4
5
6
15
20
40
40
60
93
fit)
0,0225
0,0139
0,0128
0,0120
0,0082
0,0071
0,0049
0,0049
0,0037
0,0027
Наработка
до отказа, ч
95
106
125
151
200
268
459
827
840
1089
fit)
0,0026
0,0024
0,0020
0,0017
0,0012
0,0008
0,0003
0,0001
—
—
Значения ОЧО (ожидаемое число отказов), равные W(0, t), для
данных, приведенных в табл. 4.16, помещены в табл. 4.17. Так как в
данном случае нельзя произвести ремонт, W(0, t)=F(t), и
выражение (4.139) эквивалентно выражению (4.135).
211

4.17. Ожидаемое число отказов (ОЧО) для системы управления
At, /=0
1
4
5
6
15
20
40
40
60
93
ОЧОХ20
0,66
1,68
1,95
2,19
2,94
4,71
7,04
7,04
8,75
10,84
At, /=о
95
106
125
151
200
268
459
827
840
1089
ОЧОХ20
10,94
11,49
12,33
13,30
14,70
16,08
18,13
19,43
19,46
19,73
Определение параметров для случая значительного износа. Этот
пример относится к ретроспективному анализу Вейбулла,
проведенному для печи фирмы «Империал Кемикалз Индастриз»
(Imperial Chemicals Industries). Печь была пущена в эксплуатацию в
1962 г. и имела 176 труб. В начале 1963 г. трубы начали выходить
из строя после 175 дней эксплуатации, причем первые четыре
отказа были зарегистрированы в сроки, приведенные в табл. 4.18.
Насколько известно, работа до появления этих первых отказов
была совершенно нормальной: не было зарегистрировано никаких
необычных отклонений температуры или давления. Следовательно,
трубы начали изнашиваться, и если бы нормальная эксплуатация
продлилась, можно было бы предсказать вероятное число отказов
в последующий период на основе характера отказов, который
можно определить по этим начальным отказам. Однако для того, чтобы
сделать такое утверждение, необходимо принять еще одно
предположение. Вполне возможно, что отказы произошли в местах слабых
сварных швов труб; можно ожидать, что число труб, имеющих
слабый шов, ограничено.
4.18. Наработка до отказов
для первых четырех рабочих
труб
4.19. Упорядоченные значения
для построения графика
для первых четырех отказов
№ отказа
1
2
3
4
Время
эксплуатации, день
475
482
541
556
№ отказа
4
3
2
1
Время
эксплуатации,
день
475
482
541
556
Упорядоченные
значения, %
0,40
0,96
1,53
2,10
Если, например, шесть труб имеют некачественную сварку, то
два последующих отказа исчерпают этот вид отказа для данной
системы, и дальнейшие отказы не будут иметь места до тех пор,
пока не проявится другой вид отказа, такой, например, как корро-
212

зия труб. Если предположить, что все 176 труб могут отказать, по
той же причине, то вполне можно склониться к пессимистическому
предсказанию о числе отказов в последующий период. Однако, не
имея возможности остановить печь, для того чтобы определить вид
отказа, данное предположение является наиболее полезным из тех,
которые можно сделать.
Задача, следовательно, заключается в том, чтобы определить
последующие отказы, основываясь на предположении о механизме
отказа из-за износа.
Упорядоченные значения для построения графика для первых
четырех отказов приведены в табл. 4.19. Соответствующие точки
затем нанесены на график и проведена прямая а, наилучшим
образом проходящая через эти точки (рис. 4.29).
Эта прямая пересекает временную ось при значении,
приблизительно равном 4G0 дням, и проходит очень круто, что соответствует
очевидному распределению Вейбулла с коэффициентом формы β,
равным приблизительно 10. Оба результата наблюдения указывают
на то, что если бы можно было построить полный график
распределения отказов, кривая изменила бы свой наклон в сторону
временной оси по мере накопления отказов. Это указывает на
применимость модели с трехпараметрическим распределением Вейбулла, а
не более простой двухпараметрической модели, которой
соответствует прямая на графике.
С точки зрения предсказания числа будущих отказов
значительно проще иметь дело с прямой линией, чем с коротким
участком графика неизвестной кривизны. В соответствии с трехпарамет-
рической моделью Вейбулла, задаваемой выражением
'-№)']. »г.
F(t)=i Ч I « /J (4.140)
I 0 0«γ,
отказы не происходят в начальный период (Ο,γ). Подобно формуле
(4.129) для t>y имеем
In In
[τ3^τ]=Ρ1η^-γ)-ρ,ηα· (4Л41>
Таким образом, модель Вейбулла мбжно упростить, свести к
двухпараметрической модели и представить прямой с помощью
следующего математического преобразования: V = t—у. Это эквивалентно
вычитанию фиксированного отрезка времени из наработки до
отказа при нанесении точек на графике.
Если выбрать правильное значение отрезка времени, то график
преобразованной функции jln (t — у) In In 11
асимптотически приближается к конечному участку первоначального
криволинейного графика fin/, In In j -—l- 1} , так как \nt^\n(t—y)
I ) I — F(t) J J
для больших значений t.
213

99,9
99
90
-Ό
50
30
20
10
5
3
Ζ
1
0,5
0,3
ο,ζ
0,1
<«τ-
Оценочной
№ испытания
χ.
Дата
ρ» iliuli
2 их
* аГ
-
-
S3
11.... ^j.
4
точка
Изделие и источник
Вид испытания
^
1 Ν* , 1 ■ 1
vL
Среднее
значен.
Л
Μ
Ι Ι Ι Ι Ι Ι Ι Ι Ι Ι Π<Λ,Ι I I 1 I I I 1 1 iTW^I 1 I 1 1 1 1 1 1 1 1 1 1 1 1 1 1
/ Г
-J L
*V 3 ^ » 5 1
_^_^^
Размер выборки
Форма
Характерный
срок службы
минимальнш
срок службы
Ν
"χ
ι
Λ
ν
ϊ
ΒΊΟ
176 \
Τη. \
графикХ
график \
1
\
\
\
\
4V \
\
ч
/
Ч / 1
Предсказанное число
(δ % через 6 пес. not
4-го отказа)
Г
-о/ , χ
ν 4/
£_! Mill/ L
отказов cj \
^ JJ
У?
//
'
/ ί
/ i
/
I
Ι ί 1 Mill
1
10 дней
Ζ
3
Ч 5 6 7891 Ζ 3
100 дней
Срок службы при отказе
4 5 6 7 891
1009 дней
Рис. 4.29. График Вейбулла для отказов технологических труб
В данном случае эмпирически невозможно определить, каково
должно быть преобразование, так как в наличии имеется лишь
начальная часть криволинейного графика. Очевидно, что речь идет
о явлении, связанном с износом, а из опыта известно, что при его
описании при помощи распределения Вейбулла параметр формы
распределения обычно принимает значение 2<β<3,4.
Следовательно, фиксированные отрезки времени можно вычитать из четырех
значений наработок до отказа до тех пор, пока по методу проб и
214

ошибок на прямых, проведенных через нанесенные точки, не
появятся крайние значения β, равные 2 и 3,4. Это есть соответственно
прямые (Ь) и (с), показанные на рис. 4.29. Результаты
преобразований, полученные при помощи метода проб и ошибок, приведены в
табл. 4.20.
4.20. Результаты преобразований для определения крайних значений β:
β = 2 и β = 3, 4
1
№ отказа
1
2
3
4
2
Время
эксплуатации,
дней
475
482
541
556
3
Графа 2
(γ==375 дней)
100
107
166
181
4
Графа 3
(γ=275 дней)
200
207
266
281
5
Упорядоченные
значения, %
0,40
0,96
1,53
2,10
На рис. 4.29 проведены две линии, для того чтобы определить
вероятное число отказов за шесть месяцев после четвертого отказа
(т. е. за 182 дня после четвертого отказа). Соответствующие
значения предсказанного числа отказов равны 9 и 14.
Фактически печь находилась в эксплуатации более шести
месяцев после четвертого отказа, и в рассматриваемый
шестимесячный период дополнительно произошло 11 отказов.
4.7.2. Определение параметров для процесса отказ — ремонт
Продолжительность ремонта (ПР), или продолжительность
простоя складывается не только из времени ремонта
неисправности, но также времени ожидания запасных частей, проведения
замены и т. д. Коэффициент готовности A(t) пропорционален общей
совокупности элементов, которые, как ожидается, будут
функционировать в момент t. Этот коэффициент готовности относится, таким
образом, к общему числу элементов. Можно рассмотреть другую
разновидность коэффициента готовности, основывающегося на
среднем числе элементов группы в данный момент. Он
определяется выражением
N
_ 2 ндо,
A=-lrJ=1 , (4.142)
2 (НДО, + ПР/)
где НДО/, ПР/ (ί=1, ..., Ν) есть последовательные промежутки
времени (наработки до отказа и продолжительности ремонта) для
определенного элемента. Общее число N полных циклов (НДО/ +
+ ПР/) принимается достаточно большим. Коэффициент готовности
для текущей группы элементов представляет часть общего числа
215

элементов, которые работают в одном цикле. В соответствии с так
называемой эргодической теоремой коэффициент готовности для
текущей группы элементов А совпадает с установившимися
значениями коэффициента готовности Л(оо) для всей совокупности
элементов.
В качестве примера рассмотрим последовательную серию из 20
пар значений НДО и ПР, приведенных в табл. 4.21 [3J.
Коэффициент готовности для текущей группы
Л= 1102/1151,8=0,957. (4.143)
4.21. Данные по наработкам до отказа и продолжительностям ремонта
НДО, ч
125
44
27
53
8
46
5
20
15
12
Промежуточная сумма
Общая сумма
ПР, ч
1,0
1,0
9,8
1,0
1>2
0,2
3,0
0,3
3,1
1,5
НДО, ч
58
53
! 36
25
106
200
159
4
79
27
1102
1151,8
ПР, ч
1,0
0,8
0,5
1,7
3,6
6,0
1,5
2,5
0,3
3,8
49,8
Средняя наработка до отказа и средняя продолжительность
ремонта
СНДО= 1102/20=55,1; (4.144)
СПР=49,8/20=2,49. (4.145)
Так же как параметры, относящиеся к отказам, данные по
величине ПР в табл. 4.21 образуют распределение, для которого
можно определить соответствующие параметры. В табл. 4.22
продолжительности ремонтов расположены в порядке их возоастания
(см. прил. 4.5, в котором изложен метод, использованный для
определения точек на графике).
Предположим, что полученные данные подчиняются логариф-
мически-.нормальному распределению, для которого натуральные
логарифмы от продолжительности ремонта распределены по
нормальному закону со средним значением μ и дисперсией о2. Среднее
значение μ наилучшим образом можно оценить, построив график
ПР по имеющимся данным в координатных
логарифмически-нормального распределения (рис. 4.30) и определив натуральный ло-
216

too,
JO
1,0
Of
Λ 1 ГТТ—I—I 1 I I I I I I 1—I ΓΊΓΊΙ Г"
95 99 99,9
л ι ι ί ι ι ι ι ι ι ι ι ι i_i ' ' ' '
гарифм, соответствующий 50%*
ному значению для построенной
зависимости. Это 50%-ное
значение равно 1,43; таким образом,
параметр μ = In 1,43=0,358.
Найденная величина μ
является не только медианой (50%-
ное значение) для нормального
распределения натурального
логарифма от ПР, но и средней
величиной натурального
логарифма ПР. Таким образом, параметр
μ можно определить так же, как
среднее арифметическое
натурального логарифма от всех
значений ПР из табл. 4.21. Эта процедура дает величину μ = 0,368, что
близко к величине 0,358, полученной из графика логарифмически-
нормального распределения.
4.22. Продолжительности ремонта в порядке их возрастания
0,10,512 510 30 60 90 98 99,5 Щ?
Накопленная величина,%
Рис. 4.30. Построение графика ПР по
экспериментальным данным
№ ремонта i
1
2
3
4
5
6
7
8
9
10
ПР
0,2
0,3
0,3
0,5
0,8
1,0
1,0
1,0
1,0
1,2
Точки для
графика
(i—1/2)100/л
2,5
7,5
12,5
17,5
22,5
27,5
32,5
37,5
42,5
47,5
№ ремонта i
Π
12
13
14
15
16
17
18
19
20
ПР
1,5
1,5
1,7
2,5
2,0
3,1
3,6
6,0
9,8
9,8
Точки для
графика
(г—1/2)100/л
52,5
57,5
62,5
67,5
72,5
77,5
82,5
87,5
92,5
97,5
Следует заметить, что значение Г=1,43, удовлетворяющее
равенству 1ηΓ=μ = 0,358, не есть ожидаемое значение
продолжительности ремонта, несмотря на то, что оно соответствует 50%-ному
значению логарифмически-нормального распределения. Ожидаемое
значение, или средняя продолжительность ремонта, может быть
оценено усреднением данных наблюдений по продолжительности
ремонта, помещенных в табл. 4.21, и равно 2,49, как это следует из
формулы (4.145). Эта величина значительно больше, чем 50%-ное
значение (Г=1,43), потому что на практике обычно имеются
непредвиденные поломки, требующие значительного времени на
ремонт. Распределение продолжительностей ремонта с данными
свойствами часто соответствует логарифмически-нормальному распре-
Делению с умеренно уменьшающимися значениями для больших ве->
личин ПР.
217

—"r Рис. 4.31. Коэффициент про-
стоя Q(t) с экспоненциальным
распределением плотности f(t)
при λ=0,01815 и
логарифмически-нормальным
распределением плотности g('t) при μ =
=0,358 и σ= 1,0892:
/ — экспоненциальное
распределение ремонтов; 2 — логарифмически-
нормальное распределение ремонтов
20
Параметр σ2 есть дисперсия для 1п(ПР) и может быть
оценен с помощью формулы
N
^(ΙηΠΡ,·-^
σ2= -ί=! , (4.146)
где Ν — суммарное число образцов.
По данным табл. 4.21 σ= 1,081.
Предположим, что распределению НДО соответствует
постоянной частоте отказов λ= 1/СНДО= 1/55,1 =0,01815. Так как теперь
оба распределения для процессов ремонт — отказ и отказ — ремонт
известны, можно использовать процедуру, приведенную на рис. 4.17.
Результаты показаны на рис. 4.31. Необходимо отметить, что
установившееся значение коэффициента простоя Q(сю) =0,04295
согласуется со значением коэффициента готовности для текущей группы
А = 0,957, полученного по формуле (4.143).
Рассмотрим теперь случай, когда распределение ремонтов
можно приближенно представить в виде модели с постоянной частотой
ремонтов. Постоянную т определим как
т = 1/СПР= 1/2,49 = 0,40161.
Зависимость коэффициента простоя Q(t), вычисленная по
формуле (4.107), построена на рис. 4.31. Данная зависимость
является хорошим приближением коэффициента простоя,
получаемого при принятии логарифмически-нормального распределения. Этот
случай не является необычным. Модель с постоянной частотой
зачастую дает приближение первого порядка, поэтому следует
воспользоваться ею, прежде чем перейти к более сложным
распределениям. Используя модель с постоянной частотой, можно
установить определенную тенденцию и понять, имеются ли
усовершенствования в системе. Обычно модель с постоянной частотой сама по
себе дает достаточно точные результаты.
<з очи -г
Времяу t
218

Рис. 4.32. Диаграмма переходов для элементов с несколькими видами отказов
4.8. КОЛИЧЕСТВЕННАЯ ОЦЕНКА ЭЛЕМЕНТОВ
С НЕСКОЛЬКИМИ ВИДАМИ ОТКАЗОВ
Как указывалось в гл. 1, многие элементы имеют несколько
видов отказов. При любом практическом применении дерева отказов,
если исходное событие является отказом элемента, необходимо
утановить точный вид отказа. Когда исходное событие относится
к нескольким видам отказов, оно может быть разработано с
помощью логических элементов «ИЛИ» до более элементарных
исходных событий, каждое из которых относится к одному виду
отказа. Таким образом, можно принять, что каждое исходное событие
связано только с одним видом отказа, хотя сам элемент может
подвергаться различным видам отказов. Переходы из одного
состояния в другое для подобных элементов представлены на рис.
4.32.
Предположим, что исходное событие есть какой-то один вид
отказа, например вид отказа 1 на рис. 4.32. Тогда исправное
состояние и виды отказа со 2-го по N соответствуют непоявлению данного
исходного события, и это можно выразить так, как показано на
Рис. 4.33. Диаграмма перехо- Б
дов для исходного события:
Л —отсутствие исходного события
i„^aBoHoe Агс°стояние или отказы
видов 2-N); Б -происходят от-
нп1 и?а /; В - существует
исходное событие (отказ вида /); Г —
отказ вида / устранен
Г
219

αν
(U)
3,0 0,6 [/06] (3,0)
ί
Ι [200]
[759] 0,8 П__ (O.J)__ *
1
Ι
Ι
* WJ] (1Л) 78 0,7
1
\№
[28] 7,7__ 27__ αθ)__ Τ
ι
ι
Τ 89 2,1 _[££] SML^m
Рис. 4.34. Изменение во времени состояний клапана:
N — исправное состояние; 50 — клапан «заел» в открытом положении; SN — то же, в
закрытом положении
рис. 4.33. Эта диаграмма является аналогом рис. 4.8, поэтому
методы количественных оценок, разработанные в предыдущих
разделах, можно использовать без значительных изменений; показатель
надежности R(t) превращается в вероятность непоявления отказа
вида 1 к моменту t, коэффициент простоя Q(t) есть вероятность
существования отказа вида 1 в момент t и т. д.
Пример 8. Рассмотрим изменение состояния клапана во времени, как
показано на рис. 4.34. Клапан имеет два вида отказов: «заедание в открытом
положении» и «заедание в закрытом положении». Примем в качестве исходного события
вид отказа — «заедание в закрытом положении». Вычислить СНДО, СПР, R(t)f
F(i), A(t), Q(t), w(t) и Ψ(0, t), приняв постоянной частоту отказов и
ремонтов.
Решение. «Клапан исправен» и «клапан заел в открытом положении»
означает непоявление исходного события. Таким образом, диаграмму на рис. 4,34
можно преобразовать в диаграмму показанную на рис. 4.35, где символ «НЕТ»
означает непоявление (исходного события).
СНДО =(136,6+200 + 173,8 + 4,5 + 100,7+56,1 + 150,1)/7= 117,4;
СПР =(3,0+0,3+ 3,1 + 1,4 + 1,0+ 1,7 + 0,8)/7 = 1,6ί;
λ = 1/СНДО = 0,0085; μ.= ί/СПР = 0,619;
/40 = 1 _ β"0'0085'; R (t) = β"0'0085';
™ - Ο,ΟθΓ+0,619 I1 - е-^^П =0,0135 X [l - е-.-];
220

30+0.6+106 3,0 200 0,3
NQN ^ SC *» NON ^ SC *-NON
I
\Vt+№159
18+0,7+81 1Л Ъ5 JJ J
sc ^ N0N ^ SC **· NON *+ SC
I
w
♦ 27+7.1+28 cp 17м„нд9+2£И 8С -~^NON
уд/ц -^ so —·—^ NON —-—**- oL -*-PiUN
Рис. 4.35. НДО и ПР для события «заедание клапана в закрытом положении»:
NON — нет; SC — заедание в закрытом положении
Л (О =0,9365 + 0,0135е-°'6275/;
w(t) =
0,0085X0,619
0,00852
0,0085 + 0,619 0,085+0,619
-(0,0085+0,619)/
= 0,0084 +0,0001е
—0,6275/.
w(ot<)=;^x ;■;;;,+
0,00852
[l e—(0,0085+0,619)/] __
0,00*^ +0,619 ' ' (0,0085+0,619)2
= 0,0002 + 0,0084* — 0,0002е"0'6275'.
Данные вычисления дают лишь приближенные результаты, так как клапан,
имеющий три состояния, моделируется с помощью диаграммы на рис. 4.33 для
двух состояний. Однако значение СПР для «заедания в открытом положении»
обычно мало, и ошибка, обусловленная этим допущением, пренебрежимо мала.
Если требуется провести точный анализ, можно начать с марковской диаграм-
Рис. 4.36. Марковская диаграмма перехода для клапана
221

мы перехода, представленной на рис. 4.36, и применить дифференциальные
уравнения, описанные в гл. 7—9, для вычисления R(t), Q(t), w(t) и т. д.
Как описано в гл. 6 (Базы данных), некоторые данные по видам
отказов представляются в форме «частота=отказ/период». Эта
частота может быть преобразована в постоянную интенсивность
отказов следующим образом.
Из табл. 4.10 следует, что установившееся значение частоты
есть
^(οο) = λ{χ/(λ + μ). (4.147)
Обычно СНДО намного больше, чем СПР, т. е.
λ С μ· (4Л48)
Таким образом,
^(οο)=λ. (4.149)
Частота сама по себе может быть использована в качестве
условной интенсивности отказов, при условии, что СПР достаточно
мала. Когда это несправедливо, используется формула (4.147) для
вычисления λ при заданных значениях СПР и данных по частоте.
Величину СПР можно оценить, так как вид отказа уже был
выбран.
Пример 9. По значениям частоты w(t) из примера 8 получаем до(оо) =0,0084
(отказов «заедание в закрытом положении»/единица времени). Пересчитать
безусловную интенсивность отказов λ.
Решение. По формуле (4.149) получаем λ = до (оо) =0,0084. Полученное
значение хорошо согласуется с величиной λ=0,0085 из примера 8.
4.9. КОЛИЧЕСТВЕННАЯ ОЦЕНКА ВОЗДЕЙСТВИЙ
СО СТОРОНЫ ОКРУЖАЮЩЕЙ СРЕДЫ
Как объяснялось в разд. 2.4.1, опасности в системе вызываются
каким-нибудь одним элементом или набором элементов, создающим
аварийное событие. Окружающая среда, персонал предприятия и
естественное старение могут оказывать воздействие на систему
только через ее элементы.
Характеристики отказов элементов показаны на рис. 2.15.
Различают два вида воздействия со стороны окружающей среды:
I. Воздействия со стороны окружающей среды являются
причиной вторичных отказов элементов.
П. Воздействия со стороны окружающей среды являются
причиной ошибочных команд на элементы.
Воздействие со стороны окружащей среды и ошибочные
команды. Ошибочная команда была определена как нерабочее состояние
элемента из-за неправильного управляющего сигнала или помехи,
и часто не требуется проведения ремонта для возвращения
элемента в рабочее состояние. Таким образом, ошибочная команда
существует тогда и только тогда, когда существует неправильная
команда. В результате количественная оценка ошибочной команды
сводится к рассмотрению этой неправильной команды. Фактически
222

неправильные команды, такие как «отказ в сети электропитания»
или «самопроизвольные внешние помехи», появляются в дереве
отказов в качестве исходных событий (см., например, «отказ в сети
электропитания» на рис. 2.26). Воздействия со стороны
окружающей среды можно оценивать количественно тем же способом, что
и элементы системы.
Пример 10. Принять СНДО=0,5 года и СПР=30 мин для отказа в сети
электропитания. Вычислить Я(t) и Q(t) при t=\ год.
Решение:
λ = 1/0,5 =2 года-i;
СПР = 30/(365-X 24 χ 60) = 5,71 X 10-5 лет;
μ. = 1/СПР = 1,75 χ 104 лет-ь
/?(1)=е-2х1 = 0,135;
Q(1) = JTWoIl^e~(2+1750°)] = bl4x10^
Воздействие со стороны окружающей среды и вторичные отказы.
Вторичный отказ отличается от первичного тем, что сам этот
элемент не считается ответственным за данный отказ. Избыточное
напряжение, приложенное ранее или в настоящий момент времени
к данному элементу, ответственно за этот вторичный отказ.
Заметим, что требуется проведение ремонта для возвращения элемента
в рабочее состояние, т. е. снятие чрезмерных напряжений не
гарантирует восстановления рабочего состояния, потому что эти
напряжения повредили данный элемент и он должен быть
отремонтирован.
При проведении качественного анализа с использованием
дерева отказов первичный отказ и соответствующий ему вторичный
объединяются в единое исходное событие. Таким образом,
естественной является количественная оценка результирующего
исходного события. Это событие имеет место, если случается первичный
отказ либо вторичный отказ. Если принять постоянную частоту
отказов и постоянную частоту ремонтов для этих двух отказов,
можно построить диаграмму переходов, изображенную на рис. 4.37.
^десь λ(ρ) и X(s) — условные интенсивности отказов для первичного
и вторичного отказов соответственно, а μ — интенсивность
ремонтов для первичного и вторичного отказов. Диаграмму можно
использовать для количественных оценок исходного события,
включая вторичный отказ элемента,
являющийся результатом воздей- д-а^-ы,,,)
ствий со стороны окружающей
среды.
Пример 11. Предположим, что
землетрясение происходит один раз за 60 лет
ис. 4.37. Диаграмма перехода для
первичных и вторичных отказов
223

Когда оно происходит, имеется возможность разрушения бака, оцениваемая в
50%. Принято, что СНДО = 30 лет для бака в нормальных окружающих
условиях. Принять, что требуется 0,1 года для ремонта бака. Вычислить R(\0) и
Q (10) для исходного события, полученного в результате объединения первичного
и вторичного отказов бака.
Решение. Бак разрушается в результате землетрясения один раз за 120 лет.
Таким образом,
V)=i^==8'33xl0_3(roJl~1)·
Далее
\(р) = — = 3,33 X 10-2 (лет-1);
λ = λ{Ρ) + λ(5) = 4,163 χ 10-2 (лет-1);
μ = —= 10 (лет-i).
Таким образом, при /=10 лет
У? (10)= е-(4'163><10_2)10 = 0,659;
«<"» - «.'бГхшТ;,, χ" - •■<vnarчк) "> - *■» χ '»-'■
В большинстве случаев воздействия со стороны окружающей
среды появляются в виде событий с общей причиной.
Количественная оценка исходных событий, связанных с общей причиной,
разработана в гл. 8.
4.10. КОЛИЧЕСТВЕННАЯ ОЦЕНКА ОШИБОК ЧЕЛОВЕКА
Подобно воздействию со стороны окружающей среды ошибки
человека являются причинами ошибочных команд на элементы или
вторичных отказов.
Ошибки человека и ошибочные команды. Действия операторов
на предприятии являются реакцией на какие-то требования.
Типичное дерево отказов для этого случая изображено на рис. 2.3.
Ошибки оператора также включены в дерево отказов на рис. 2.24 и 2.26.
Как объяснено в разд. 2.5.2, различные условия вводятся с
помощью логических знаков «ИЛИ» и «И». Можно использовать эти
условия для количественных оценок ошибок оператора, так как он
может быть на 99,99% совершенным при рутинной работе и
сравнительно беспомощным при панике, возникающей при
чрезвычайных обстоятельствах. Вероятность ошибок оператора обычно
инвариантна от времени и может быть выражена как «ошибка на
запрос». Эти значения приведены в гл. 6 на рис. 6.9.
Ошибки человека и вторичные отказы. Когда оператор на
предприятии вызызает поломку какого-то элемента или его действия
оставляют на предприятии некоторый «след», он является причиной
вторичного отказа. Например, если оператор непреднамеренно за-
224

крывает клапан, то этот клапан испытывает вторичный отказ,
потому что он не может открыться сам по себе.
Этот вид вторичного отказа можно оценить количественно,
используя диаграммы перехода, подобные показанным на рис. 4.30.
Единственная разница заключается в том, что параметр λ(5>
необходимо оценить, основываясь на частоте запросов и частоте ошибок
оператора на данный вид запроса.
Пример 12. Оператор получает запрос «открыть клапан 1» один раз в месяц.
Имеется возможность того, что оператор закроет клапан 1 или оставит его
закрытым, эти возможности оцениваются в 1%. По техническим условиям клапан
может «отказать в закрытом положении» один раз в 10 лет. В среднем требуется
10 ч на то, чтобы отремонтировать клапан, закрывшийся самопроизвольно.
Вычислить R(t) и Q(t) для исходного события «самопроизвольное закрытие
клапана».
Решение. Среднее время между запросами составляет 1/12 года. Среднее
время до ошибки оператора равно 1/12x100 годам:
^>-<1П^=ж=0,,2(дет-1):
^, = -^ = 0,1;
λ =0,12 -h 0,1 =0,22;
10
сндо =
365χ24 *
24
μ = 365 — = 876 ,(лет-1).
Таким образом, при t= 1 год
Л(1) = е-°'22 =0,803;
Q(I)== 2lH? [i_e-<°'22+876>]= 2,51Х10-4.
Vl ' 0,22+876 l J
В конце концов, мы подошли к так называемым исходным со-
бытиям, зависящим от системы в целом. Типичным примером
такого события является вторичный отказ предохранителя,
представленный на рис. 2.19. Этот отказ можно проанализировать также с
помощью диаграммы, подобно показанной на рис. 4.37. Параметр
X(S) определится суммой условных интенсивностей отказов для
событий «короткое замыкание кабеля» и «пульсация генератора»,
как это следует из дерева отказов для события («повышенный ток
к предохранителю»), представленного на рис. 2.21.
Пример 13. Принять следующие значения условных интенсивностей отказов:
короткое замыкание кабеля 1/10 000 ч-1;
пульсация генератора: 1/50 000 ч-1;
первичный отказ предохранителя: 1/25 000 Ч"1.
Условная интенсивность ремонтов μ оценивается следующей величиной:
Для того чтобы получить консервативные оценки, средняя
продолжительность ремонта l/μ должна включать время, затрачиваемое на ремонт
«вышедшего из строя предохранителя», «закороченного кабеля» и пульсирующего гене-
8—533 225

ратора», потому что без выполнения всех этих ремонтных работ невозможно
восстановить предохранитель в системе. Вычислить /?(1000) и Q(1000).
Решение:
1 = —!—+ -Ь =0,00016 ч-1;
10 000 50 000 25 000
Я (1000) = е-0'00016х1000 = 0,852;
Q(IOOO)^ Q,QQQ16 [1 _e-(o,oooi64-o,5)ioooj =3,2 χ 10-4.
νν ' 0,00016-j-0,5L J
Приложение 4.1. Вывод выражения (4.35)
Отказ в интервале [t,t + dt] происходит в течение процесса
ремонт— отказ. Пусть s — долговечность элемента, который
исправен в момент /. Другими словами, предположим, что элемент
оставался исправным с момента t—s и является исправным в момент t.
Выражение (4.9) для правила моста можно записать в
интегральной форме:
PT(A\C)=\Pr(A\s,C)P(s\C)ds, (1)
где P(s\C)—плотность условной вероятности события В при
условии, что событие С происходит. Член P(s\C) есть вероятность
появления моста [s^ + rfs), а член Pr(A\s,C)—вероятность
появления события А после того как мост пройден. Интегрирование в
выражении (1) есть представление Рг(Л|С) в виде сумм всех
возможных мостов. Дадим определения следующим событиям и
параметру s:
А — отказ в интервале (t,t + dt)\
s — исправный элемент имеет долговечность 5 в момент /;
С — элемент был как новый в начальный момент и исправен в
момент t.
Так как характеристики отказа элемента в момент / считаются
зависящими только от долговечности 5 в момент t, имеем
Pr(A\s, C) = Pr{A\s) = r(s)dt. (2)
Далее, из определения X(t) следует
Рт(А\С)=Щ(И. (3)
Подставляя формулы (2) и (3) в выражение (1), получаем
l(t)dt=dt tr(s)P(s\C)ds. (4)
Для постоянной частоты отказов г имеем
X{t)dt=dt-r §P(s\C)ds=dt-r.\, (5)
что дает выражение (4.35).
226

Приложение 4.2. Вывод выражения (4.69)
Обозначим через Е(-) операцию принятия ожидаемого
значения. В общем справедливо следующее равенство:
Ε(χν)) = Ε(χ0Λ(ί))-Ε(χιΛ(*)). 0)
Ожидаемое значение Ε(χ(ί)) от χ(ί)
£(χ(*))=1ΡΓ(χ(*)=1) + 0 + ΡΓ(χ(<)=0)= (2)
= ΡΓ(χ(0=1), (3)
что дает E(x(t))=Q(t). (4)
Так как χο,ι(0 —число отказов к моменту t, £(χο,ι(0)
—ожидаемое число отказов к этом}' моменту:
E(Xo,i(t))=W(0,t). (5)
Подобно этому
£(Xi.o(0) = V(0,0· (6)
С помощью равенств (1), (4) — (6) получаем выражение (4.69).
Приложение 4.3. Распределения
Распределение F(%) случайного переменного параметра X
определяется как F(%)—вероятность того, что Χ<χ. Если X есть
непрерывный переменный параметр, плотность вероятности
определяется как первая производная от ^(χ):
/ω=^. (ΐ)
Малая величина }(χ)άχ есть вероятность того, что случайный
переменный параметр принимает данное значение в интервале
Ιχ>Χ+^χ]· Для дискретного случайного переменного параметра
вероятность Рг(Х + х/) обозначена через Рг(х,) и определяется по
формуле Pr(xi)=F(xi+i)—F(xi) при условии, что χι<χ2<χ3·...
Различные группы распределений можно описать с помощью
параметров, свойственных этим распределениям. Однако в качестве
альтернативы можно использовать значения определенных
показателей, таких как среднее значение, медиана, мода и т. д.
Среднее значение. Среднее значение, называемое иногда
математическим ожиданием Е(Х), есть средняя величина всех
значении, образующих данное распределение. Математически, его мож-
оо
но определить как Г xf(x)dx, если X есть непрерывный случай-
ныи переменный параметр с функцией плотности распределения
1(х), и как V χ,-Рг (χ,·), если X есть дискретный случайный пере-
менный параметр с функцией вероятности Pr(xi).
227

Медиана. Медиана есть средняя точка данного распределения.
Для непрерывной функции Pdf, f(x) со средней точкой Ζ это озна-
Ζ
чает, что Г Р{х()(1х=5, а для дискретного случайного перемен-
00
ζ
ного параметра ^P(^)=0,5.
Мода. Мода для непрерывной случайной величины есть
значение, связанное с максимумом функции плотности вероятности, а
для дискретного случайного переменного именно это значение
случайного переменного имеет наибольшую вероятность. Примерное
соотношение среднего значения, медианы и моды графически
представлено на рис. 4.38, а—в для трех различных видов
распределений вероятностей.
Дисперсия и стандартное отклонение. В дополнение к мерам
ожидаемой величины, которые были обсуждены выше, часто
оказывается необходимым описать разброс, симметричность и степень
островершинности распределения. Одной из таких мер является
момент, который для момента /С-й степени относительно среднего*
значения определяется как μ*=£[Χ—E(X)]k, где μ* — момент /(-й
степени и Е(Х)— средняя величина, или математическое
ожидание X. Квадратический момент относительно среднего значения и
квадратный корень от этой величины являются мерами рассеяния
и называются дисперсией и стандартным отклонением
соответственно. Следовательно, дисперсия определяется выражением t(X—
—Е(Х)]2. Можно проверить, что она равна Е(Х)—Е(Х2).
Стандартное отклонение есть квадратный корень из
приведенной выше величины, который обозначается через σ.
Экспоненциальное
распределение. Экспоненциальное
распределение часто используют при
анализе данных, зависящих ог
времени, когда частота
появления событий не изменяется.
Формулы для определения /(/), F(t)
и r(t) и соответствующие им
графики для экспоненциального
распределения, а также для других
видов распределений,
обсуждаемых здесь, приведены в табл. 4.11.
Нормальное и
логарифмически-нормальное распределения.
Нормальное распределение (или.
распределение Гаусса) является
наиболее известным двухпара-
метрическим распределением. Все
Рис. 4.38. Соотношения среднего
значения, медианы и моды
Среднее
значение
Мода
Медиана
Среднее значение
Медиана
228

нормальные распределения симметричны. Двумя параметрами этого
распределения являются μ и σ, т. е. его среднее значение и
стандартное отклонение.
Нормальные распределения часто используют для описания
характеристик оборудования, которое имеет возрастающую со
временем частоту отказов. Уравнения для f(t), F(t) и r(t) для
нормального распределения приведены в табл. 4.11. Среднюю
наработку до отказа μ получают простым усреднением и часто
называют первым моментом. Стандартное отклонение σ вычисляется по
следующей формуле:
/-
Ν— 1
где ti — наработка до отказа для щ-то образца; N — суммарное
число образцов в партии; μ — среднее арифметическое значение ti.
Функцию F(t) вычислить трудно, однако в учебниках по
статистике и надежности имеются таблицы соответствующих интегралов.
Имеются также бланки со специальной шкалой, которые можно
использовать для преобразования S-образной кривой функции
F(t) в прямолинейную функцию.
Логарифмически-нормальное распределение подобно
нормальному распределению, за исключением того, что вместо самих
величин принимают нормально распределенными логарифмы значений
случайной переменной. Таким образом, все значения
положительные, распределения сдвинуты вправо, а степень смещения зависит
от* σ. Наличие специальных бланков, соответствующих
логарифмически-нормальному распределению, упрощает проверку
соответствия экспериментальных данных логарифмически-нормальному
распределению.
Логарифмически-нормальные распределения часто встречаются
при обработке данных усталостных испытаний, данных по
обслуживанию и ремонту (по срокам ремонта), а также по отказам и
ремонтам химико-технологического оборудования.
Распределение Вейбулла. Среди всех имеющихся распределений
для вычисления показателей надежности распределение Вейбулла
считается уникальным в данной области. В своей первой
публикации под названием «Распределение для широкой области
применения», проф. Вейбулл оспаривал положение о том, что для
нормального распределения требуется соответствие этому
распределению начальной прочности (металлов). Он утверждал, что необходи-
ма^такая функция, которая охватывала бы множество
распределении (включая нормальное).
ояг?пСПРеДеЛеНИе ВейбУлла является трехпараметрическим (γ, σ, β)
лвум£еДеЛеНИеМ (В отличие от нормального, определяемого только
а умя параметрами). Этими параметрами являются следующие-
зада^°МеНТ вРемени> для которого F(t)=0 и который является
ся ή ил., паРаметР°м; иными словами, отказы начинают
появляться с момента /·
229

σ — ресурсная характеристика, являющаяся масштабным
параметром;
β —параметр формы.
Как видно из табл. 4.11, распределение Вейбулла может
принимать очень много форм. Если γ = 0, τ. е. F(t)=0 в начальный
момент времени, или если временная ось смещена таким образом,
чтобы удовлетворялось данное требование, справедливы
следующие особенности:
1) для β<1 частота отказов уменьшается (как это может иметь
место для начального участка (J-образной кривой);
2) для β = 1 τ(/)=λ получаем экспоненциальную зависимость
показателя надежности;
3) для 1<β<2 (в табл. 4.11 не показана) имеем смещенное
нормальное распределение (низкая частота отказов в начальные
моменты);
4) для β>2 зависимость приближается к нормальному
распределению.
Соответствующим подбором переменных оказывается
возможным вычислить σ путем определения значений /—γ, для которых
F(t) =63%. Методы получения γ, которые часто выбирают наугад,
был'л опубликованы в работе [4].
Распределение Пуассона. Распределение Пуассона есть
приближенное представление функции биноминального распределения
для большого числа образцов. Практически, оно представляет собой
некоторую форму дискретной многозначной функции и служит для
подсчета вероятности определенного числа событий, происходящих
в больших системах. Можно использовать выражение для t(t),
приведенное в табл. 4.11, для того чтобы подсчитать, например,
вероятность определенного числа отказавших единиц продукции при
заданной постоянной частоте отказов λ для момента /.
Для такой ситуации F(t) фактически есть F(n)f т. е.
вероятность наличия η или менее отказов в момент /. В развернутом виде
ν ι ι 2 ι ι я1
где первый член определяет вероятность отсутствия отказов,
второй — вероятность отказа одного элемента и т. д.
Приложение 4. 4. Процедура вычисления при неполных
данных по испытаниям
Когда рассматриваются N изделий, которые отказывают по
очереди при сроках службы tu t2, ..., tn, вероятность отказа при
сроке службы t\ можно приближенно определить как F(ti) = lfN, а при
сроке службы t2 — как F(t2)=2/N и, наконец, для общего случая,
как F(tr)=r/N.
Приведенные выше приближения применимы, когда все изделия,
относящиеся к данному испытанию, продолжают работать до
отказа. Однако во многих случаях некоторые изделия исключают из
230

работы по причинам, не связанным с отказами. Следовательно, это
оказывает влияние на число изделий, подверженных отказам при
различных сроках службы. Вследствие этого в вычисления следует
ввести необходимую коррекцию, учитывающую данное
обстоятельство.
Предположим, что в работу было включено N изделий и отказы
происходят при сроках службы /ь t2, t3 ..., число отказов,
происшедших при данных сроках службы, равно г\, г2) г3, ..., а число
изделий, фактически подверженных отказам при данных сроках
службы, равно Ν\, Ν2, Ν3
В момент t\ ожидаемая доля отказов равна rJNu и этому
значению соответствует первая точка н-а кривой. Теперь можно
подсчитать число изделий, которое отказало бы в момент t2 при
условии, что первоначальное число (N\) изделий продолжало бы
работать до отказа.
Так как η изделий отказало в момент t\, первоначальное их
число уменьшилось до значения N\—г\. Для фактически
отказавших изделий в момент t2 эта доля равна r2/N2, так что число,
которое отказало бы к этому моменту, если бы N\ изделий продолжало
работать от отказа, равно (N\—r\)r2jN2, а доля от числа изделий,
равного N\, которая, как ожидается, откажет к моменту t2, равна
(Nx—ri)r2/(N2Nl). Теперь подобным образом можно
продолжить оценку доли от N\ изделий, которые отказали бы к
моменту /з·
Если начальное число изделий продолжало бы работать до
отказа, число изделий, подверженных отказам в момент t3, равнялось
бы iVi—[γι+ (N\~rx)r2jN2\ а доля от Nu которая, как ожидается,
откажет к моменту /3, есть
{Nl - \rx + (Nx - rx) г2/Щ} γ^Ν,Ν,).
Данный процесс можно продолжить для последующих моментов
времени.
Приложение 4.5. Нанесение упорядоченных точек на графике
Для того чтобы приближенно определить функцию
распределения, на график наносят точки, каждая из которых соответствует
накопленному значению отказов, или вероятности F, и связана с
одним из значений имеющихся данных порядковой статистики,
причем эти значения расположены в возрастающем порядке.
Для η наблюдений из данной выборочной партии пусть Λζ, ί =
= 1, ..., η, Χι< ... <Χη обозначают порядковые статические дан*
ные.
^ Тогда каждому значению Χι соответствуют точки на графике
'ι~ ,которые определяют приближенные вероятности того,
что это значение меньше, чем Xim Верхний символ О- означает,
что данная величина является приближенной.
231

2 5 =
° § О
н υ 2
ас >>
а> ~ и
s s
S g.
«3 С m
О >>£
Η Η н
Ο 2 φ
о л ^
О 18 μ
н схР
S Ξ л
схя 0
φ о 2
н су
Я ^
о са
Φ СХ
а φ
»Я X
cxffl
о <υ
si
CQ
&<
я as я и
<υ <u α II
■» φ о φ ■*»»
■■ aqw
О) о
° ω
ь я
Я я
£ φ
я
о я
О Φ
я
е*
о л
о со
я о
Η СХ
к я
о н
СХ Я
Φ О
CQ 2
о я
Я χ Я
φ й ω
2 я S
Φ О
ς я s
л:о
£ φ <
31 5 «»
Я 2 сз
g з ё
55 =
со я
Я э* к
сх2 Ρ
с * В
са о
£ со a
^ сз к
S « о
СХ
с
о
с
о *
Τ* °
с °
о ς φ
3
s
a
о
ex я
с
зЯ
-а
^ ω
_ о
о я
φ ca
ca
' ω ^
1 cxs
ο
я и о
сх£ «ς
^ ca я
PQ т я -
S Я «
о я »/-
с сх-
S =о
S гл Я
Φ И О
CD >) О
oSff
5 о я"?
я 2
. ►. я II
f-, 2 ς ,
О О cj Ь
о с 2
роятно
эгается
(0, /)
вый в
« φ φ О
PQ са и- я
ть того,
ПрОИСХОД!
о
к φ
° 2
φ Я
СО §
ени
ле врем
са
я
О
с
я
φ
2
φ
φ
s£
СХ
ω —
Л Я Η
я я
о d ω
н φ 2
sr φ
о

ίο
СГ)
о к
Μ
Η
г я ы
: <и
; 2 s
! о Я
: 2 я
φ о
СХ о, Я
CQ я с
« о
3 с
я о
Η ο Φ
Я S
Ρ сх ^
и с я
φ ^
S ■** 9S
2 κ ο
£ о χ
ас ω _
κ ca λ
Ο bvO
схя
Φ Φ Я
CQ 2 о
ca я
я <и
2
н о
я 2
φ
2 ω
ς
CD
О
а*
о
u
и
Η
о
о
я
н
Os
о
сз
со
о
Я
Я
τ
состоя
гг
о
схн
φ
CQ
я
«=:
3
ю
я
о
о
н
я~
я
ю
о
ς
о
о
II
s<»
ь
я
φ
t»2
я
СХ
»=С С
о
?
ю
л
ς
о
с
я"
я
•Θ-
я
я"
я
232
φ
>—' φ
4n et
С4 Μ
ч— со
Ч н
су!

с,
«=tl
о
сх
X
о
S
си
Отказ
έ ό и
емент о
емени в
он был
ность того, что эл
ован в единицу вр
при условии, что
в момент t=0
Н CXso ^
К Я 'S
о н н Я
сх ас ас ш
Ф О Φ О
PQSSx
Ξ
К CQ
О
безусловная
ость ремо
Τ =
CQ
1 Я
^ я
*—' φ
го элемент отка-
>емени в момент /
ι работает в мо-
JSo
ность того,
в единицу
ловии, что
Η н α -к»
К φ >>
с л н
СХ CQ Я X
Ju 2 схф
CQ со Я 2
ΐ
CQ
я со
со со
я м
я н
о о
4
£? Л
СО с_
νο о
Ι =
1 §
^-^ я
1 а^
я ώ о
Л2
я £ н
^ я
S - ф
О = S
►г Я О
ал от v(t) в дан!
тервале при услов
ыл как новый в м
СХ Я хо
u я
g н
= о S
S я S
ό
(^/2) —ожидаемое чи
о ремонтов
^ ч
емени
рвале вр
t)dt
φ w
я Э
я ~,.
отказов в
о t2 равно
1=3 <г
►5 н
^ о
-01
1
φ
о
S
φ
СО
«4
)ЖИ
w CQ
1 3
CO
•*Г О
&§
о, что элемент с
иницу времени в
зии, что он был
t=0 и находил*
оянии в момент
тность топ
рован в ед
t при уело!
ι в момент
авшем сост
35 Я 9= го
о н ь Я со
сх я я м ttj
Φ О Φ о Η
PQ S S я о
я
инте
условная
ь ремонтов
(0-
IBHOCT
3.5
ожи-
емени
и бы-
оста-
t
рые, как
иницу вр
и, что он
τ t = 0 и
момента
О ci Я Я О
элементов, κοτι
откажут в е,
:нт / при услов
новые в моме
исправными д
)ЛЯ
ется,
моме
как
ЛИСЬ
J^r СО Я со
Rc(a r α
я
нте
я
α
я о
со со
Я Λ
CQ ^
П Η
усл<
ТЬ О
1 о
^ я
■*- CQ
55
О
мени от
сть вре
ремонта
шительно
j первого
3 е*
СХ 2
JT" СО
Π *
Λ
[родолжител
емонтов
я сх
1 л
& о
С я
рвого
та до пе
я
о
S
φ
Промежуток от ρ
отказа
н
о
о
d
СО
X
н
о
VO
СО
сх
со
я
I
1
О со
ель-
одолжит
чение πρι
аемое зна
ремонта
«=* я
я н
5 о
О я
ς
о
о со
схн
- средняя π
ность ремон
ПР -
:итель:
и *
о
Я
наработк
dt
φ Ξ^
ΐ -<«»>
емое значе
оо
ида
*
Q
СО
сх
СО
к
к со
к 2
Φ Г
сх £
1 2
1 «=[
— о
II
о
=ί
г
и
аза
н
φ д
°« я
Г" ί-ι
la
я υ
*g
О 0s
емая про
[ежду дву
онтами
Я 2 2
ct Φ
я я сх
^ я ^
Λ φ Я
О 2 S
время
— среднее
ремонтами
BMP
ежду
и s
жительность вре-
последовательны-
о к
емая прод
[ежду двум
азами
со 2 *
^ ~ £
я я с
^ φ Я
О 2 S
ремя
са
φ S
я S
et со
φ СО
О. СО
1 ©
1
свмо
между
233

Задачи
4.1. а. Имеются две неразличимые на вид урны. Урна I содержит 30 красных
шаров и 70 зеленых, а урна II — 50 красных и 50 зеленых. Выбирают наугад
одну урну и достают из нее шар. Какова вероятность того, что этот шар
красный?
б. Предположим, что вынутый шар красный, определить вероятность того,
что он находился в урне I? (по Капуру и Ламберсону).
4.2. Воспользовавшись данными по смертности, приведенными в табл. 4.1,
вычислить показатель надежности R(t), плотность отказов f(t) и частоту
отказов r(t) для человека:
а) в возрасте 60 лет;
б) прожившего 15 лет и 1 день после его 60-летия.
4.3. Вычислить величину R(t), F(t), r(t), A(t), Q(t), w(t), W{0, t) и l(t)
для 10 элементов, приведенных на рис. 4.8, для ί=3 и / = 8 ч.
4.4. Доказать, что СНДО = (' R(t)dt, приняв lim tR(t) =0.
4.5. Используя значения, показанные на рис. 4.8, вычислить G(t), g(t), m(t)
и СНДО.
4.6. Использовать данные, приведенные на рис. 4.8, для того чтобы получить
μ(0 и v(t) при / = 3 и V(0, t).
4.7. Получить f(i), r{t), g(t) и m(t), приняв
/чо = 1-уе"/+уе_8/; tf(o=i-e-6'.
4.8. Принять, что
/ (t) = ·—■ (e~' + Зе"3'); 8 (0 = 1.δβ"1·5'.
а. Показать, что w(t) и v(t), определяемые приведенными ниже формулами,
удовлетворяют системе уравнений (4.64):
w (Ζ) = -1 (3 + 5е-40; ϋ (О = γ (1 - е"40.
б. Получить выражения для №(0, t)\ K(0, t)\ Q(t); k(t) и μ(ί).
в. Подтвердить выражение (4.81).
4.9. Прибор имеет постоянную частоту отказов: λ=10-5 отказов в час.
а. Какова его надежность за период работы в 1000 ч?
б. Если имеется 1000 таких приборов, сколько из них откажет в течение
1000 ч?
в. Какова надежность для рабочего времени, равного СНДО?
г. Какова надежность сохранения работоспособности в течение
дополнительных 1000 ч, если прибор не отказал за первые 1000 ч работы?
4.10. Принять, что
/(О = γ (*"' + 3е-30; g(t) = 1,5е-1'5',
и получить выражение для w{t) и v(t), используя обратное преобразование
Лапласа:
L-i Г ! 1 = —!_(е-«< - е-");
L (s -Ь ά) (s -4- 6) J 6-α
L-i Γ ί±1 1 = _L [(Ζ _ α) β-βί _ (ζ _ *) e-wl.
234

4.11. Дан элемент, для которого частота отказов равна 0,001 ч-1, а средняя
продолжительность ремонта — 20 ч. Вычислить параметры, приведенные в табл.
4.10, при /=10 ч и /=1000 ч.
Наработка
до отказа, ч
0—2
2—4
4—6
6—8
8—10
10—12
Число отказов
222
45
32
27
21
15
Наработка
до отка*а, ч
12—14
14-16
16—18
18—20
20—22
22—24
1
Число отказов
17
7
14
9
8
3
4.12. а. Используя данные по отказам 1000 самолетов типа В-52,
приведенные ниже, получить R(t) (Шуман, с. 68).
б. Установить, можно ли приведенные выше данные аппроксимировать с
помощью экспоненциального распределения, построить график In [\/R(t)] no
времени /.
4.13. а. Определить распределение Вейбулла для данных задачи 4.12, приняв
γ = 0.
б. Оценить число отказов к моментам / = 0,5 и / = 30, предположив, что
самолеты неремонтопригодны.
4.14. Термопары отказывают 0,35 раза в час. Определить частоту отказов λ,
приняв, что: а) μ = 0 и б) μ=1 день-1 соответственно.
СПИСОК ЛИТЕРАТУРЫ
1. Bompas-Smith J. H. Mechanical Survival: The Use of Reliability Data,
McGraw-Hill Book Company, New York, 1971
2. Hahn G. J., Shapiro S. S. Statistical Models in Engineering, John Wiley
& Sons, Inc., New York, 1967.
3. Locks M. O. Reliability, Maintainability, and Availability Assessment,
Hayden Book Co., Inc., New York, 1973.

Глава 5
ДОВЕРИТЕЛЬНЫЕ ГРАНИЦЫ
ДЛЯ ПАРАМЕТРОВ НАДЕЖНОСТИ
5.1. ВВЕДЕНИЕ
Если статистическое распределение характеристик отказов или
ремонтов для данной совокупности изделий известно, можно
вычислить вероятность получения образца с определенными
характеристиками. Однако, как упоминалось в предыдущей главе, измерение
характеристик каждого изделия из данной совокупности редко
возможно, потому что такое определение потребовало бы слишком
много времени и средств, особенно если при измерениях образец
разрушается. Таким образом, необходимы методы оценок этих
характеристик для совокупности изделий по данным для
определенного набора образцов.
Бывает трудно распространить результаты на всю совокупность
изделий, когда измеряются характеристики только одного образца,
потому что этот образец может быть вообще не из данной
совокупности. По мере того как количество образцов возрастает, значения,
относящиеся к этим образцам, и соответствующие значения для
всей совокупности согласуются лучше.
-Хотя нельзя быть уверенным, что образец является
представителем данной партии, обычно оказывается возможным связать
уровень гарантии с характеристиками образцов. Этот уровень
гарантии называется доверительностью и может быть определен как
степень уверенности, которая связана с выводами,
основывающимися на результатах выборки.
Чтобы проиллюстрировать сказанное выше, предположим, что
набор из десяти одинаковых элементов испытывается на ресурс в
течение заданной продолжительности времени. В конце испытаний
наблюдается пять сохранивших работоспособность элементов.
Основываясь на экспериментальных данных, можно ожидать, что
средняя величина показателя надежности равна 0,5. Однако это
утверждение далеко от полной определенности. Неудивительно,
если истинное значение показателя надежности равно 0,4, однако
трудно предположить, что этот показатель равен 0,01 или 0,99.
Можно связать границы доверительности с вероятностными
параметрами, подобными показателю надежности. Так, можно на
(1—а) процентов быть уверенным в том, что истинное значение
показателя надежности есть по меньшей (или по большей) мере
такая-то величина. Таким образом, α (уровень значимости) дол-
236

Рис. 5.1. Иллюстрация доверительного
интервала:
с — односторонние верхние доверительные гра
ницы: б — двусторонние доверительные гра
ницы
жен находиться в пределах от
нуля до единицы, а (1—а) есть
предел, который относится к
ограниченному с одной стороны
показателю надежности, т. е. речь
идет об ограниченной с одной
стороны, или односторонней,
доверительной границе. Диапазон
называется обычно доверительным
интервалом.
Односторонняя и двусторонняя доверительные границы
проиллюстрированы на рис. 5.1. Необходимо отметить, что при
ограничении с одной стороны доверительный диапазон равен (1—а), а при
ограничении с двух сторон он равен (1—2а). Заметим, что для 19
.из 20 случаев доверительные границы включают истинное значение
показателя надежности, в то время как для 18 из 20 случаев
значения содержатся в двустороннем интервале. Необходимо также
заметить, что доверительный интервал изменяется в зависимости
ют результатов ресурсных испытаний. Например, если после
испытания не остается ни одного работоспособного образца,
доверительный интервал будет расположен около нуля, а если
сохраняются лишь работоспособные образцы, он будет находиться вблизи
единицы.
5.2. КЛАССИЧЕСКОЕ ОПРЕДЕЛЕНИЕ ГРАНИЦ
ДОВЕРИТЕЛЬНОСТИ
5.2.1. Общие принципы
"Предположим, что N образцов Х\, Х2, ..., Хы взяты из
совокупности, для которой статистические характеристики неизвестны
(например, такие, как среднее значение и стандартное отклонение).
Пусть характеристики совокупности изделий представлены
неизвестным постоянным параметром Θ.
Измеренная характеристика S=g(Xi ... XN) для образцов
может значительно отличаться от действительной характеристики Θ.
Однако характеристика S имеет распределения вероятности t(s;
Φ) или плотность f(s; θ), которые зависят от Θ; таким образом,
можно что-то сказать о величине Θ, основываясь на этой
зависимости. Распределение вероятности F(s; θ) есть выборочное
распределение для характеристики 5.
В классическом подходе используется выборочное
распределение, для того чтобы определить две величины $ι(θ) и 52(θ) как
функции от Θ, например, в виде
ι>ο
lilt
1
i с
о
?1?
г 9 О
О?о[о?о?|о
|| 0>011111111111111111111
j| 1,0
S)
237

f(S,B)
st (θ)
Рис. 5.2. Численные значения s,(0)
и 52(θ) при заданной величине О
s2(ff) S
[ f(s; <j)ds=a;
f /(s;e)i/s=.a.
(5Л)
(5.2)
На рис. 5.2 проиллюстрирован данный способ нахождения si(9)
и s2(6) для определенного значения Θ. Следует отметить, что
формулы (5.1) и 5.2) эквивалентны соответственно следующим
выражениям:
Pr(5<s2(6))=l-a; (5.3)
Рг(^(в <S)=l-a. (5.4)
Так как постоянная α обычно меньше 0,5, то
Μ9)<*2(θ).
(5.5)
Выражения (5.3) и (5.4) приводят к следующему соотношению:
Рг(*(0) < 5 <ί2(θ))= 1 -2a. (5.6)
Хотя формулы (5.3), (5.4) и (5.6) в явной форме не включают
неравенства для Θ, они могут быть преобразованы, для того чтобы
получить доверительные границы для Θ.
Пример 1. В табл. 5.1 содержатся данные для 20 образцов Х\ ... Х2о из
совокупности изделий, имеющих нормальное распределение, с неизвестным
средним значением θ и известным стандартным^ отклонением σ=1,5. Пусть S =
= g(X\ ... Xn) есть среднее арифметическое X для N = 20 образцов Χι Χ2&
из данной совокупности:
х
S=X^±- Υ]*/==0,6473.
i=\
5,1. Данные для 20 образцов от совокупности, имеющей нормальное
распределение, с неизвестным средним значением θ и известным
стандартным отклонением σ=1,5
(5.7)
Χι
χ,
χ3
Х4
Xs
0,090
—0,105
2,280
—0,051
0,182
Xs
Χι
Xs
χ*
^10
— 1,610
1,100
— 1,200
1,130
0,405
*ll
Xi2
^13
X и
Xlb
0,049
0,588
—0,693
5,310
1,280
^16
Χ,7
^18
^19
^20
1,790
0,405
0,916
— 1,200
2,280
Определить «ι(θ) и s2(6), соответствующие 95%-ной односторонней границе
доверительности или 90%-ному доверительному интервалу при a=0,05.
Решение. Средняя величина для образцов X есть случайная переменная с
нормальным распределением, средним значением θ и стандартным отклонением
clYN = 1,5//20 =0,3354. В таблицах для нормального распределения
указывается на то, что среднее значение для образцов не превышает величины
(θ4-2,58σ/|^ΛΓ) с 95% -ной достоверностью:
Рг(* < θ+0,8651) =0,95.
(5.8)
238

На 95% достоверно, что А" не меньше, чем (0 — 2,58з/| N):
рг (6 — 0,8651 < ΙΫ).= 0,95.
Таким образом,
$ι(θ)=θ — 0,8651;
s2(6)^6 4-0,8651.
(5.9)
(5.10)
(5.11)
5 1. Данные для 20 образцов от совокупности, имеющей нормальное
распределение, с неизвестным средним значением θ и известным стандартным
отклонением σ= 1,5
Предположим, что Si(6) и s2(6) есть монотонно возрастающие
функции от ν, показанные на рис. 5.3 (подобные представления
возможны для случаев монотонно убывающих функций и для более
общих случаев). Рассмотрим теперь преобразование формул (5.3),
(5.4) и (5.6) в вид, удобный для выражения границ
доверительности. Формула (5.3) показывает, что случайный переменный
параметр S=g(Xi ... Хм) меньше, чем s2(6) с вероятностью (1—а),
когда повторяется достаточно большое число экспериментов,
причем каждый эксперимент, возможно, приводит к различным
сочетаниям из N значений Х\ ... Хм- Теперь введем новый переменный
параметр θ2, связанный с 5 таким образом, что
s2(Q2)=S> (5.12)
где 5 — наблюдаемое значение характеристики, a s2(6)-
ная функция от Θ. Или, эквивалентно,
неизвест-
Θ,
— S2
(S).
(5.13)
Переменный параметр θ2 проиллюстрирован на рис. 5.3.
Неравенство S<s2(6) соответствует тому, что переменный параметр Θ2,
таким образом, попадает по левую сторону от по-
е. S<s2(Q) ^ ©2<θ. Следовательно, из формулы
определенный
стоянной Θ, т.
(5.3) имеем
Рг(Я2
<θ) = 1-α. (5.14)
Это выражение показывает, что случайный переменный параметр
θ2, определяемый величиной S и кривой s2(6), есть нижнее
значение (1—а) границы
доверительности; переменный параметр 02
становится нижним пределом
неизвестной постоянной θ с
вероятностью (1—а).
Подобно этому определяем
Другой случайный переменный
параметр θι при помощи
формулы
Рис. 5.3. Иллюстрация случайных
переменных параметров Θΐ2 и θ|,
определяемых с помощью постоянной 5 и кривых
«2 (Θ) И 5ΐ(θ)
23ί>

5ι(θ!) = 5, (5.15)
где 5 — наблюдаемая характеристика, a si(6)—известная
функция от Θ; или, в эквивалентном виде,
ei = sTl{S). (5.16)
Определение случайного переменного параметра Θι также
проиллюстрировано на рис. 5.3. Выражение (5.4) дает
ρΓ(θ<θ1)=1-α. (5.17)
Таким образом, переменный параметр θι дает верхнюю
одностороннюю доверительную границу для постоянной Θ.
Объединяя выражения (5.14) и (5.17), имеем
Рг(®2 < θ < θι)= Ι -2α. (5.18)
Случайный интервал (02, Θι) становится 100 (1— 2а)%-ным
доверительным интервалом. Другими словами, этот интервал
включает параметр θ с вероятностью, равной (1—2а).
Пример 2. Доверительные границы для среднего значения совокупности с
нормальным распределением. Определить 95%-ные односторонний и двусторонний
интервалы для среднего значения θ совокупности из примера 1.
Решение. Из выражений (5.10) и (5.11) и определения параметров Θι и Θ2
[см. формулы (5.12) и (5.15)] имеем
6i=Jc + 0,8651 --0,6473+0,8651 =1,512; (5.19)
θ2 = Α-— 0,8651 =0,6473—0,8651 =—0,218. (5.20)
Переменные параметры θι и θ^ являются 95%-ными верхней и нижней
границами, соответственно. Двусторонний доверительный интервал есть [θ2, θι] =
= [—0,218; 1,512].
5.2.2. Виды ресурсных испытаний
Предположим, что N идентичных элементов поставлены на ре-
сурные испытания. Возможны два вида таких испытаний, которые
называются цензурированиями типа I и II [1].
Цензурирования типа I. Ресурсные испытания заканчиваются
в момент времени Г, до того, как все η элементов отказывают.
Цензурирования типа II. Ресурсные испытания заканчиваются
в момент отказа r-го элемента (r<jV).
При цензурировании типа I момент Τ фиксирован, а число
отказов г и все наработки до отказа /ι</2·..<^<7' являются
случайными переменными параметрами. При цензурировании типа II
число отказов г фиксировано, а г наработок до отказа и T = tr есть
случайные переменные параметры.
5.2.3. Нижняя и верхняя границы доверительности
для средней наработки до отказа
Примем тип II цензурирования для N элементов, каждый из
которых подчиняется экспоненциальному закону распределения отка-
240

*=
зов. Оценка θ истинного значения θ средней наработки до отказа
есть
(лг-г)*,+2 <i
θ= — (=5, наблюдаемая характеристика). (5.21)
Можно показать, что 2rS/Q подчиняется хи-квадратному
распределению с 2г степенями свободы [1] (см. Прил. 5.1). Пусть %9(2г}
и Х?_а(2г) соответственно равны 100а и 100(1—а) % для хи-
квадратного распределения. Их значения можно получить с
помощью стандартных таблиц для этого распределения [1, 2, 3]. Из.
определения процентного соотношения следует
Рг^(2г)<^-)=а; Pr(yj_a(2r) <2-^-) = 1-а,
что эквивалентно
Рг(5<Ха2.(2г)1-)=1-а; (5.22)
Pr (xU (2r) ±- < $)= 1 - а. (5.23)
Последние два выражения относятся соответственно к
формулам (5.3) и (5.4), откуда видно, что
Μβ)=χ*(2Γ) £-; Sl(e)=xU(2r)j- . (5.24)
Из формул (5.12) и (5.15) видно, что параметры θι и θ2
получаются из выражений
7j(2r)i2. = 5; χ?_«(2Γ)-^· = 5, что приводит к
θ2= fS ; θ1= 22rS . (5.25)
llVr) * χ?_(2Γ) 1
Величины θι и Эг соответствуют 100(1—α) %-ному значению
верхней и нижней границы доверительности, а диапазон [Эг, θι]
становится 100(1—а)%-ным доверительным интервалом.
Выше был использован весьма трудоемкий способ получения
доверительных границ для того, чтобы показать классический
подход. Другой путь получения границ доверительности заключается
в простом преобразовании выражения (5.22) в следующий вид:
Рг ί 22Гп5 <uWl-a; Pr(W 22rS )=l-a. (5.26)
V llVr) ^ ) \ - xU(2r)/ V
Пример 3. Граница доверительности для СНДО. Примем, что 30 одинаковых
элементов подвергаются цензурированию по типу II, при этом г = 20. Двадцатый
Эта величина называется максимально близкой оценкой для СНДО.
241

•отказ соответствует наработке, равной 39,8 мин, т. е. Г = 39,89, а остальные
19 значений наработок до отказа, вместе с данными по наработкам до отказа,
которые произошли бы, если бы испытания были продолжены после 20-го отказа,
леречислены в табл. 5.2. Определить 95%-ные двусторонние доверительные
границы для СНДО.
Решение: N = 30; г = 20; Г = 39,89; α = 0,025.
(30 — 20)39,89 + 291,09
= 34,50.
1 = 5:
20
Из таблицы для хи-квадратного распределения [1] имеем
ll (2/·) = Хо.025 (40) = 59,3419; χ*_σ (2г) = χ20 <J75 (40) = 24,4331.
С помощью формул (5 25) получаем
п п 34>50
θ2=2\20
59,Зй/
= 23,26; θ! =2X20
34,50
24,4331
: 56,48.
5.2. Данные по НДО для примера 3
НДО (до 20-го отказа)
и
t2
h
и
h
и
h
h
h
tio
0,26
1,49
3,65
4,25
5,43
6,97
8,09
9,47
10,18
10,29
tn
tl2
*13
*14
1 tl5
1 /ie
tl7
tl8
tl9
ho
11,04
12,07
13,61
15,07
19,28
24,04
26,16
31,15
38,70
39,89
Η ДО (после 20-го отказа)
hi
^22
^23
^24
t25
he
tii
^28
^29
^30
(40,84)
(47,02)
(54,75)
(61,08)
(64,36)
(64,45)
(65,92)
(70,82)
(97,32)
(164,26)
Тогда 23,26^0^56,48, τ е. можно на 95% быть уверенным в том, что средняя
наработка до отказа θ лежит в интервале 23,26 -=· 56,48. Фактически, значения
НДО в табл. 5 2 были получены с помощью экспоненциального распределения
при СНДО = 26,64. Доверительный интервал включает это истинное значение
СНДО
Показатель надежности элементов с экспоненциальным распределением
отказов, как было показано, определяем по формуле
Л(0=-е-х' = е-'/в. (5.27)
Доверительный интервал можно получить, заменив θγ и θ2 на Θ; следовательно,
-//в.
Таким образом, для данных из примера
(5.28)
Зе-//23,26</?(0<е-
■//56.48
Подобно этому доверительный интервал для частоты отказов λ определяется
выражением
^ <*<-£". (5-29)
242

5.2.4. Доверительные границы для биномиального распределения
Примем, что .V идентичных элементов подвергаются цензуро-
ванию по типу I и имеется г отказов в течение периода
испытаний Т. Желательно получить доверительные границы для
показателя надежности элементов R(T) в момент времени Т. Начнем с
замены постоянной 5 на дискретный случайный параметр г, причем
S = r. (5.30)
Выборочное распределение для 5 соответствует
биномиальному распределению
которое включает R = R(T), связанное с неизвестным параметром θ
зависимостями из разд. 5.2.1.
Выражение (5.3) представим в виде
Рг (S< s2 (/?)) = У ^! R»-*[l-RY>l-a. (5.32)
^^ (N — s)\s\
5 = 0
Здесь необходимо использовать неравенство ^1—а, так как S
принимает дискретные значения. Параметр s2(R) определяем как
наименьшую величину, удовлетворяющую выражению (5.32).
Схематическое представление графика s2(R) показано на
рис. 5.4. Следует отметить, что данный график есть монотонно
убывающая ступенчатая функция от R. Можно определить R2 для
любого наблюдаемого значения характеристик 5, как показано ] на
рис. 5.4. Данное значение R2 соответствует параметру Эг на рис. 5.3,
на котором функция 52(θ) монотонно возрастает. Событие S^s2(R)
происходит тогда и только тогда, когда R2 .попадает по правую
сторону от R:
S <52(/?) —/?</?2- (5·33>
Таким образом,
Рг(/?<#2)>1-а, (5.34)
a R2 дает значение 1—а, т. е. верхнюю доверительную границу для
показателя надежности R.
Пара /?2, S—1 представлена точкой А на рис. 5.4. Заметим, что
для точки А неравенство (5.32) укрощается и соответствует
равенству для S=#0, так как величина s2(R) уменьшается на единицу.
Таким образом, величина R2 для любого заданного значения 5
может быть получена путем решения следующего уравнения для R:
N
5 = 5
За исключением того, что R2 считается равным единице, когда
наблюдаемое значение S=0.
243

Ступенчатая
Функция StfR)
A=(R?,S-1)
Рис. 5.4. Определение параметра R2 по величине 5 и ступенчатой функции s2(R)
R2=l при 5=0.
(5.36)
Приведенное выше уравнение может быть решено итерационным
методом для определения /?, хотя для этого также составлены
таблицы [4].
Подобно уравнению (5.35) нижнюю доверительную границу Ri
для R определяем решением следующего уравнения:
5
2
т
,(ЛГ —β)!ί!
R»-*[l-RY=a при 5 φ Ν (/?,=0 при S=N).
(5.37)
Пример 4. Доверительные границы для показателя надежности.
Предположим, что результатом испытаний может быть только или успех или отказ и что
во время ресурсных испытаний N элементов в течение заданного времени Τ не
возникло ни одного отказа. Оценить нижнюю доверительную границу для
показателя надежности элемента за время Т. (Эту ситуацию можно, например, ис-
лользовать при подсчете вероятности возникновения тяжелой катастрофы,
связанной с ядерной энергией, при условии, что такого никогда не происходило.
Решение. Так как в уравнении (5.37) 5 = 0, то
Таким образом, нижняя доверительная граница есть R\=a' . Если а=0,05
и N=1000, то ί?ι=Ό,997, τ. е. можно быть на 95% уверенным, что показатель
надежности не меньше чем 0,997.
Пример 5. Доверительные границы для показателя надежности. Примем, что
в примере 4 г=1, N=20 и а = 0,1. Определить верхнюю и нижнюю
доверительные границы.
Решение. Так как 5=1, из уравнений (5.35) и (5.37) получаем
R? = 1 —a; #f = 0,9;
R?+NR?-l[\.
Rx]=a; R*)+2R\»[\-Ri\ = 09l,
откуда #2=Ό,9°'05 = 0,995; Rx = 0,819 (из работы [4]).
Таким образом, можно быть на 80% уверенным, что показатель надежности
лежит между значениями 0,819 и 0,995.
244

5.3. БЕЙЕСОВО РАСПРЕДЕЛЕНИЕ И ГРАНИЦЫ
ДОВЕРИТЕЛЬНОСТИ
В предыдущих разделах применялся классический статистический
подход к обработке данных испытаний, для того чтобы продемон"
стрировать надежность системы или отдельного элемента с
вычисленной степенью достоверности. Однако в различных ситуациях
при разработке конструктор использует данные испытаний в
сочетании с предыдущим опытом, для того чтобы выполнить заданные
требования по надежности или превзойти их. Так как при
применении классических статистических методов для определения
параметров, характеризующих надежность, не используется предыдущий
опыт, желательно иметь другой подход. Примером того, где можег
потребоваться этот новый -подход, является случай, когда
конструктор перепроектирует какой-то элемент, подобный разработанному
ранее, но с улучшенными показателями надежности. Если здесь
использовать классический подход для определения частоты отказов
(с определенной степенью уверенности), которая может получиться
большей, чем частота отказов для предыдущего варианта этого
элемента, в этом случае конструктор не получает сколько-нибудь
полезной информации. Действительно, он просто может отбросить
как исходные предпосылки, так и их результаты. Таким образом,
необходим метод, в котором учитывается предыдущий опыт
конструктора.
Один из таких методов основывается на бейесовой статистике,
в которой объединены априорный опыт со строго определенными
апостериорными данными, для того чтобы получить оценки,
подобные .полученным при использовании классического подхода,
способного просто объединить оба этих метода.
5.3.1. Основной принцип
Теорему Бейеса в модифицированной и удобной форме можно
сформулировать так:
апостериорная вероятность ос априорная вероятность X степень
правдоподобия, где символ ос означает «пропорционален». Это
соотношение в общем виде можно сформулировать следующим
образом.
Если: а) А\ есть множество взаимно исключающих и
исчерпывающих событий, где i=\...n;
б) Рг(Лг·) есть априорная вероятность события А\ перед
началом испытаний;
в) В есть наблюдаемое значение;
Д) Рг(В\А{) есть вероятность наблюдения, при условии, что Αχ
истинно, то
Рг {Αί | В) - *M,)Pr(lM^) f (5.38)
ι
где Pr(Ai\B) — апостериорная вероятность, означающая вероят-
245

ность события Л/, когда В известно. Отметим, что знаменатель в
формуле (5.38) есть просто нормирующая постоянная для Рг(Л/|В),
обеспечивающая равенство ΣΡγ(Α1\В) =1.
Преобразование от Рг(Лг) к Рг(Аг\В) называется
преобразованием Бейеса. При этом используется тот факт, что подобное по
форме значение Рг(Β\Αή вычисляется проще, чем само значение
Рг(Ai\B). Если принимать вероятность как степень достоверности,
то априорная достоверность меняется в результате влияния
опытных данных на апостериорную степень достоверности.
Для того чтобы проиллюстрировать применение теоремы
Бейеса, рассмотрим гипотетический пример. Предположим, чтг; нас
интересует уровень надежности новой неиспытанной системы.
Основываясь на предыдущем опыте, в 80%-ной вероятностью можно
полагать, что показатель надежности системы /?ι = 0,95, а с 20%-ной
вероятностью, что #2 = 0,75. Теперь предположим, что одна
система была испытана и функционировала успешно. Хотелось бы
знать, какова вероятность того, что уровень надежности есть R{.
Если обозначить через Si событие, когда испытание системы
завершается успехом, то для первого успешного результата S, нужно
определить Pr(/?i|Si) используя формулу Бейеса
1 1} Рг (^) Рг (St I /?0 + Рг (/^2) Рг (5t ί /?2)
Подставляя численные значения, находим, что
Рг(А>, I 5,)- (jmVW = 35.
v ' (0,80) (0,95)+(0,20) (0,75)
Предположим, что была испытана вторая система и что это
испытание также завершилось успехом. Теперь нужно определить
pwn ,s 5ч Pr(/?i)Pr(Slt S2\R{)
Vl1 b 2> Pr(Rl)Pr(Sl, S2|/?I)+Pr(^2)Pr(5„ S2\R2)'
что дает Pr^, | Su 52)= 'M0(M5xM5) =0,865.
Здесь вероятность события /?ι была уточнена после того, как
получили новую информацию и применили теорему Бейеса.
5.3.2. Теорема Бейеса для непрерывных переменных
Пусть χ — непрерывный численный параметр, подлежащий
оценке у== {t)\ ...yN)N наблюдаемых значений х\ р(х) — априорная
плотность вероятности параметра х\ р(у\х)—вероятность или плотность
вероятности наблюдаемого значения при условии, что χ есть
истинное значение; р(х\у) — апостериорная плотность вероятности
параметра х.
Из определения условной вероятности следует
р(х | у) = JlSlUl = , Ρ(*'-"> . (5.39)
Ρ (у) I [числитель] dx
246

Числитель может быть записан в· следующем виде: р(х, у) =
= р(х)р(у\х), что даст теорему Бейеса для непрерывного
численного параметра х:
р(х\у)= /><*>'Су l*> m (5.40)
I [числитель] dx
Пример 6. Равномерное априорное распределение для показателя надежности.
Предположим, что N элементов подвергаются цензурированию по типу I, где
г(^М) элементов отказывают до заданного момента Т. Определяем tji с
помощью выражения
(1, если элемент / отказал;
У · — л
1 ^0, если элемент / остался исправным.
Очевидно, что Хуг = г. Определить апостериорную плотность p(R\y) для
показателя надежности элементов R в момент Т, приняв равномерное априорное
распределение в интервале {0, 1}.
Решение:
|1«.0<*<1;
[0 в других случаях.
P(y\R) = R!V-r[\-R}r. (5·41)
Г лм
Отметим, что двучленный коэффициент 1 не является обязательным в приве-
^овательнос
угими слое
1, 1).
P(R\y) = \ \ [числитель] dR ' (5·42)
(0—в других случаях.
Это апостериорная плотность есть бета-распределение вероятности (см. прил. 5.1).
Отметим, что знаменатель в формуле (5.42) есть постоянная величина при
известном значении у.
Пример 7. Предположим, что три элемента подвергаются десятичасовым
испытаниям и что два элемента (1 и 3) отказывают. Вычислить апостериорную
плотность вероятности для показателя надежности элементов при Г=10 ч,
приняв равномерное априорное распределение.
Решение. Так как элементы 1 и 3 отказали.
у = (1, 0, 1); N=3; г =2.
При помощи выражения (5.42) получаем
ί *3-2Π-/?]2 RV-RV _
η / η , ν = ДЛЯ U < Η < Ι
P(R Ι #) = { const const
Ιθ — в других случаях.
Нормирующую постоянную в .приведенном выражения можно
найти по формуле
ι 1
RU — R]2 ,r> 1 1 . или const
денных выше формулах, так как последовательность у\ ... у ν вместе с
суммарным числом отказов г известна. Другими словами, наблюдаемое значение
(1, 0, 1) отличается от (1, 1,0) или (0, 1, 1).
ί
-л * * * ruin wvsuol —
dR~ 77Г = 1 12
const const 12
0
247

{ йо/ЦЦщЦ ДоЬеригг.51ьный Ββ[ чяч
тельная
интеодап
dodepi тсгьчоя
Рис. 5.5. Априорная (/) и
апостериорная (2) плотности
Рис. 5.6. Бейесовы доверительные
границы
Таким образом, P(R\y) = f Л'
10 — ]
f\2R[\ — R]2 ддЯ 0 </? < 1;
■ в других случаях .
Графики апостериорной и априорной плотности построены на
рис. 5.5. Видно, что апостериорная -плотность приближается к
нулевому значению показателя надежности, так как два из трех
элементов отказали.
5.3.3. Доверительные границы
В принципе бейесову одностороннюю доверительную границу
для параметра х, основывающуюся на строго определенных
данных */, можно определить как
L(y)
j P(x\ y)dx=a; (5.43)
J P(x\ y)dx=a.
и {у)
(5.44)
Значение параметров Ь(у) и U (у) проиллюстрированы на
рис. 5.6, и когда имеются строго определенные данные у, они
представляют собой постоянные величины. Очевидно, L(y) есть бейе-
сова (1—а) нижняя доверительная граница для х, a U(y) есть
бейсова (1—а) верхняя доверительная граница для х.
Интересным приложением бейесова подхода является его
применение к анализу испытаний с результатами, имеющими
биномиальное распределение, когда определенное число элементов
подвергается испытаниям и результатом является или успех или отказ
(как описано в разд. 5.3.2). Бейесов подход к данной проблеме
заключается в отыскании наименьшего значения Rx = L{y) в таблице
для бета-вероятности при N—r успешных результатах и г отказах,
так что можно сказать по Бейесу: «вероятность того, что истинное
248

значение показателя надежности больше, чем /?ь есть (1—а)%».
С помощью подобной процедуры определяют также верхнюю
границу /?2 = ^(#) для показателя надежности.
Пример 8. Бейесова доверительная граница для показателя надежности. Для
того чтобы проиллюстрировать бейесовы доверительные границы, рассмотрим
пример 5 из разд. 5.2.4. Примем равномерное априорное распределение
показателя надежности R. Определить 90%-ную бейесову нижнюю доверительную
границу.
Решение. Из выражения (5.42) видно, что формулу (5.43) можно записать
в следующем виде:
\ L LdR = 0,\.
J const
о
Из таблицы для бета-вероятностей [5] имеем Ri = 0,827, т. е. вероятность того,
чкто истинное значение показателя надежности больше чем 0,827, равна 90%.
Отметим, что показатель надежности, полученный в примере 5 с помощью
биномиального распределения, равняется 0,819 с 90%-ной достоверностью.
Уточненное значение нижней доверительной границы было получено при помощи
бейесова метода.
Бейесов подход применяется для определения доверительных
границ для таких параметров, как показатель надежности, частота
отказов, средняя наработка до отказа и т. д. Отсылаем-читателя к
библиографии [1, 6, 7] за более детальной информацией.
Приложение 5.1. χ2- и бета-ра$рпеделение
1. Распределение χ2 с m степенями свобода :
а) плотность вероятности такова:
б) среднее значение равно т;
в) 100 а- и 100 (1—а)%-ные значения; xl{m) и Х?-а(т)
определяются по формулам
\{т)
I P(x)dX=<*\ f *>(χ)</χ-1-α.
X2Jm) χ2 <«)
" 1—ft
2. Бета-распределение:
а) платность вероятности
^ω-^^-α-Μΐ-χ^^χ. ο<χ<ΐ;
б) среднее значение равно m/(m+k).
Задачи
5.1. Предположим, что ΗΜββτςπ 30 образцов (Я"<, ί=1, ..., 30) из
совокупности с нормальным распределением с неизвестным средним значением θ и
неизвестным стандартным отклонением σ:
249

0,112,
1,317,
0,082,
1,211,
1,736,
1,600,
—0,265,
— 1,239,
0,254,
— 1,532,
0,252,
0,694,
—0,937,
—0,061,
1,742,
1,127,
—0,379,
0,401,
0,064,
1,508,
1,706,
—0,741,
—0,875,
— 1,098,
1,236,
— 1,165,
— 1,659,
—0,097,
—0,598,
—0,430.
Параметры θ и σ можно оценить соответственно но формулам
/ = 1
*=-
— 30.Υ2
33
29
Определить:
а) X и σ;
б) 5ι(θ) и 52(0) для а = 0,05, испол1 зуя в качестве истинного значения
стандартное отклонение σ;
в) 90%-ный двусторонний доверительный интервал для среднего значения Θ.
5.2. Испытания 15 идентичных элементов дали следующие значения
наработок до отказа (в часах):
118,2 128,4 17,0 161,6 33,8
55,1 68,5 74,7 15,0 0,7
25,5 158,5 335,5 306,8 15,2
Получить:
а) значения наработок до отказа для цензурирования по типу I при Г = 70;
б) значение наработок до отказа для цензурирования по типу II при г=10;
в) 90%-ный двусторонний доверительный интервал для СНДО при
цензурировании по типу II, приняв экспоненциальное распределение отказов и
используя следующую таблицу для хи-квадратного распределения:
*?(ν)
-ν/γ
10
15
20
0,025
3,247
6,262
9,591
0,05
3,940
7,261
10,851
0,950
18,307
24,996
31,410
0,975
20,483
27,488
34,170
г) 90%-ные доверительные интервалы частоты отказов элементов λ и
показателя надежности элементов при /=100, приняв цензурирование типа II.
5.3. Группа из десяти элементов была испытана цензурированием типа I
и испытания закончены через 40 ч, причем четыре элемента отказали во время
этих испытаний. Получить алгебраические выражения для 95%-ной верхней и
нижней доверительных границ для показателя надежности этих элементов при
Т = 40 ч.
5.4. Предположим, что нас интересует показатель надежности новой
системы. Предыдущий опыт дает следующую априорную информацию:
Показатель надежности Вероятность
У?, = 0,98
#2=0,78
/?з = 0,63
0,5
0,3
0,1
Теперь предположим, что испытываются две такие системы и
обнаруживается, что первая система функционирует успешно, а вторая отказывает.
Основываясь на результатах этих двух испытаний, определить вероятность того, что
уровень показателя надежности соответствует значению /?,·.
250

5.5. Априорная плотность вероятности показателя надежности дается
выражением
рЛ1—т π рлгп
Р (Л)*- [+=$-.М>т.
const
Доказать, что постоянная (const) равна
(iW-M)xAiX(M - 1)ΛΓ...ΛΓ(Λί — т f 1)
5.6. Результаты цензурирования по типу I для 100 элементов соответствуют
•отказу одного элемента при работе в течение 200 ч.
Получить: а) апостериорное распределение P(R\y) для показателя
надежности этих элементов при 7 = 200 ч, приняв априорную информацию в виде
P(R)= * -*- ;
const
б) средние значения показателя надежности, которым соответствуют
распределения P(R) и Р(1{\у);
в) показатели надежности, которые соответствуют максимальным значениям
распределений P(R) и P(R\y)\
г) построить графики для P(R) и P(R\y).
5.7. Рассматривается апостериорная плотность вероятности
const
Доказать, что: а) среднее значение R\y для R есть
_ N—r + \
'б)*значение Л\у, которому соответствуют максимум P(R\y)y есть
N — г
R\y = :
N
5.8. а. Подтвердить равенства
xfa^O-e)5-1^, (S = 0); (1)
о
,-^(*)^-.„-φ- ,„„!■_,„ f ■»<■-.)»---■
(S # iV). (2)
б. Бета-плотность вероятности с параметрами α и β определяется по
формуле
(α-Ι)!(β-1)! ν '
Доказать, что: 1) верхняя доверительная граница /?2, удовлетворяющая урав-
ШНИ1с ^535)' есть #2=100(1—а) % для бета-распределения с параметрами
251

2) нижняя доверительная граница Ru удовлетворяющая уравнению (5 37),
есть /?ι = 1—[100(1—а) % для бета-распределения с параметрами 5-fl, N—S];
в. Верхняя и нижняя границы для задачи 5.3 есть
#2= [95% для бета-распределения с параметрами 7,4],
/?2=1 — [95% для бета-распределения с параметрами 5, 6].
5.9. Распределение F с 2k и 2/ степенями свободы имеет плотность
вероятности, определяемую по формуле
(£ + /— 1)! / k \* k л / ft \-*-/
v ' СЛ— 1) ! </ — I) ! W ) V / /
Показать, что если распределение V соответствует бета-распределению с
параметрами k и /, то распределение новой переменной параметра U = l/kxV/(\— V)
есть распределение с 2k и 2/ степенями свободы.
5.10. Получить верхний и нижний пределы для показателя надежности
элементов из задачи 5.3, используя результаты из задач 5 8 и 5 9. Принять данные
для распределения х F, помещенные в следующую таблицу, которая содержит
95%-ные значения F0tQ5(a, b):
b
8
9
10
11
12
9
3,3881
3,1789
3,0204
2,8962
2,7144
10
3,3472
3,1373
2,9782
2,8536
2,7534
11
3,2840
3,0729
2,9130
2,7876
2,6866
Значения а
и
3,2184
3,0061
2,8450
2,7186
2,6169
13
3,1503
2,9365
2,7440
2,6464
2,5436
14
3,1152
2,9005
2,7372
2,6090
2,5055
Pr[x<FQy95(a, £)] = 0,9о.
5.11. Показатель надежности элемента имеет следующее апостериорное
распределение:
const
Получить 90%-ный доверительный интервал для /?.
СПИСОК ЛИТЕРАТУРЫ
L.Mann N. R., Schafer R. E., Singpurwalla N. D. Methods for Statistical
Analysis of Reliability and Life Data, John Wiley & Sons, Inc., New York, 1974.
2. Catherine M. T. Tables of the Percentage Points of the Distribution, Biomet-
riko, 32, pp 188—189, 1941.
3. Beyer W. H. (ed.). Handbook of Tables for Probability and Statistics,
2nd ed., The Chemical Rubber Company, Cleveland, Ohio, 1968.
4. Burington, May. Handbook of Probability and Statistics, with Tables,
McGraw-Hill Book Company, New York, 1953.
5. Harter H. L. New Tables of the Incomplete Gamma-Function Ratio and of
Percentage Points of the Chi-Square and Beta Distribution, U. S. Government
Printing Office, Washington, D. C, 1964.
6. Walter R. Α., Martz H. F. Bayesian Reliability Estimation: State of the Art
for the Time-Dependent Case, Los Alamos Scientific Laboratory, LA-6003, 1975.
(Available from National Technical Information Service).
7. Martz H. F., Walter R. A. The Basics of Bayesian Reliability Estimation from
Attribute Test Data, Los Alamos Scientific Laboratory, LA-6126, 1975, (Available
from NTIS).
1 В некоторых стандартных таблицах F0i95 (α, b) обозначается как F0,05(a> δ)·

Глава 6
БАЗЫ ДАННЫХ
6.1. БАНКИ ДАННЫХ
При количественной оценке риска, безопасности и надежности
подразумевается наличие обоснованных данных не только по отказам
оборудования, но и по частоте появления инициирующих событий,,
т. е. по ожидаемой частоте отклонений от нормальных расчетных
условий для данного оборудования, а также дополнительных
дачных, относящихся к последствиям аномальных событий.
Инициирующее событие для происшествия может возникнуть,
например, в результате одновременных отказов в системе
энергоснабжения и водоснабжения при ударе молнии, а не из-за отказов-
оборудования. Может также случиться пожар, вызванный
непогашенной сигаретой, или, как это произошло при аварии с реактором
в Браунс-Ферри, в результате использования свечи для проверки
вакуумных уплотнений работником, проводившим профилактику.
Примерами количественных данных <по отказам оборудования
являются параметры, которые необходимы для вычисления
вероятности конечных событий в деревьях отказов, т. е. такие данные, как,,
например, показатели надежности элементов в системе выключения
реактора, аппаратуре противопожарной защиты, или системах, где
протекают химические реакции. Данные по возможным
последствиям, необходимые для определения человеческих жертв и
материальных потерь, включают и такие факторы, как устойчивость
конструкций, метеорологические условия, показатели токсичности*
плотность населения и воздействия со стороны окружающей среды.
В данной главе читатель познакомится с некоторыми
имеющимися источниками данных и методами оценки последних. Острая
потребность в количественных данных в настоящее время признана
во всем мире на национальном и международном уровнях. За
последние несколько лет увидели свет десятки различных банков
данных, обеспеченных как правительственными учреждениями, гак и
частными лицами. Сейчас слишком рано предсказывать как ход
развития, так и окончательную жизнеспособность многих
направлений этой деятельности, развернутой в последнее время и связанной
с большими затратами.
6Л. ДАННЫЕ, СВЯЗАННЫЕ С ПОЯВЛЕНИЕМ СОБЫТИЙ
Здесь речь будет идти о данных, связанных с частотой появления
возможных Событий, инициирующих какое-то происшествие. В ос-
253

новном внимание концентрируют не на отказах оборудования, а на
появлении таких событий, которые происходят на уровне системы
и которые изображаются 'на деревьях событий.
Статистика событий имеет дело с аномальными условиями
работы. Пожалуй ничто не является таким полезным для
исследователя риска при выявлении событий, имеющих отношение к
выполняемой им операции, как собранные в таблицы перечни этих
событий. Для того чтобы облегчить получение информации из банков
данных такого типа, следует хранить необходимые описания на
специальных форматах, тщательно документированных. Обычно
данные по вероятностным характеристикам не хранят. Примером
банка данных подобного типа являются официальные отчеты по
происшествиям, составляемые Управлением по атомной энергетике США.
Такие банки нужны каждому предприятию (рис. 6.1) В табл. 6.1
перечислены два источника данных по появлению событий, а также
источники информации по надежности. Банки данных по
надежности, относящихся к определенным классам систем, в сущности
являются опубликованными данными по показателям надежности.
Банки данных по событиям обеспечивают количественную
информацию, а сведения по обслуживанию — варианты возможных
сценариев развития событий и т. д.
Для того чтобы выявить данные по инициирующим событиям,
требуется терпение и умение исследователя. Почти всегда имеют
место ошибки человека, выполняющего эту задачу, упущения в
работе или какие-то дополнительные лишние действия. Два коротких
анализа инициирующих событий, приведенных Дж. Расмуссеном
(Национальная лаборатория RISO, Дания), являются во многих
отношениях типичными.
Случай 1. Расплавление топливных элементов в ядерном
реакторе (Напечатано в журн. «Ньюклиар Сейфти»,
сентябрь, 1962 г.)
Расследование. При испытаниях определенного вида требуется
перекрыть несколько сотен технологических охлаждающих трубок
с помощью неопреновых дисков. После испытаний семь дисков
было оставлено в системе, однако их обнаружили при испытаниях
системы измерения, с помощью которой снимаются показания по
давлению воды в каждой из технологических трубок. По
неизвестным причинам одну трубку .пропустили и не занесли в список
аномальных показаний датчиков, подготовленный в процессе
испытаний. Имелась дополнительная возможность обнаружить
заблокированную трубку, когда позднее проводились испытания системы. На
этот раз значение ддвления в трубке определенно указывало, что
трубка заблокирована. Однако контролер смены ошибся и не смог
распознать признаки неисправности. После этого техник по
измерениям перестроил датчик на среднюю величину показаний, что
для данной конкретной трубки было ошибочным. В результате
такой настройки наверняка создались условия, при которых поток
отсутствовал, пока не появились серьезные повреждения.
254

СПИСОК ЛИТЕРАТУРЫ ПО БАНКАМ ДАННЫХ
По появлению событий
1. NRC License Event Reports (LERs), Nuclear Regulatory Commission.
Washington, D. С 20555, U. S. A.
2. Failure Data Handbook for Nuclear Facilities, LNEC-Mcmo-69-7 available
from NTIS, Springfield, VA, 22151, U. S. A.
По показателям надежности
1. WASH 1400 «Reactor Safety Study», Appendix III, available from NTIS,
Springfield, VA., 22161, U. S. A.
2. IEEE Std. 500—1977, «Guide to the Collection and Presentation of
Electrical, Electronic and Sensing Component Reliability Data for Nuclear Power
Generating Stations, «IEEE Standards, 345 Ε 47 St., New York, N. Y. 10017,
U. S. A.
3. MIL HANDBOOK 217 B, Rome Air Development Center. RBRS, Griffis Air
Force Base, N. Y. 13441, U. S. A.
4. European Space Agency, Electronic Components Data Bank, Via, G. Galilei,
00044, Frascati, Italy.
5 IEN «Galileo Ferraris», Reliability Data Bank, Corso Massimo D'Azeglio,
10125, Torino, Italy.
6. CNET, Reliability Data Bank on Electronic Equipment, 22300 Lanniou,
France.
7. Military Electronics Laboratory (FTL/FOA) Data Bank, Fack 10450,
Stockholm, 80, Sweden.
По характеристикам событий
1. Nuclear Plant Reliability Data Systems (NPRDS), operated by Southwest
Research Institute, 8500 Culebra Road, Building 88, San Antonio, Texas, 78284,
U. S. A.
2. Edison Electric Institute Data Bank, Edison Electric Institute, 90 Park
Avenue, New York, N. Y. 10016, U. S. A.
3. SYREL —System Reliability Service Data Bank, UKAEA, Culcheth,
Warrington, WA 3 4 NE, U. K.
4. ENEL Data System for Power Stations, ENEL CRTN, Bastioni di Porta·
Volta 10, 20121, Milano, Italy.
5. ASEA-ATOM Data System for Nuclear Power Plants, Box 53, 72104, Was-
teras 1, Sweden.
6. Gesellschaft fur Reaktorsicherheit (GRS) mbH, Data System for Nuclear
Power Plants, Glockengasse 2, Postfach 101650, D-5000, Koln 1, Germany.
7. EDF, Reliability Data System for Nuclear Power Plants, SEPTEN,
EDF-GDF, Cerex 8, F-92080, Paris-la-Defense, France.
8. Government/Industry Data Exchange Program (GIDEP), Fleet Missile
System Analysis and Evaluation Group, Corona, California, 91720, U. S. A.
Случай 2. Индекс 50219-167. Одновременное отключение двух
дизель-генераторных агрегатов от потребителя.
Последовательность событий. 8 ч 10 мин: получено разрешение
на проведение профилактического испытания замкнутой
распылительной системы 1, включая проверку электрической и
механической части дизель-генераторного агрегата 1. 8 ч 20 мин: разрешено
остановить дизель агрегата 2 для добавления смазочного
материала.
Обе системы оказались отключенными от потребителя на 45 мин.
При выдаче разрешения на проведение работ с
дизель-генераторным агрегатом 2 мастер забыл об испытаниях системы 1.
255

Отчет по отказу ядерной установки
Данные предназначены для:
X —отчета по новому отказу (проставить «7» во второй колонке, внизу)
О — дополнения по предыдущему отчету по отказу (проставить «5» во второй
колонке, внизу)
Общие
сведения
1
G
Действие '
2
7
3
Ε
Место

использования
4
А
5
В
6
С

Установка
7
X
8
Υ
9
Ζ
Узел
η
1
Код S/C
11
3
NSSS
12
С
Код отказавшей
системы или
элемента NPRD
13
С
14
Η
15
А
16
0
.17
0
18
1
19
20
Дата
события
-
Описание
отказа
Причина
отказа
Принятые
меры
η
Код
38
а
н
j
к
L
Μ
N
1 Р
Q
1 р
1 5
1 т
1 и
Начало аварийного события
Год
39
7
4Э
5
Месяц
41
1
42
0
Число
43
1
44
3
Часы
45
1
46
3

Минуты
47
2
48
3
Конец аварийного события
Год
49
7
5D
5

Месяц
51
1
52
0

Число
53
2
54
5
Часы
55
1
56
4

Минуты
57
3
58
0
При нормальном выключении клапаны регулирования подачи
разрушились. Клапаны не открылись
Неправильная работа клапанов вызвала неуправляемый поток
Последующий динамический анализ, настройка клапанов и
и предотвратили колебания
Рис. 6.1. Форма отчета
556

Эксплуатационный
(Лфавичныи номер
элемента
21
22
23
24
25
26
27
28
29
Отчет J. D.
33
8
Дата отказа
Год
31
7
32
5
Месяц
33
1
34
0
Число
35
1
36
3
№
37
1
* Состояние в момент отказа
*
59
А
Код NPRD
ДЛЯ
кинемы или
элемента
63
К
61
Л
62
А
63
Π
64
А
65
Η
Дата отчета
Год
66
7
67
5

Месяц
68
1
;б9
0

Число
73
2
71
8
72
73
74
75
76
77
78
79
83
воды вызвали колебания и вибрации, перепускная и сбрасывающая магистрали
изменение настройки обеспечили более широкий диапазон работоспособности
NPRD-4 по отказу ядерной установки
9-533
257

Анализ отказа
и данные
Карта I.D
38
V
>тказа 1
Вид с
39
А
40
тказа
Тип о
41
А
42
5
Причина отказа
А
43
А
44
В
45
А
46
К
47
В
48
49
53
Последствия
отказа
А
51
52
В
53
В
54
С
55
F
эужение
СО
Обна]
отказ
56
А
•1
F\
Карта I.D.
От кого
Кому
Примечания
I
Комментарий. Одновременное отключение резервной системы,
вызываемое неправильным графиком работ по обслуживанию,
обычно трудно предсказать, так как условия зависят от местных
инструкций, подверженных изменениям или недосмотрам из-за
отсутствия дополнительных напоминаний.
6.3. БАНКИ ДАННЫХ ПО ПОКАЗАТЕЛЯМ НАДЕЖНОСТИ
Для проведения количественных оценок логических моделей
системы необходимы данные по характеристикам отказов элементов. До
настоящего времени информации по отказам этой категории
уделялось наибольшее внимание.
Можно разбить данные по показателям надежности на
различные категории: «от весьма приближенных» до «точных». На одном
краю спектра располагаются данные, основывающиеся на
«экспертных оценках» или на.первоначальном опыте. Далее имеются
данные, полученные из опыта предприятий (обычно по какому-то
одному объекту), и, наконец, имеются систематически составленная
258

Принятые мерь
A
58
A
59
Ε
6)
А
61
F
62
63
В
64
D
65
Η
Официальный
отчет составлен
(дата)
Год
66ь
7
67
5

Месяц
68
1
69
0

Число
7J
2
71
0
72
73
74
,75
76 77 78 79 80
Ι Ι Ι ι 1
Дата заполнения 28.10
Исполнитель Дж. У. Браун
Проверил утвердил Дж. Б. Джонс
Телефон 774/686-3253
Рис. 6.1. Продолжение
подборка и последующий анализ данных по отказам элементов на
основе их многократного применения и замены.
Данные первого уровня, основывающиеся на экспертных
оценках, были подвергнуты критике Э. Грином в начале 70-х годов. Он
обнаружил, что характеристики по отказам клапанов можно более
точно получить с помощью анализа элементов этих клапанов, чем
в результате опроса специалистов по надежности [1]. Однако
применение бейесова метода и метода «Дельфи» в сочетании с
оценками экспертов многами считается разумным подходом [2, 3].
Второй уровень совокупности исходных данных можно
охарактеризовать термином: «спроси того, кто ими владеет». Сбор данных
этого типа весьма популярен среди инженеров, которые привыкли
получать более 70% необходимой информации путем опроса
специалистов, знающих, как они считают, правильный ответ. С точки
зрения статистиков это удивительно плохой метод, за исключением
случая, когда известны размер выборки, число наблюдаемых
событий и т. д.
Такой подход является совершенно неудовлетворительным и для
служащих администрации, которые хотят иметь в своих картотеках
и в памяти вычислительных машин, в дополнение к комплексу
данных по отказам, подробное описание, особенности изготовления и
технические характеристики каждого изделия для каждого
подчиненного предприятия.
Данные по происшествиям (не смешивать со сценариями
развития событий) состоят из четырех частей:
идентификация изделия (происхождение);
определение проводимого обслуживания, взаимодействий и
связей;
259

отчет по техническим данным
Технические данные предназначены для:
X — отчета по техническим данным для первоначального или замененного
О — дополнения к предыдущему отчету по техническим данным (проставить «5»
Общие
сведения
ί
с
Действие
2
7
3
Ε
Место

использования
4
С
δ
| W
Установка
6 | 7
Ε
0
8
А
9
D
Узел
10
1
Код S/C
11
1 5
NSSS
12
С
1 Код отказавшей
или элемента
13
Ρ
14 | 15 | 16 | 17
и
Μ
Ρ
Χ
Технические данные по элементу или системе
Карта I.D.
38
А
Карта
I.D.
38
В
Карта
I.D. '
38
С
Карта
I.D.
38
D
Код системы
NPRD
39
С
49
Ε
41
А
42
Справочный
номер
MFGR
39
40
В\ 2
41
42
6 | 0
Справочный
номер у
поставщика
39
! ^
40
41
0 | 8
А
39
40
В
42
0
В
41
42
|с
43
44
Эксплуатационный
код системы
4δ
1
46
3
47
0
48
0
49
δΟ
51
Гриф
δ2
Ι 2
δ3
Режим
δ4
5
δδ
Β
δ6!
с\
Номер модели у изготовителя
43
4
44
X
4δ
6
46
47
x\ 9
48
49
δΟ
в\м
δΐ
5
δ2
D
53
δ4
δδ
δ6
Ι
Справочный номер системы или элемента
у поставщика
43
1
44
—
С
43
44
G
4δ
1
'46
3
D
4δ
46
В
47
0
48
2
Ε
'47
48
Ε
49
δΟ
F
49
ΙδΟ
51
51
δ2
δ3
δ4
δδ
Ι Ι
δ6
G
δ2
δ3
2
δ4
8
δδ
0
δ6
0
260
Рис. 6.2. Форма

элемента или первоначальной системы (проставить «7» во втором столбце, внизу)
во второй колонке, внизу)
системы
NPRD
1 18
Ι χ
Эксплуатационный справочный
номер элемента
ι Ι
* \ № отчета |
Ι Ι ι
1 к
| 1
)|2ι
) | 21 | 22 | 23 | 24 | 25 | 2€
-Ι ι I з I о
| 2 | |
Отчет I.D.
Дата начала
заполнения
Год
> | 27 | 28 | 29 | 33 | 3
1 л
1 | 32
| 7 | 3
I
Месяц
| 331 34
| 0 | 7
Чис-|
ло
35 | 36 |
о Ι ι |
37
Окружающие
условия

внутренние
57
0
58
F
59
1*1

внешние
63
А
61
F
Дата начала
эксплуатации
Год
32
7
-
57
58.
59
60
1 1
57
58
59
60
Узел
57
58
59
69
f\t\h\0
61,
62
63
| ι

Месяц
64
65
1 | 0
1
Число
66
0
67
7
Применимый код MFGR или стандарт
68
А
69
S
70
м\
71
Ε
72
73
ι
1 s\
74
Ε
75 76
С
77
з
78
—
7980
6
| 8
Серийный номер у изготовителя
63
2
64
7
65
0
66
6
67,
0
68
6
69
70
71
72
73
74
75
76
Номер чертежа или документа
61
r\
61
62
С
63
1
64
с\
65
—
66
Μ
Η
62
63
| 1
,64
4
65
66
hie
67
— |
68
69 70
0 | 5
0 1
Узел
67
68
69
70
1 о |р\м\
71
71
72
73
1 1
74
75
76
/
72
73
1 4
74
5
75,
76
77
78 79 80
77
78
79
80
Узел
77
78,
79
о|о \r\p\m
80
[|
отчета NPRD-2 по надежности ядерной установки
261

Данные по эксплуатации
и испытаниям
Карта I.D. ·
38
Ε
Оценка работы элемента (системы),
в процентах от часов
работы
реактора в
критическом режиме
(1)
39
0
40
0
41
1
42
0
43
0
резервного
времени (2)
44
0
45
0
46
1
47
0
48
0

выключенного состояния
реактора (3)
49
0
53
0
51
1
52
0
53
0
Про
54
| 1

Интервал, ч
55
Μ
56
0
Примечание:
Насос XX
(пример)
состояние изделия до возникновения происшествия;
описание происшествия.
На рис. 6.2 представлен типичный отчет, который требуется для
идентификации изделия, определения связей и взаимодействий,
а также проводимого обслуживания. Формы для описания
происшествия по содержанию подобны формам для последовательностей
развития событий. Рис. 6.1 фактически также является формой
регистрации происшествия. На рис. 6.4 перечислены данные,
собираемые в архивах Британской организации по вопросам надежности
систем. Чтобы определить вероятностные параметры для элементов,
такие, как частота отказов r(t) и частота ремонтов m(t), требуется
значительно больше информации, чем просто обработка данных,
полученных на основе форматов для одиночных происшествий.
Необходимо знать общее число изделий группы и имеется ли
статистическая независимость этих изделий с другими изделиями на
данном предприятии. Возможно, произошли отказы с общей
причиной, или возможно, что изделие находилось в «холодном»
резерве, и, таким образом, зарегистрированный отказ является отказом
при включении, а не отказом при функционировании.
На рис. 6.3 показаны некоторые пути прохождения информации
по происшествиям, собранной на различных уровнях, при их
введении и обработка в банке данных. В идеальном случае, в допол-
262

верка

Нерабочее
время, ч
57
58
0
59
0
Испытания
Функционирование
63
1

Интервал, ч
61
0
62
Τ

Нерабочее
время, ч
63
64
2
65
0
Настройка
66
0

Интервал, ч
67
! о
68
0

Нерабочее
время, ч
69
0
70
0
71
0
Дата заполнения 15.7
Исполнитель Дж. Б. Джонс
Проверил/утвердил П. Б. Смит
Телефон 512/684-5111
Рис. 6.2. Продолжение
нение к статистическим оценкам, данные по элементам должны
оцениваться в моделях систем для определения степени их
адекватности, т. е. можно ли с помощью информации по отказам
элементов предсказать отказы (известного типа) систем.
Характеристики основных систем с банками данных,
имеющихся в США и в Западной Европе, сведены в таблицу на рис. 6.5. Вся
подобного рода деятельность требует значительного штата
сотрудников, больших вычислительных машин, комплексных
информационных систем и значительных расходов общественных средств.
Действительно, сбор и хранение огромного количества информации
такого типа в многочисленных правительственных учреждениях
ι Испытания В

эксплуатационной
лаборатории
предприятия
Мнение
эксперт о В
Происшест
Вия
Метод
,Дельфи'
классические

статистические
выводы
бе йе со Вы
Выводы
Манные

вероятностного
характера
Модели
Не π оль -
\зование
Рис. 6.3. Структурная схема
получения и обработки данных
по надежности (Мансини,
1978 г.)
263

Стадия I. Опись данных
Инструкции
предприятия.
Чертежи.
Технические
характеристики.
Протоколы данных
и т. д.
Инвентарный номер по
описи
Изготовитель
Разработчик
Год разработки
Дата ввода в
эксплуатацию
Серийный номер
Идентификационный код
Партия
Диапазон (размер)
Качество
Тип электросхемы
Применение
Окружающие условия
Материалы
Вид обслуживания
Периодичность
обслуживания
Код изделия
Время
функционирования
Число циклов/год
Среда
Особенности установки
Информация
описательного характера
Проверка данных и
подготовка перфокарт
Стадия II. Данные по
происшествиям
Рабочая карта/отчет по
происшествию
Номер объекта
Время и дата
Особенности установки
Система
Изделие по описи
Тип происшествия
Результат происшествия
Информация по
функционированию
Конец работы (дата)
Место установки
Инвентарный номер
изделия
Описание ремонта
Дефектные детали и
узлы
Замененные детали и
узлы
Время простоя
Время ремонта
Рабочие часы
Рабочие циклы
Вид отказа
Причина отказа
Категория отказа
Работа
высококвалифицированных
специалистов, чел-час
Общее число человеко-
часов
Стоимость материалов и
запасных частей
Рабочие параметры
Класс безопасности
Информация
описательного характера
Проверка данных и
подготовка перфокарт
Перфокарты
Стадия III.
Данные по
эксплуатации

Эксплуатационные журналы
регистрации
Время и дата
Код установки
Описание
происшествия
Проверка данных
и подготовка
перфокарт
Рис. 6.4. Три стадии сбора данных
264

- * о - 5
д*0·
Ξ CQ (- C\j 4ϋ ~
R "- '- О *-
©Si
a μ « s » \o
XO
Я
CD
°
Я
X
н8 = §
о 3 со
κνο н s
2 2 α >^
я £■ «»\о ЯГ
χ О йй Л
ι—Г Λ
СО р- CQ
Οχο Μ
α ° W CQ
соЗ 2 S
й8за
S*
sag
S 2 *
Й и V
*§»
coog
ο Ξ ^
с ·? я
•я °
в с
S *: О
3 μ κ U
χ О R ^
CQ йй СО Я
о я е
χ СО СО
О β
са я са
схя *
о я о я
Η VO в
я о,0
^t^vo &
5 ° °
S s
^ Й К >>
« « Ξ ^
m Ь aC CD
iS о ас сх
С νο о к
СО ^
CD О
Я ° °
SCJ
CD
С
та
α
о
DC
S
ex
о
сх^
о
X
χ
о
СО VO
?
CD
Η
О
Я
и
N1
<
СО
CX
ες
я
ас
s
χ
CQ
О
со
CO
отк
ja
о
CX
с
я
α
о
ci ci
О
«
KKS
я
са
СО
ex
со
СО
сх
ю
ες
с;
t-H
в:
3
ό
X
СО
CD
«
ь
о
ас νο
« CD
CD Я
КС/Э erf.
HtU >>
СО
ас
J3
^
CD
о
VO
СО
сх
со
СО
(=1 CX
о
С*
?Я
£ о
СХо
О χ
Θ
о ас
^ о ι.
о я .
S-> о
ία s о
S erf.vo
CD VO
I О
CQ CO
О CX
CXVO
>> О
R
S л
s|
Λ Ρ CO
Я Я Μ
, О .. Η
Я CD О
я я νο
О СО
δ4
си
s 3
о я
л X i Л
д Я 3 О
н си я
cd 5 я §
яК
я
СО
сх
о й w ·
э* cd g
" О t-1 J3
cd vo >> ς
3 со рЗ си
Я СХ^' X!
я
.. w
си ^
я
ω си
о Я
сх я
^ я
S
ίο о
Я VO
л л „1
ς α^
я\о S
я η я
2 Η к
1 У я
* я я
о и я
ς сз
α я g,
к а
я §
£ сх *
Я н
/? Я Л
О ю S
ϋ ^я
"сх^ §
са о о
9Я
Пробнь
н н
Я Ό
си to
S 'со
Я |СХ
сх'2
CD W
С СХ
яги '
Л я
' &«»
^ 5 я
сх * н
VO О S
О-В* я
°« я
О) со
С νο
CD
Я '
■ сх;
'£*
о
сх cd ас
^ 3 « я
С a ci ΐ
S ω
сз о
*$. СХ с
CD
fci К
х * я
2 S ° «
СХ ·* S> L·-
CD
Χ Η
S с! ЯЮ
9Я
ι— ^
я ч
« s-
сх о
5 *
е
к s я
СО >> ^
Я VO Я
| s s
Зло
R схя
с^ со
CD CD
схсх
СЗ
« й S
CD CO S
Я сх·^
=т О G
Й - о
CXCDVO
о
VO
Я Я О)
Sty
С[ Д, Я
^ R О
О
к S R
К СО
я я
й к я
CD СО СО
сх я ω
нло
>>ς α
ксза η
CX erf
СЗ о ·
о J
со 3J
CD
ες ρ
о я я
СЗ CJ Я
ж °°
СП "5 ^
Я erf.
Я о
о «
я
CD СХ «
s 5 с
схсх
о 2 с
-&я s
- си
CQ К Н
« со я
>> ω ω
νο о о
»я ες
о ες
я я
rr ас
CD CD
я сх
Ο Η и, —
« >>3r erf.
„_ я я о
CQ ω χ м
я
. ш
!§
Χ νο
я^^
ясо
gup
VO<
оШ
§^
Ю со л
Ο Η щ I
йЯ д '
я >>о
о ^° '
ς сг)
СЗ
« о я
α-, я я
са
о
о
о
я j
2έ5

Ю
со
CJ
χ
(Χ
ние
Продол:
к
1 з
1 «*
1 &
Сбо
χ
3
я
дан
S
к
ова
о.
я
Й
о
и:
СО
33
си
Η
Сие
1
нтроль
ветствия
орматов
диетаН-
онной
аботки
О H.Q. м Я О.
О 8 fc*
энная
обработ-
(карты,
бумаж-
ты)
истанцш
кетная ι
данных
[итная и
ная лен
tig £
СО СО
Я * S
0)
Ξ
я
я я
*S СО
Я К
» 4>
33
я χ
sr я
Перви
работа
1 °
. >> ..
со ς и
ю υ о
ОО со
Система кодир
[ия событии, о
живания, отка
ремонтов
ж
ания
ем,
нтов
5 н <υ
дирс
сие
элем
О 5й
* о η
ема
а нов
гато
н н υ
υ υ О.
s >«Ь
О со
^
си
υ Я К
« ς со
о я к
•4
»я и ς со
робны
римен
норма
работ
С
•Я ^ 1
S £ о
<υ 3 о.
н я η
esw<
;ные с
ков Д;
адной
и СШ
ОСНОЕ
бан
в Зап
1 1
о> л
*ES
Пакетна
ботка.
ты и
лента
-II
ΰ ·< *>
3 >»р<
К &,£
к н 2
ее О С
«=С υ
ω Λ. £
§§1*
Первичк
собранн
ничающ
бителям
К Л1
Ж ^
ЛОЖ)
сие
ания
нь с
тренняя
кодиров
О 5 s 1
[я иерар-
буквен-
ая си-
ирования
грення
;ская
ифров
а код]
Вну
хиче
но-ц
ртем
<я I
о.
к
а 1
X
л 1
Is
5 ε
/—ν 1
ел
О
США
(NRP
Вычисления
ка памяти
Характерней
ые средства
Вычислительи
ных
Сбор дай
Уровень

достоверности,
принятый для
определения

доверительного
интервала, %
Основные
вычисления
Носитель

информации
памяти
Структура
памяти
Другое программное
обеспечение
Аппаратура
Источники
данных
Входящие отчеты
подготовил
персонал ядерных
реакторов
Постоянные
частоты опасностей,
доверительные
интервалы для
постоянной частоты
отказов

Магнитные
диски
Индексная

последовательная
SESAM, система
2000
«Сименс»
4004-55 (в Гар-
чинге) LRA
ЭВМ AMDAL
GRS-RWE,
изготовители
элементов
1
Совместно с
экспертами из GRS
266

Вычисления
Характеристика памяти 1
Вычислительные средства
Сбор данных
Уровень

достоверности,
принятый для
определения

доверительного
интервала, %
Основные
вычисления
Носитель

информации
памяти
Структура
памяти
Другое программное
обеспечение
Аппаратура
Источники
данных
Входящие отчеты
подготовил
персонал ядерных
реакторов
1
Суммарные,
средние, наименьшие и
наибольшие
значения, медиана,
постоянные
частоты опасностей

Магнитные
диски

Иерархическая
CICS-DL1 с
использованием
IMS/VS; OS
IBM 370-155
(в Бугэй), IBM
370—168 (на
национальном
уровне в Кла-
марте)
В настоящее
время только
EdF
Совместно с
экспертами по
надежности
05
Суммарные,
средние, наименьшие,
наибольшие
значения, постоянные
частоты
опасностей,
доверительные интервалы для
постоянной
частоты отказов

Магнитные
лента и
диски

Последовательная
Специально
разработанная
система RJOS;
модифицированная ISR
ICL 472, с
января 1977 г.
ICL 2980

Сотрудничающие члены SRS
При участии
экспертов по
надежности
СГ5 05 05
Суммарные
средние значения,
постоянные частоты
опасностей,
доверительные
интервалы для
постоянной частоты
отказов
То же

Последовательная,
случайная
и круговая
Специально
разработанная
система (возможно
IDS)
«Ханивелл»
6600 с
терминалом 300
В настоящее
время ENEL и
изготовители
Самостоятельно
I
Суммарные
значения
*

Последовательная
Специально
разработанная
система
IBM, серия 370

Сотрудничающие
потребители
То же
267

2 3 ¥5678 1
г з Ч5В1Ы г з 45βίβι
3 ¥5678 1
1000
Продолжительность ВоздейстВил, мин
Рис. 6.6. Категории опасностей при воздействии различных газов [Робинсон Б
Оценка риска в химической промышленности. Отчет PSA5/78, 30 июня 1978 г.]'
признавались президентом США Дж. Картером настолько
критичными, что в апреле 1977 г. он включил ъ чрезвычайное послание
конгрессу по вопросам энергетики следующее заявление· «
Комиссия (Национальный совет по надежности) ввела обязательные
постоянные, инициативные сообщения по всем незначительным
неудачам и отказам элементов в эксплуатируемых реакторах с целью
создания надежной основы данных, необходимых для
усовершенствования конструкции реакторов и правил их эксплуатации».
Некоторая дополнительная информация, относящаяся к банкам
данных, приведена в работах [4—6].
6.4. БАНКИ ДАННЫХ ПО ВОЗМОЖНЫМ ПОСЛЕДСТВИЯМ
К третьему типу собираемых данных для оценки риска относится
информация, описывающая последствия происшествий Так как в
настоящее время подобных банков не существует, можно только
обсуждать требования, предъявляемые к ним:
1. Свойства материалов: ударная вязкость, предел текучести
возгораемость, детонация и т. д. '
2. Данные по токсичности. Сюда включаются информация по
скрытому и быстрому воздействию веществ как на человека так
и на животных. Возможный вид определения характеристик для
268

этого вида данных можно найти на рис. 6.6, который представляет
собой схематическое изображение зависимости времени
воздействия от концентрации газа для токсичных материалов. Хаммер
предлагает полезный обзор по параметрам токсичности.
3. Суммарный риск. Чтобы установить суммарные последствия
.•какого-либо происшествия, необходимо знать общее число людей,
подвергшихся воздействию, и общие материальные потери, которые
зависят от расположения объекта и окружающих условий.
Одним из вариантов использования данных по последствиям
может быть экстраполяция последствий малого происшествия на
большую аварию.
«.5. ОЦЕНКА ДАННЫХ
Программа получения и отработки данных должна быть взаимно
увязана с усилиями πό их оценке. Недостаточно, например,
воспользоваться опросом, чтобы получить данные по средней
наработке до отказа или по продолжительности ремонта. Ответы
должны оцениться проверкой текущих записей и регистрационных карг.
Если в анкете имеются такие сведения, как «причина отказа
.неизвестна», они обязательно должны быть взяты на заметку. Если
только специалист по надежности не выберет правильного
подхода к обслуживающему персоналу, нет никакой надежды получить
правильную информацию. Такой вопрос «Как часто ломаются эти
ласосы?» вызывает совершенно другой ответ, чем-вопрос «Есть ли
какие-либо трудности в поддержании работоспособности этих на-
.сосов?» Другим важным фактором может быть одежда
опрашивающего, носит ли он галстук или одет в комбинезон.
Неуверенность в процессе обработки данных обычно возникает
из-за малого количества статистических данных. К этому
недостатку, вызывающему неуверенность, нужно прибавить факторы,
вносимые отказами с общей причиной, ошибками эксплуатации,
отказами при испытаниях и техническом обслуживании. Рабочие,
также как хирурги, могут оставить инструмент. Перед пуском
химических установок встраивают сетки в магистрали, чтобы
задерживать инструменты и мусор до того, как они выведут оборудование
из строя. Поломку из-за попадания небольшого гаечного ключа в
крыльчатку сравнительно редко фиксируют как вид отказа насоса.
Однако по подобным причинам случается гораздо больше отказов,
-чем регистрируется в официальных отчетах.
Проблема оценки данных, специфические требования к инфор*
мации, предъявляемые при проведении «неакадемического»
анализа безопасности, и зависимость данных по отказам от окружающих
условий данного предприятия, проводимой на нем технической
политики по правилам эксплуатации и технического обслуживания
вызвали значительный скептицизм в отношении полноты и
полезности больших и дорогостоящих банков данных. Банки данных,
несомненно, являются очень полезными для неопытных людей, не
знакомых с достаточным количеством данных по отказам и
нуждающихся в справочной литературе. И, напротив, опытный человек,
269

например хороший механик по автомобилям, знает, что
водяной насос имеет тенденцию к отказу при пробеге 80 тыс. км. В об-
щем он будет прав, предсказывая отказ водяного насоса на
автомобиле модели следующего года также при пробеге 80 тыс. км. Если
анализ всех элементов с помощью дерева отказов с
использованием банков данных (и «клятвенных» заверений официальных
представителей автомобильной компании) или результатов
стендовых испытаний дает другой пробег, отличающийся от 80 тыс. км,
и при этом не проводилось никаких коренных изменений
конструкции, замены элементов или материалов, тогда этот механик («бейе-
сов априор») является наилучшим источником информации.
6.6. ТАБУЛИРОВАНИЕ ДАННЫХ ПО ОТКАЗАМ
Опубликованные данные по надежности охватывают широкий
диапазон—от грубых оценок до показателей, основанных на
тщательно выполненных испытаниях и на проверенных распределениях
параметров для процесса отказ — ремонт. В целом инженеры по
надежности привыкли иметь дело с данными по отказам, с
помощью которых можно предсказать поведение оборудования при
ю--
10
1Q~3 W2 10~! 10° 101 102 Ю3
Частота отказод, число отказов за 10 + ч
W-
10*
Рис. 6.7. Типичные диапазоны частот отказов для систем, оборудования и
деталей:
ронные системы (резервированные); Ч - автоматические системы защиты (с резервировани"
ем и с разнотипными элементами)
270

1*10
U10
U10
•о
то~°4-
то
ι*ιο-Ί-{—Г
Оценки относительной
частоты отказов клапанов
а)
и W
1*10~
U10'
U10"
*■* сч| ^ «3·
^ ϋ ^ ^
^ ^ «о <4
Q <з *з *
£ £ £ S
-J I I L-
Я
-На асе 1-Е
Η л ас с 1-М
НлассЗ-3
Класс**-И
Рис. 6.8. Вероятность срабатывания (на запрос) для различных классов
оборудования:
*Л — клапанов; б —машин и аппаратуры; А — клапаны двигателей внутреннего сгорания:
Б — пневмоклапаны; В — обратные; Г — вакуумные и Д — предохранительные клапаны; Ε —
-механический (дизель-г,енераторы и т. п.); Ж — электромеханический (электродвигатели,
-луфты и т. п.); 3 — механический (насосы, клапаны и т. п.); И — электрический (реле,
прерыватели, выключатели и т. n.j
изменении параметров в пределах до 10 раз, и только наиболее
наивные люди могут ожидать разбросы менее, чем в 2 раза. При
-самом низкам уровне точности· можно, например, использовать
данные, которые приведены на рис. 6.7 [7]. Оценки надежности
системы, основывающиеся на подобных данных, могут оказаться в ка-
j^oft-To мере грубыми, однако они далеко не бесполезны.
На рис. 6.8 [Манчини] представлен другой сведенный в таблицу
зид полезной информации общего характера. Здесь приведены
значения вероятности отказа на запрос, т. е. вероятность того, что
резервная или защитная система окажется неработоспособной
в случае ее включения.
"Следующим уровнем углубленного анализа являются данные
по отказам приборов и измерительных средств, собранных проф.
"Ф. П. Лизом. Эта очень полезная информация из университета в
Локборо представлена в виде табл. 6.2, 6.3, 6.4 и 6.5.
В табл. 6. 2 приведены как предсказанные, так и наблюдаемые
значения частоты отказов, которые взяты из работы, выполненной
в Центре по атомной энергии в Великобритании.
Табл. 6.3 основа-на на анализе данных по ошибкам при
ремонтах и техническом обслуживании, проведенных на больших
предприятиях — от .заводов по производству кислоты до водоочисти-
271

6.2. Частота отказов измерительных средств и приборов
Измерительные средства и приборы
Управляемые клапаны (П)
Электромагнитные клапаны
Предохранительные клапаны
Ручные клапаны
Дифференциальные датчики
давления
Датчики расхода с проходным
отверстием переменного сечения (П)
Термопары
Усилители температурного
выключателя типа:
А
В
Контактные датчики давления
Манометры
Анализатор 02
Контроллеры (П)
Индикаторы (измерители с
подвижной спиралью)
Ленточные самописцы
Ламповые индикаторы
Фотоэлектрические элементы
Тахометры
Шаговые двигатели
Реле (П)
Реле (телеграфного типа)
Частота
отказов,
отказы/год
наблюдаемая
0,25
—
—
—
0,76
0,68
—
2,6
1,7
0,14
—
2,5 1
0,38
—
—
—
—
—
—
0,17
—"""
принятая/

предсказанная
0,26
0,022
1 0,13
—
—
0,088
—
—
—
0,088
—
0,026
0,22
0,044
0,13
0,044
0,044
—
0,018
Ссылки 1
1, 2, 3, 4
5, 6
5, 6
5, 6
1, 2, 3, 4, 7, 8
1, 2, 3, 4, 8
5, 6
1, 2, 7, 9
7
7
1, 2, 3, 4, 8
5, 6
1, 2, 4, 8
7
5, 6, 8
5, 6, 8
5, 6
5, 6
5, 6
5, 6
7
5, 6
1 Управление по атомной энергетике Великобритании; Π — пневматического типа.
тельных станций. Факторы окружающей среды, принимающие
значения от 1 до 4, прямо пропорциональны активности рабочей
жидкости и другим подобным условиям.
Содержание табл. 6.4 заимствовано из генерального
обследования, которое включало анализ 18 400 элементов из 4800 контуров
регулирования на очистных установках [Скала].
Наиболее тщательно обработанные данные можно найти в
документе WASH 1400, прил. III; 30 различных банков данных
были приведены в порядок и обработаны с определением нижнего
и верхнего пределов, .а также оценок медианы для изделий,
перечисленных в табл. 6.6. Следует заметить, что такого рода
исчерпывающий анализ дает возможность в табличной форме проводить
оценку разных значений частоты отказов для различных видов от*
казов.
Наконец, мы подошли к данным, которые, по-видимому,
являются наиболее важными и в то же время труднее всего поддаются
количественным оценкам. Это— данные, относящиеся к действию
m

6.3. Частота отказов измерительных средств и приборов i
Измерительные средства
и приборы.
Распределители
Силовые ц'илиндры
Датчики перемещения клапана
Электромагнитные клапаны
Преобразователя типа ток —
давление
Измерители давления
Измерители потока жидкости:
дифференциальные датчики
давления
дистанционные расходомеры
с проходным отверстием
переменного сечения
расходомеры ,с проходным
отверстием переменного
сечения
магнитные расходомеры
Измерители расхода твердых
материалов:
месдозы
измерители и регуляторы
скорости ленты
Измерители уровня жидкости:
дифференциальные датчики
давления
датчики уровня поплавкового
типа
емкостные датчики уровня
щуповые приборы (на
принципе электропроводности)
Измерители уровня твердых
материалов
Измерители температуры
(исключая Пирометры)
термопары
термометры сопротивления
ртутные термометры (в
стальном корпусе)
термометры ( газобаллонного
типа
датчики температуры
Радиационные пирометры
Оптические пирометры
Контроллеры '
Контактные датчики давления
Контактные датчики расхода
Контактные да-тчики скорости
Мониторные выключатели
Детекторы отказа горелки
Дистанционные
милливольтметры
Анализаторы: ,
счетчики рН
Общее
число
в
эксплуатации
1531
98
334
252
200
233
942
636
100
857
15
45
19
491
130
158
28
100 '
11
2579
772
479
1001
27
300
43
4
1192
549
9
CD CD
45
12
86
34
Число
приборов
в год
747
39,9
158
113
87,3
87,9
943
324
47,7
409
5,98
17,9
7,58
193
62
75,3
13,4
39,8
4,38
1225
369
227
477
10,7
142
30,9
3,4
575
259
3,59
2,39
6,39
21,3
4,78
39,0
15,8
Фактор
среды
2
2
1
1
1
3
3
3
3
3
4
—
—
4
4
4
4
4
—
3
3
3
2
4
3
4
4
1
2
—
3
—
Число
отказов
447
31
69
48
43
124
1069
559
48
137
13
67
116
327
106
124
3
94
30
425
191
92
13
4
124
67
33
164
87
4
0
0
36
8
331
93
Частота
отказов,
отказы/
год
0,60
0,78
0,44
0,42
0,49
1,41
1,14
ija
1,01
0,34
2,18-
3,75
15,3
1,70
1,71
1,64
0,22
2,36
6,86
0,35
0,52
0,41
0,027
0,37
0,88
2,17
9,70
0,29
0,34
1,12
—
1,69
1,67
8,49
5,88
273

Продолжение табл. f.3
Измерительные средства
и приборы
газожидкостные хромотогра-
фы
анализаторы 02
анализаторы С02
анализаторы Н2
анализаторы Н20 (пара в
газах)
инфракрасные анализаторы
жидкостей
измерители
электропроводности жидкостей
измерители
электропроводности воды в твердых телах
измерители жесткости воды
Линии лередачи импульсов
Приборы ввода данных
Общее
число
в
эксплуатации
8
12
4
11
3
3
5
3
3
1099
1231
Число
приборов
в год
3,43
5,67
1,9
5,04
1,38
1,43
1,99
1,2
1,20
539
609
Фактор
среды
—
—
—
—
—
—
—
—
3
—
Число
отказов
105
32
2Θ
5
11
1
33
17
13
416
84
Частота
отказов.
отказы/
год
36
5,65
10,5
0,99
8,00
1,40
16,7
14,2
10,9
0,77
0,14
Анакора, Энгель и Лии [10].
человека. Их важность заключается в следующем: на различных
предприятиях отказы оборудования оказались буквально
«загнанными под землю», и, если не учитывать ошибки человека и
отказы общего характера, в результате расчета можно получить
практически бессмысленные величины, относящиеся к безопасности,
такие, как показатель надежности, равный 10~39 год ~1.
Отметим, что вероятность конечного события меньшая этой
величины была получена при анализе безопасности по заказу
береговой охраны США. На рис. 6.9 помещены основные сведения по
оценкам частоты ошибок операторов. Видно, что оператор на
6.4. Частота отказов отдельных измерительных средств и приборов *
Приборы
Датчик давления типа:
А
В
С
Дифференциальный
датчик давления типа:
А
В
С
Число
отказов
в год
0,60
0,48
0,54
0,74
0,78
0,58
Приборы
Контроллеры типа:
А
в
С
D
Распределитель типа:
А
в
С
D
Ι Ε
Число
отказов
в год
0,37
0,38
0,52
0,44
0,50
0,49
0,53
0,53
0,47
1 (Скала [11]).
274

Частота ошибок
10-
10-3
зхю-
10-2
3X10-
зхю-2
их
ю-1
— 1,0
-1,0
10-
ю-
Виды деятельности
Выбор переключателя, управляемого с помощью ключа, а
не простого переключателя (это значение не учитывает
ошибки принятия решения в случае, когда оператор неправильно
воспринимает ситуацию и полагает, что данный ключ выбран
правильно)
Выбор переключателя (или двух переключателей), не
похожего по форме или по расположению на нужный
переключатель при условии отсутствия ошибки в принятии решения;
например, оператор включает переключатель с большой
рукояткой вместо малого переключателя
Обычная ошибка человека при выполнении операции
(например, неправильное считывание таблички и в результате выбор
ошибочного переключателя)
Обычная ошибка (упущение) человека, если в зале
управления отсутствует сигнализация о состоянии параметра,
упущенного оператором (например, отказ, связанный с
невозвращением испытательного клапана с ручным переключением в
исходное положение после завершения технического
обслуживания)
Ошибка типа упущения, когда упущенный предмет или
пункт инструкции является элементом процедуры, а не
находится в ее конце, как указывалось выше
Простые арифметические ошибки при проведении
самопроверки, но без выполнения повторных вычислений
При условии, что оператор дотягивается до неправильного
переключателя (или пары переключателей) и выбирает
похожий переключатель (или пару переключателей). Здесь X —
число неправильных переключателей (или пар
переключателей), расположенных рядом с нужным переключателем.
Формула \/Х применима, если имеется до пяти или шести
переключателей. При большем числе переключателей частота
ошибок уменьшается, так как оператор тратит в этом случае
больше времени, отыскивая нужный вариант. При числе
переключателей до пяти или шести оператор не думает об ошибке,
и поэтому более вероятно, что он не ведет тщательный поиск
При условии, что оператор дотягивается до неправильного
переключателя (или пары переключателей) клапана с
двигательным приводом (КДП), он не замечает по сигнальным
лампам, что КДП уже находится в требуемом положении, и лишь
изменяет состояние КДП, не осознавая неправильного выбора
переключателя
То же самое, что и выше, за исключением того, что
положение (я) неправильно выбранного (ых) переключателя (ей) не
соответствует (ют) требуемому (ым)
Если оператор ошибается в операциях с одним или двумя
близко расположенными друг к другу переключателями
клапана на каком-то шаге процедуры, он ошибается в операции и с
другим клапаном
Оператору монитора или дополнительному инспектору не
удается обнаружить начальную ошибку оператора.
Примечание. Такое большое значение частоты ошибок
неприменимо при наличии непрерывного контрольного сигнала об
ошибке на сигнальной панели
Персонал другой рабочей смены не проверяет
оборудование, если только не дается письменной директивы или
специального перечня для проверки
Рис. 6.9. Оценка ошибок операторов (документ WASH 1400)
275

Продолжение рис. 6.9
Частота ошибок
Виды деятельности
5Х10-1
•Х),2—0,3
С помощью монитора не обнаруживаются неправильные
положения клапанов и т. п. при проведении общей инспекции,
если только не используется специальный проверочный
перечень
Обычная частота ошибок при условии напряженной работы
оператора, при которых очень быстро происходят опасные
действия
6.5. Частота отказов измерительных средств и приборов
Раздел 1
Приборы
Отказ
Частота отказов, отказ/запрос
Клапаны:
с приводом от электро
двигателя
электромагнитный
с пневмоприводом
«обратный
предохранительный
ручной
Выключатели:
реле давления
концевой выключатель]
Измерительные
средства
Аккумуляторные батареи
Не срабатывает
Закупоривание
Не срабатывает
Закупоривание
Не срабатывает
Закупоривание
Не открывается
Не открывается
Закупоривание
Не срабатывает
Не срабатывает
Не срабатывает
Не обеспечивает
необходимой мощности
на выходе (в
резерве)
1Х10-3(2Х10-4—7X10-2)
ЗХ10-5(6Х10-5—ЗХ10-4)
1X10-3 (2Х Ю-5—6,5X Ю-3)
зхю-5
IX Ю-4(IX Ю-6—2Х10-2)
зхю-5
1Х10-4(2Х10-5—ЗХЮ"4)
1Х10-5(1,4ХЮ-5—ЗХЮ"4)
зхю-5 (зхю-4—зхю-6)
1ХЮ-4(5Х10-5—1Х10-3)
IX Ю-4(IX ΙΟ"5—7Х10-4)
отказов/год
0,0009(0,0026—0,53)
0,0026(0,0009—0,053)
Раздел 2
Приборы
Клапаны
Измерительные приборы
Число
отказов
102
50
Частота отказов
отказ/запрос
1X10-3
зхю-3
отказ/год
0,026
0,009
99,99% совершенен при выполнении рутинной работы, но
оказывается полностью бесполезным при чрезвычайных обстоятельствах.
276

6.6. Данные по отказам (документ WASH 1400)
Вид отказа
Электрическая муфта:
отказ в срабатывании
преждевременное
расцепление
Механическая муфта:
отказ в расцеплении
отказ в срабатывании
Стоп-стержни:
отказ при введении
(одиночный стержень)
Электродвигатель:
отказ в пуске
отказ в работе
отказ в работе
(экстремальные условия)
Реле:
отказ в обмотке
отказ в замыкании НО
контактов
короткое замыкание
между НО или НЗ
контактами
размыкание НЗ контактов
Выключатели:
концевой: отказ в
срабатывании
поворотный: отказ в
срабатывании
реле давления: отказ в
срабатывании
ручной: отказ в
перебросе контактов
короткое замыкание
контактов
Автоматические
выключатели:
отказ в срабатывании
преждевременный
переброс
Предохранители:
преждевременный разрыв
отказ в разрыве
Кабели:
обрыв
короткое замыкание на
землю
короткое замыкание на
источник питания
Трансформаторы:
обрыв обмотки
короткое замыкание
Полупроводниковые
приборы:
Медиана (оценка)
ЗХ10"4/запрос
1Х10-6/ч
ЗХ10-7/ч
Зх10"4/запрос
1Х10_4/запрос
ЗХ10"4/запрос
[ 1Х10-5/ч
1Х10-3/ч
1Х10"4/запрос
Зх10-7/ч
1Х10-8/ч
1Х10-7/ч
ЗХ10"4/запрос j
1Х10~4/запрос
1Х10~4/запрос j
1Х10~5/запрос 1
1Х10-7/Ч
IX 10_3/запрос !
1Х10-6/ч 1
1Х10-6/ч
1Х10_5/запрос
ЗХ10-6/ч !
Зх10"7/ч
1Х10-8/ч
1Х10-6/ч
1Х10-6/ч 1
Верхний и
1 IX ΙΟ"4
IX ΙΟ"7
ЗХ10-6
IX ΙΟ"4
ЗХ10-5
IX ΙΟ"4
зхю-6
IX ΙΟ"4
зхю-5
IX ΙΟ"7
IX ΙΟ"9
зхю-8
1Х10-4-
зхю-5-
Зхю-5-
зхю-6-
IX ΙΟ"8
зхю-4-
зхю-7-
зхю-7-
зхю-6-
IX ΙΟ"6
зхю-8
1хю-9-
зхю-7-
зхю-7-
нижний пределы
— IX ΙΟ"3
— IX Ю"5
— ЗХЮ"8
— IX ΙΟ"3
— зхю-4
— IX ΙΟ"3
— зхю-5
-1Х10-2
— зхю-4
-IX ΙΟ"6
-IX Ю"7
-310-7
-IX Ю-3
-зхю-4
-зхю-4
-зхю-5
— IX ΙΟ"6
-зхю-3
-зхю-6
-зхю-*
-зхю-5
— IX ΙΟ"5
— зхю-6
-1Х10-7
-зхю-6
-зхю-6
277

Продолжение табл. 6 6
Вид отказа
Медиана (оценка)
Верхний и нижний пределы
а) большой мощности:
отказы в функциониро
вании
короткое замыкание
б) малой мощности:
отказы в
функционировании
короткие замыкания
Насос:
отказ в пуске
отказ в работе
(нормальные условия)
Клапаны (КДП):
отказ в работе
(экстремальные условия)
несрабатывание
отказ открытого
состояния (закупоривание)
Клапаны (ЭПК):
внешние утечки или
разрывы
несрабатывание
Клапаны (КПО):
несрабатывание
отказ открытого
состояния (закупоривание)
внешние утечки
(разрывы)
Обратные клапаны:
несрабатывание
обратная утечка
внешняя утечка
(разрывы)
Вакуумные клапаны:
несрабатывание
разрыв
Дроссельные клапаны:
разрыв
Ручные клапаны:
отказ в открытом
состоянии (закупоривание)
Предохранительные
клапаны:
не открывается
преждевременное
открытие
Высокопрочные трубы
«3"):
разрывы в секциях
Трубы (<3//): разрыв
Прокладки: утечки
Фланцы, заглушки,
колена: утечки, разрывы
Сварные швы: утечки
ЗХ10-6/ч
1Х10-6/ч
1Х10-6/ч
lXlO-7/ч
1Х10-3/запрос
ЗХ10-5/Ч
1Х10"3/ч
1Х10_3/запрос
1Х10_4/запрос
1Х10-8/Ч
IX 10_3/запрос
ЗХ10"4/запрос
IX 10_4/запрос
lXlO-8/ч
1Х10_4/запрос
ЗХЮ-7/ч
1Х10-8/Ч
ЗХ10"5/запрос
lXlO-8/ч
lXlO-8/ч
1Х10-4/запрос
IX 10-5/запрос
ΙΧΐΟ-5/ч
1Х10-10/ч
1ХЮ"9/ч
Зх10-6/ч
ЗхЮ-7/ч
ЗХ10"9/ч
Зхю-7—ЗХ Ю-5
1ХЮ-7—1Х10-5
ΙΧΙΟ-7—1Х10-5
IX ΙΟ"8—IX ΙΟ"6
ЗХ10-4 —ЗХ10-3
зхю-6 —зхю-4
IX 10-
IX ΙΟ"2
зхю-4 —зхю-3
зхю-5—зхю-4
IX ΙΟ"9—ΙΧΙΟ"7
зхю-4 —зхю-3
1X10-4—IX Ю-3
зхю-5 —зхю-4
IX ΙΟ"9—ΙΧΙΟ"7
зхю-5 —зхю-4
ΙΧΙΟ"7—IX ΙΟ"6
IX ΙΟ"9— ΙΧΙΟ"7
ΙΧΙΟ"5—IX Ю-4
IX ΙΟ"9—ΙΧΙΟ"8
IX ΙΟ"9—ΙΧΙΟ"7
зхю-5 —зхю-4
зхю-6 —зх ю-5
ЗХЮ-6 — ЗХЮ-5
зхю-12 —зхю-9
зхю-11 —зхю-9
ΙΧΙΟ"7—IX ΙΟ"4
1Х10-8—1ХЮ-5
ΙΧΙΟ"10—ΙΧΙΟ-7
278

Продолжение табл. 6.6
Вид отказа
Дизельная установка:
не запускается
отказы в работе λο
Дизель (только двигатель):
отказы в работе λ0
Аккумуляторные батареи,
источники питания:
нет на выходе λ.
Измерительные приборы (с
усилением); индикаторы,
датчики (комбинации):
не срабатывают λ*
смещение настройки λ0
1
Медиана (оценка)
ЗХ10-3/Ч
ЗХ10"3/ч
ЗХ10-4/ч
Зхю-6/ч
1Х10-6/ч
ЗХ10-5/ч
Верхний и нижний пределы
ЗХ10-4 — ЗХ10-2
зхю-4 —зкю-2
ЗХ10-8 —ЗХ10-3
1Х10-6—1К10-5
1Х10-8—1К10-5
зхю-в — зхю-4
Кроме того любой член обслуживающего персонала, пользуясь
неправильными инструкциями для настройки, теоретически может
вывести из строя любую систему защиты предприятия, если только
в этой системе нет встроенных предохранительных средств.
Логические ошибки второго порядка, т. е. ошибочные действия,
предпринятые для исправления реальных (или воображаемых)
неполадок, являются очень распространенными и очень трудно
предсказуемыми.
Задачи
6.1. Там, где это возможно, провести сравнение данных по отказам,
приведенным на рис. 6.7 и 6.8 и в табл. 6.2—6.6.
6.2. Расположить следующие элементы в порядке ожидаемых значений
СНДО: человек, аккумуляторные батареи, чувствительные элементы,
газоанализаторы, клапаны, насосы, термопары и датчики.
6.3. Используя данные, приведенные в гл. 6, получить параметры отказов
для элементов системы подогрева воды из задачи 1.6.
6.4. Используя данные таблиц, приведенных в гл. 6, проверить данные по
отказам для каждой задачи из примеров гл. 13.
СПИСОК ЛИТЕРАТУРЫ
1. Green E. A Review of Systems Reliability Assessment, Generic Techniques
in Reliability Assessment, Henley E., Lynn J. (eds), Noordhoff Publishing Co.,
Leyden, Holland, 183, 1976.
2. IEEE Std. 500—1977, IEEE Guide to the Collection and Presentation of
Electronic and Sensing Component Reliability Data for Nuclear Power Generating
Stations, 1977.
3. Apostolakis G., Mosleh A. A Study on the Quantification of Judgement ANS
Topical Meeting on Probabilistic Analysis, Los Angeles, May 1978.
4. Proceedings of the Second Seminar on Reliability Data Banks, Stockholm,
March 1977. Available from FTL/MEL, FOA 3, 10450 Stockholm 80, Sweden.
5. Hecht L. O., Fragola J. R. Reliability Data Bases, A Review, IEEE
Standards, New York.
6. Al A. B. J., Capobianchi S., Luisi T. Perspectives for a European Reliability
Data System for Light Water Reactors, ANS Topical Meeting on Probabilistic
Analysis of Nuclear Reactor Safety, Los Angeles, August, 1978.
279

7. Green A. E., Bourne A. J. Reliability Technology, John Wiley and Sons,
Inc., New York, p. 538, 1972.
Литература к табл. 6.2—6.5
1. Hensley G. Measurement Control, 1, T72, 1968.
2. Hensley G. U. K. Atomic Energy Authority, Health and Safety Branch, Rep.
AHSB (S) R136, Risley, Lancashire, 1967.
3. Hensley G. U. K. Atomic Energy Authority, Health and Safety Branch, Rep.
AHSB (S) R178, Risley, Lancashire, 1967.
4. Hensley G. U. K. Atomic Energy Authority, Systems Reliability Service,
Rep. SRS/G 1/1, Culcheth, Lancashire.
5. Green A. E., Bourne A. J. U. K. Atomic Energy Authority, Health апд
Safety Branch, Rep. AHSB (S) Rl 17, Parts 1—3, Risley, Lancashire, 1966.
6. Green A. E., Bourne A. J. Reliability Technology, John Wiley & Sons, Inc.
New York, 1972.
7. Eames A. R. Nuclear Engng., 11 (118) March, 189, 1966.
8. Green A. E. U. K. Atomic Energy Authority, Health and Safety Branch,
Rep. AHSB (S) Rl 13, Risley, Lancashire, 1966.
9. Green A. E., Bourne A. J. U. K. Atomic Energy Authority, Health ami S<ifel·*
Branch, Rep. AHSB (S) R91, Risley, Lancashire, 1965.
10. Anyakora S. N., Engel G. F. M., Lees F. P. Chem, Engr., Lord 225,
396, 1971.
11. Skala V. Instrum. Technol., 21 (10), 27, 1974.
12. U. S. Atomic Energy Commission, Reactor Safety Study. An Assessment
of Accident Risks in U. S. Commercial Nuclear Power Plants. Appendix III.
Failure Data. WASH-1400, Washington, D. С 1974.

Глава 7
КОЛИЧЕСТВЕННЫЕ АСПЕКТЫ
АНАЛИЗА СИСТЕМ
7.1. ВВЕДЕНИЕ
В предыдущих главах говорилось о количественной оценке
исходных событий. В данной главе эти методы распространяются на
системы.
Успешную работу или отказ системы можно описать с помощью
комбинаций конечных событий, объединенных в составное дерево
отказов всех опасных состояний системы посредством логического
знака «ИЛИ» (рис. 7.1). При этом подразумевается, что система
функционирует успешно·. Однако появление данного конечного
события не всегда означает возникновение соответствующего
опасного состояния системы, хотя оно и подразумевает возникновение
отказа в системе. Вообще же можно анализировать данное
конкретное опасное состояние, как и успешную работу системы, с
помощью соответствующего конечного события и относящегося к
нему дерева отказов.
Можно определить следующие вероятностные параметры для
системы в целом. Их интерпретация зависит от того, относится ли
конечное событие к отдельному отказу системы или к сочетанию
всех отказов системы, объединенных логическим знаком «ИЛИ».
1. Коэффициент готовности системы As(t)—вероятность того,
что конечное событие не произойдет в момент времени t, т. е.
вероятность успешного функционирования системы, когда конечное
событие относится к сочетанию всех опасных состояний системы,
объединенных логическим знаком «ИЛИ». Это есть вероятность
того, что одиночного опасного состояния не возникнет, если
конечное событие является отдельным опасным состоянием системы.
2. Коэффициент простоя системы Qs(t)—вероятность того, что
конечное событие существует в момент t. Это есть вероятность
отказа системы или вероятность отдельного опасного состояния
системы в момент ty зависящего от определения конечного события.
Коэффициент простоя является дополнением коэффициента
готовности, поэтому справедливо следующее равенство:
As{t) + Qs(t)=l. (7.1)
3. Показатель надежности системы Rs (t)—вероятность того,
что конечное событие не случится в интервале времени (0; t].
Показатель надежности системы Rs{t) требует непрерывного
непоявления конечного события и отличается от коэффициента готов-
281

Η9Лее конечное
событие для
отказа системы
Дерево отказов
для опасного
состояния 1
1
Дерево отказов
для опасного
состояния Ζ
Дерево отказов
для опасного
состояния π
Рис. 7.1. Конфигурации из деревьев отказов для опасных состоянии
ности системы As{t). Справедливо неравенство
#s{t)<As(t). (7.2)
Показатель надежности часто используется для определения
катастрофических, или невосстанавливаемых отказов.
4. Показатель ненадежности системы Fs(t)—вероятность того,
что конечное событие случится до момента L Этот показатель
является дополнением показателя надежности. Справедливо
следующее равенство:
ЯЛО+^Л'Н!· (7.3)
Величина показателя надежности системы Fs(t) больше
коэффициента простоя системы или равна ему:
F*(t)>QAt)-
(7.4)
5. Плотность распределения отказа системы fs(t)— первая
производная от распределения отказа системы F8(t):
fs{t)=dFs{t)ldt, (7.5)
где fs(t)dt — вероятность того, что конечное событие случится в
интервале [i, t + dt) при условии, что оно не произойдет раньше
момента t.
6. λ8(ί) — условная интенсивность отказов системы, или
вероятность того, что конечное событие произойдет в единицу времени
в момент времени t при условии, что оно не существует в момент t.
Большая величина Xs(t) означает, что система вот-вот выйдет из
строя.
7. ws(t) — безусловная интенсивность отказов системы, или
вероятность того, что конечное событие происходит в единицу
времени в момент t;
w (t)dt— вероятность того, что конечное событие происходит в
интервале времени [/, t+dt).
282

8. Ws(t, t-\-dt) —предполагаемое число конечных событий в
интервале времени (i, t + dt]. Похожим на выражение (4.39) является
соотношение
Ws(t, t + dt)=ws(t)dt. (7.6)
9. Ws( tu t2) — предполагаемое число конечных событий в
интервале [tu t2). Оно определяется интегрированием безусловной
интенсивности от отказа w8(t):
Ws(*i> t^^ws(t)dt. (7.7)
10. СНДОя— средняя наработка до первого отказа —
ожидаемая длина интервала времени до конечного события.
Значение СНДОв аналогично средней продолжительности
жизни человека и удобно для предсказаний катастрофических
опасностей в системе. Оно представлено выражением
СНД05= ]tfs{t)dt. (7.8)
о
В этой главе обсуждаются преимущественно вопросы,
связанные с коэффициентом готовности и коэффициентом простоя.
Показатели надежности и ненадежности количественно оцениваются
в гл. 9. Если не указывается иначе, все первичные события
предполагаются независимыми. Сначала демонстрируются расчеты
коэффициента готовности As(t) и коэффициента простоя Qs(t) при
условии сравнительно простого дерева отказов. Затем обсуждаются
методы вычислений нижней и верхней границ коэффициента
простоя для систем Qs(t). Далее развивается так называемая теория
кинетики дерева, которая используется для количественной оценки
различных параметров систем для больших и сложных деревьев
отказов.
Для упрощения системы условных обозначений в книге
используются заглавные буквы В, В\, С и т. д. для представления как
исходных событий, так и их существования в момент t. Для
исходного события В вероятность Pr(S) определяется коэффициентом
простоя элемента Q(t), когда событие В является отказом
элемента. Веооятность Рт(В) становится априорной, если исходное
событие В характеризует воздействие со стороны окружающей среды
или ошибку человека.
Как показано на рис. 2.14 и 2.15 исходное событие является:
1) первичным отказом элемента, либо
2) вторичным отказом элемента, либо
3) воздействием со стороны окружающей среды или ошибкой
человека, которые дают неумышленный сигнал на элемент и
вызывают ошибочную команду элемента.
Для всех отказов элементов и неисправностей необходимо
определить виды отказов. Первичные отказы возникают в результате
283

естественного старения в пределах технических условий.
Воздействия со стороны окружающей среды, ошибки человека или
внутренние напряжения в системе должны быть выявлены как возможные
причины вторичных отказов, которые вызывают их переход в
состояние отказа. Эти виды отказов и возможные их причины позволяют
уточнить исходные события и являются необходимыми для
успешных количественных оценок надежности.
7.2. КОЭФФИЦИЕНТЫ ГОТОВНОСТИ И ПРОСТОЯ ДЛЯ ПРОСТЫХ
СИСТЕМ С НЕЗАВИСИМЫМИ ИСХОДНЫМИ СОБЫТИЯМИ
7.2.1. Независимые исходные события
Обычно принимается, что исходные события Ви ..., Вп являются
независимыми, т. е. появление данного исходного события никоим
образом не влияет на появление другого исходного события. Для
независимых исходных событий вероятность одновременного
существования Pr(Bl[]B2[]...f]Bn) сводится к
Рг (Вх П В2 П ... П Яя)=Рг (Вг) Рг (В2)... Рг {Вп\ (7.9)
где символ Π выражает пересечение событий Вх> ..., Вп (в прил. 7Л
дается обзор булевых операций и диаграмм Венна).
7.2.2. Система с одним логическим знаком «И»
Рассмотрим дерево отказов, показанное на рис. 7.2.
Одновременное наличие исходных событий Ви ..., Вп приводит к появлению
конечного события. Таким образом, коэффициент простоя системы
Qs(t) определяется вероятностью всех исходных событий в
момент t:
Qs (*)= Рг (Вг П В2 П ... П Вп)- (7.10)
=Pr(Z?1)Pr(£2)...Pr(Z?„). (7.11)
Для логического знака «И» с двумя входными событиями это
сводится к формуле
Q^HPr^OPr^). (7.12)
7.2.3. Система с одним логическим знаком «ИЛИ»
В соответствии с рис. 7.3 конечное событие происходит в
момент τ тогда и только тогда, когда по меньшей мере одно из η
исходных событий случится в момент L Таким образом,
коэффициент готовности системы As(t) и коэффициент простоя Q8(t)
определяются как
As{t)^PT(Bl(]B2{]...{]Bn); (7.13)
Qs(t)=Pr(Bl\JB2[)...\JBn)9 (7.14)
284

©Θ
Э©
Рис. 7.2. Дерево отказов,
образованное логическим знаком «И»
Рис. 7.3. Дерево отказов,
образованное логическим знаком «ИЛИ»
где символ U означает «объединение событий, а В\ выражает
дополнение события Βι, т. е. наличие события Вг означает
непоявление событий Βι в момент /. При независимости исходных событий
Ви ..^, Вп подразумевается также независимость
событий-дополнений Ль ..., Вп.
Таким образом, As(t) в формуле (7.13) можно записать как
As{t)=Pr(Bl)Pr(B2)...Pr(B~n)=\l-Pr(Bl)\\l-Pr{B2)]...
...[1-Рг(Д„)1. (7.15>
Коэффициент Бростоя Qs(t) можно вычислить при помощи
формулы (7.1):
Qs(t)=Pr(B1\jB2L/...\JBn)=l-As(t)=
= l-\l-Pr{B1)]\l-Pr(B2)]...\\-Pr{Bn)]. (7.16)'
Для л=2 имеем
Q5(0=Pr(51U^2)= (7.17?
=Рг (Вг)+Pr (B2) - Рг (Вг) Pr (β2). (7.18)
Другими словами, вероятность Qs(t) того, что по меньшей мере
одно из событий βι или В2 существует, равна сумме вероятностей
каждого из событий минус вероятность одновременного появления
обоих событий. Это показано с помощью диаграммы Венна на
рис. 7.4. Для я=3 получаем
Qs (*)- Pr (Вг U B2 U В3)=Рт (Вг) + Рг (В2) + Рг;(53) - Pr (fii) Pr (β2) -
- Рг (Βύ Pr (β3) - Pr (β3) Pr (Вг)+Рт (Вг) Рг (β2) Pr (β3). (7.19)
Определение коэффициента простоя проиллюстрировано на
рис. 7.5.
285

Рис. 7.4. Pr(Bl[)B2)=Pr(Bl) +
+ Pr(B2)-Pr(Bl)Pr(B2)
Рис. 7.5. Иллюстрация уравнения
(7.19) для Рг(В1[]В2[]Вг)
7.2.4. Система выбора типа т из η
Дерево отказов, показанное на рис. 7.6, относится к системе
выбора, которая вырабатывает выходной сигнал, если более чем т
элементов вырабатывают командный сигнал. Обычно система
выбора типа т из η находит применение в системах безопасности,
где желательно избежать дорогостоящих остановок, вызываемых
ложными сигналами от предохранительного контрольного прибора.
В качестве примера рассмотрим устройство выключения типа
«два из трех», показанное на рис. 7.7. Выключение системы
происходит, когда два из трех предохранительных контрольных
приборов вырабатывают сигналы на выключение. Рассмотрим случай,
когда система исправна и не требует выключения. Ненужное
выключение происходит, когда более двух контрольных приборов
безопасности вырабатывают ложные сигналы. Итоговое дерево
отказов показано на рис. 7.8, оно является частным случаем дерева,
изображенного на рис. 7.6.
Хотя логический знак выбора т из η (см., например, рис. 7.8)
можно преобразовать (как показано на рис. 2,10) с помощью
эквивалентов логических
знаков «И» или «ИЛИ», прямое
применение уравнений,
соответствующих
биномиальному распределению Бер-
Логичеспий симВол нулли, является
альтернативным аналитическим
методом.
Допустим, что все пер·
вичные события имеют
вероятность Q:
Конечное
событие
голосования
типа т из π
© (έ> *
Рис. 7.6. Система выбора типа
т из η
286

Состояние
системы
ι Командный сигнал1
|—-»»| Монитор 1γ
М- I Командный сигнал г.
Мониторгу—^ ■
Монитор 3 \
Командный сигнал 5.
Голосование
Выключение
Рис. 7.7. Система выключения типа «два из трех»
Pr(£,)=Pr(52)=...=Pr(S„)=Q.
С помощью биномиального распределения определяют
вероятности общего числа т благоприятных или неблагоприятных
исходов при известных вероятностях любого благоприятного исхода Q
и числа попыток п:
Рг(т:я, Q)=[n^Qm(l-Q)n-
(7.20)
Это уравнение выводится с помощью рассуждения о том, что
один из путей достижения т благоприятных исходов заключается
в получении т последовательных успехов, а затем (п—т)
последовательных неудач. Вероятность этой последовательности равна
Qm(j—Q)n-m Общее число последовательностей равно числу
комбинаций из η предметов, взятых из общего их числа т:
Τ
т)
т\ (п — т) !
Следовательно, Pr (m:n, Q) является суммой всех вероятностей^
и, таким образом, равенство (7.20) доказано. Применяя его к
проблемам надежности, необходимо уяснить, что конечное событие
происходит в том случае, если произойдет больше чем т из η
исходных событий. Таким образом, необходимо просуммировать
равенство (7.20) для всех k
успешных исходов
Q5(/) = Pr(/rc<£<tt)=
Нежелательное
выключение
2{,")<?<i-<»~*.
(7.21)
Рис. 7.8. Дерево отказов
системы выключения типа «два из
трех» (Bi — ложный сигнал от
монитора ι)
2ST

Конечное
событие]
Конечное
событие
©
©
Рис. 7.9. Дерево отказов для
системы типа «два из трех» [Рг(Bi)=Q]
Рис. 7.10. Дерево отказов,
образованное логическим знаком «ИЛИ»
[Pr(£i = Q)]
Ниже приводятся простые примеры, которые демонстрируют
тфименение метода, разработанного в предыдущих параграфах.
Пример 1. Система типа «два из трех». Определить коэффициент простоя
Qs(t) для конфигурации типа «два из трех», показанной на рис. 7.9, и
конфигурации с логическим знаком «ИЛИ», представленной на рис. 7.10.
Решение. Коэффициент простоя Qs(t) для дерева на рис. 7.9 определяем
выражением [см. формулу (7.21)]
QsdV)
-Θ*"·
Q)+ о Q3(1-Q)0=3Q2-2Q3.
(7.22)
Конечное]
\событце5
Значение коэффициента простоя Qs, 2 для рис. 7.10 получаем из выражений
(7.16) или (7.19):
Qs.2 (0=1 — (1 —0)3 -= 3Q — 3Q2+Q3. (7.23)
Таким образом, Qs,2—Qs,i=
= 3Q(1— Q)2>0 для 0<Q<1, и можно
заключить, что система безопасности с
конфигурациями типа «два из трех»
имеет меньшую вероятность ложного
выключения, чем более простая с
одним логическим знаком «ИЛИ».
Пример 2. Простые комбинации
логических знаков. Определить
коэффициент простоя системы, описанного с
помощью дерева отказов на рис. 7.11, при
значениях вероятностей исходных
событий, приведенных на дереве отказов.
Решение. Используя выражение
(7.16) для логического знака «ИЛИ»,
получаем
Pr (S0 = 1 — (1 — 0,05) (1 — 0,07) (1 —
— 0,1) = 0,20485.
Логический
знап»Ц»
0,Q1
Логические
знак "ИЛИ"
\ОЭ 0,09 0,09 0,05 0,07 0,01
Рис. 7.11. Простая комбинация
логических знаков
288

ι Л поглотителю
Отходящий
газ
-а-
X
-β
Очищенный
поток
-S7-2T
Рис. 7.12. Схема системы охлаждения и очистки отходящего газа:
/ — нагнетательный вентилятор; 2— сетчатая прокладка; 3 — циркуляционные насосы (два)
предварительной очистки газа; 4 — предварительный газоочиститель, 5 — водяной насос, 6 —
охладительные насосы (два)
Используя выражение (7.21) для логического знака голосования типа «два
из трех» // имеем
Pr(Sn)
3
Σ!
0,09^(1 — 0,09)3
(0,09)2(1 —0,09)
+
I 1(0,09)3(1—0,09)0=0,022842.
При помощи выражения (7.11), используемого для логического знака «ИЛИ»
///, получаем Qs(t) =Pr(S) = Pr(S1)Pr(S11)Pr(D) = (0,20485) (0,022842) (0,01) =
= 4,68X10-5.
Пример З. Система охлаждения и очистки газа [2]. Система, представленная
на рис. 7.12, предназначена для:
1) уменьшения температуры горячего газа с помощью водяного
охладителя;
2) отделения газа от водяных паров;
3) удаления твердых частиц, попавших в газ.
Упрощенное дерево отказа показано на рис. 7.13. Нагнетательный вентилятор
(Л), оба насоса холодильников (В и С), водяной насос (£>), оба
циркуляционных насоса (Е и F) или фильтрующая система (G) должны отказать, для того
чтобы произошло конечное событие S. Выражение, определяющее конечное
событие для данного дерева отказов, имеет вид
S=A[j(Bf]C)[jD[}(Ef]F)[jG. (7.24)
Определить коэффициент простоя системы Qs(/)=Pr(S), используя
следующие данные:
Рг (Л) = 0,9; Рг (В) = 0,8; Рг (С) = 0,7;
Pr(D) = 0,6; Рг(£)=0,5; Рг (F) = 0,4; Pr(G)=0,3. (7.25)
Решение. Выполним следующую последовательность вычислений:
Рг (ЯПQ =(0,8) (0,7) =0,56;
Рг (Ли (ЯПО) = 0.9+0,56 —(0,9) (0,56) =0,956;
Рг (Л [j(Bf] С) \jD) = 0,956 + 0,6— (0,956)(0,6) = 0,9824;
289

Огпназ
системы 5
Огпназ
нагнетательном
Вентилятора
τ
отказ
системы
охладительного
насоса
(5 (Ь
Отказ
водяного
насоса
¥
Отказ
системы
I циркуляционного
ι насоса
Отназ
фил 6 тра
τ
Рис. 7.13. Дерево отказов для системы охлаждения и очистки газа
Рг (ЯП'7) = (0,5)(0,4) =0,2:
Pr(A[J(B[)C) U0U (ЯП/7)) =0,9824+ 0,2 —
— (0,9824) (0,2) =0,98592;
Qs(t) = Pr(5) = 0,98592 + 0,3—(0,98592) (0,3) =0,990144.
7.2.5. Вычисление коэффициента готовности на основе
структурной схемы надежности
(7.26)
Структурная схема надежности является альтернативным
путем представления событий и логических знаков наряду с
деревьями успешной работы. Последние являются вариантом деревьев
отказов, в которых вершина дерева представляет успешную работу
системы, а отдельные события чаще являются также успешной
работой, а не состоянием отказа. Соотношение между этими тремя
формами представления систем лучше всего проиллюстрировать на
примере.
Вернемся к системе, показанной на рис. 7.12. На рис. 7.14
представлена структурная схема надежности, где нагнетательный вен-
тилятор_(Л), любой из охладительных насосов (В или С), водяной
насос {D), любой из циркуляционных насосов (Е или F) и
фильтрующая система (G) должны нормально функционировать, для
того чтобы система в целом работала.
Нагнетательный
насос
MB h
гШп
Водяной
насос
Фильтр
Рис. 7.14. Структурная
схема надежности для системы
охлаждения и очистки
отходящего газа
Охладительные Циркуляционные
насосы насосы
290

Система,
функционирует S
Ж
Фунпциониродание
нагнетательного
вентилятора
τ
ФунпиионироЗание
системы
охладительных
насосов
Фуннци ониробаниа
ооояного
насоса
ъ
Функциониро6ание\
системы
циркуляционных
насосов
Фу и ни ионирода/fUi
фильтра
ώ
Рис. 7.15. Дерево успехов для системы охлаждения и очистки отходящего газа
Рис. 7.15 представляет собой эквивалентную форму
структурной схемы, показанной на рис. 7.14 в виде дерева успехов. В
последней булевы логические элементы используются для
обозначения параллельных («ИЛИ») и последовательных («И») связей.
Логическая формула для дерева успехов примет вид
5=ЛП(Си£)П5п(?и£)П0\ (7.27)
тде Л, ..., G — события, соответствующие успешному
функционированию элементов Л—G, a S—событие, соответствующее
успешному функционированию системы. События Л, ..., G являются
дополнениями исходных событий Л, ..., G в дереве отказов, показанном
на рис. 7.13.
Так как система либо функционирует, либо отказала в момент
*, событие S в выражении (7.27) должно являться дополнением
к событию 5 в выражении (7.24). Эта дополнительная связь
между выражениями (7.24) и (7.27) может быть также выражена в
соответствии с правилом де Моргана; для таких систем, как
показаны на рис. 7.13 и 7.15, это правило означает, что если S есть
дополнение для S, можно получить S при помощи отрицательного
преобразования булевого выражения для S, т. е. выполнив^
взаимную замену знаков «И» и «ИЛИ» и заменяя Л на Л, β на Б и т. д.
Это можно доказать, проверив выражения (7.24) и (7.27) или
изучив рис. 7.13 и 7.15.
Коэффициент^готовности системы As(t) можно вычислить через
вероятность Рг(5) следующим образом. _ _
Из выражения (7.25) для примера 3 имеем Рг(Л) =0,1; Рг{В) =
= 0,2; Pr(C)=0,3; Pr(D)=0,4; Pr(£)=0,5; Pr(F)=0,6; Pr(G)=0,7.
Следовательно, As(l)=Pv{S) = (0,1)[0,3 + 0,2—(0,3) (0,2)](0,4) =
=[0,6 + 0,5— (0,6) (0,5)}(0,7) =0,009856.
Эти значения коэффициента готовности и коэффициента простоя
для предыдущего примера удовлетворяют равенству (7.1): As{t)-\-
+ Qs(t) =0,009856 + 0,990144=1.
Предыдущие примеры показывают, что:
291

1) структурная схема параллельного типа соответствует дереву
отказов, образованному логическим знаком «И», а структурная
схема последовательного типа — дереву отказов, образованному с
помощью логического знака «ИЛИ» (табл. 7.1); параллельная
структура элементов называется системой параллельного
типа, а последовательная структура — системой последовательного
типа;
2) методы определения коэффициента простоя при помощи
дерева отказов можно непосредственно распространить на определение
коэффициента готовности при помощи деревьев успеха, при этом
исходные события Ви ..., Вп следует заменить на их дополняющие
В\, ..., Вп в выражениях (7.9) и (7.16):
Pr (Si П Д>П · · · ПВп) = Ρ' Φι) Рг (В2).. .Рг (Вп);
Рг (Вх [}В2U · · · UВа) = 1 - [1 - Рг (В,)) [1 - Рг (52)].. .[1 - Рг (Вл)].
7.1. Структурная схема надежности и дерево отказов
Система


довательного
типа

Параллельного
типа
Структурная схема надежности
г~~®—ι
Отсутствие
конечного
события
Отсутствие
конечного {
_соо~ытия
Pr(B7nBz)=Pr(B;)PrfBz)
P^B^Bz)^(B1)-hPr(Bz)-p,(B1)P,(Bz)
Дерево отказов
Конечное \
событие Τ
Pr(B, uBz)=Pr(B7) +Pr(Bz}-
~Pr(B7)Pr(Bz)
конечное
со&ытие
Т\
® ©
Pf-(BjnBz)=Pr(Bj)Pr(Bz}
292

7.3. ОПРЕДЕЛЕНИЕ КОЭФФИЦИЕНТОВ ГОТОВНОСТИ И ПРОСТОЯ
ПРИ ПОМОЩИ ТАБЛИЦ ИСТИННОСТИ
В таблицах истинности приводятся все возможные сочетания
исходных событий, появляющиеся в результате конечных событий,
а также и соответствующие вероятности возникновения этих
сочетаний. Суммирование значений вероятностен в соответствующей
таблице дает коэффициент простоя системы Qs{t), а суммирование
дополняющих величин — коэффициент готовности системы As(t).
7.3.1. Система с одним логическим знаком «И»
Табл. 7.2 представляет собой таблицу истинности для системы,
показанной на рис. 7.16. Коэффициент простоя системы Qs(t)
приводится в строке 1: Qs(t) =Pr(В1)Рг(В2).
7.2. Таблица истинности для дерева отказов (рис. 7.16)
№
DO пор
1
2
3
4
Исходные события
θ,
Есть
»
Нет
в2
Есть
Нет
Есть
Нет
Конечное
событие
Есть
Нет
»
Вероятность
Рт(В[)?г(В2)
Рг(В{)Рг(В2)
Pr(S~L)Pr(£2)
PriBOPtiBl)
7.3.2. Система с одним логическим знаком «ИЛИ»
Система, показанная на рис. 7.17, представлена таблицей
истинности (табл. 7.3). Коэффициент простоя Qs(t) получаем путем
суммирования вероятностей взаимно исключающих строк 1, 2 и 3.
Qs (О = Рг (ВО Рг (В2) + Рг (Вг) Рг (Ё2) + Рг (В,) Рг (В2) =
= Ρτ(Βι)[\-Ρτ(Β2)] + [\--Ρτ{Βί)]Ρτ(Β2) + Ρτ(Βϊ)Ρτ(Β2) =
-РгСЯО + Ргф)—Рг^Ргф).
Это подтверждает уравнение (7.18)
?Р"™Р_4,_ С°стзвление таблицы истинно-
(7.28)
сти представляет собой утомительный, но
надежный метод определения коэффициентов
готовности и простоя не слишком сложных
систем такого типа, как это проиллюстрировано
на следующем примере.
ис 7.16. Дерево отказов, образованное
логическим знаком «И»
Рис. 7.17. Дерево отказов, образованное
логическим знаком «ИЛИ»
Конечное
событие
Конечное
событие
293

ПстпспА
Насос А'
Г.зтпри В
Насос В'
Фильтр А"\—ι
Фильтр В"\—I
Рис. 7.18. Два параллельных
технологических потока
7.3. Таблица истинности для дерева отказов (рис. 7.17)
α
о
о
с
1
2
3
4
Исходные события
Βχ
Есть
»
Нет
»
в2
Есть
Нет
Конечное
событие
Есть
Нет
Вероятность
Ρτ(Β{)Ρτ(Β2)
Ρτ(Βι)Ρτ{Β2)
Pr(Fi)Pr(B2)
Ργ(5Ί)Ργ(Β2)
В установке имеется два одинаковых параллельных потока — Л и В,
состоящих из одного магистрального насоса и ротационного фильтра (рис. 7.18).
Частоты отказов для насосов и фильтров соответственно равны 0,04 и 0,08 отказов
в день независимо от того, находится ли оборудование в работе или в резерве.
Примем, что СНДО для насосов и фильтров соответственно равны 5 и 10 ч.
Двумя альтернативными путями повышения коэффициента готовности
установки являются:
1) добавление третьего идентичного потока (рис. 7.19);
2) установка третьего магистрального насоса для перекачки жидкой глины
к любому фильтру (рис. 7.20).
Сравнить эффект, получаемый от этих двух схем, на способность установки
поддерживать:
а) полную производительность на выходе;
б) не ниже половины от полной производительности на выходе.
Решение. Приняв обычное предположение о постоянстве частот отказов и
ремонтов, установившиеся значения коэффициентов готовности для фильтра
и насоса определяем (см. табл. 4.10) как
СНДО 1/0,08
Л,*„Яитп\ = т~— . «~,~, = 0,9о8;
(фильтр) снд0 + спр Ι/0)08 + 10/24
А(насос)=
СНДО
1/0,04
СНДО+СПР 1/0,04 + 5/24
■=0,992.
Таким образом, установившееся значение вероятностей этих событий опреде*
ляем как
nJ™l*J^acocA' \-JpuabmpH\-y
\ФильтрЁ'г\-~f
Потом С
»| Насос g7]—*-\Фшгьтрсй\—*
Потом А
»4 Насос А ' I *J ФильтрА'Х-η
Η асе с В
Потом δ
Насос i
£^J ЩфильтрВгг\—'
Выход
Рис. 7.19. Три параллельных
технологических потока
Рис. 7.20. Дополнительный
резервный поток 1Y
294

Pr (Л") = Pr (£") = Pr (C") = 0,968;
Pr (A') = Pr (B') = Pr (C') = Pr (D7) =-. 0,992.
Рассмотрим существующую установку, показанную на рис. 7.18;
коэффициенты готовности для полной производной на выходе As(t) (полная) и для
половинной производной As(t) (половинная) имеют вид
As (О (полная) - Pr (A' f| Α" Π В' Π Я") =
= Рг (Л') Pr (A") Pr (Б') Рг (В") = 0,9682 X 0,9922 = о,922;
As (t) (половинная) = Рг ([Л' Π A"] U [В' (] В"]) -= Рг (Л' П Л")+
+ Рг(5'ПЯ") — Рг(Л'ПЛ")Рг(Я'Г|Я'')==
==Рг(Л,)Рг(Л,,) + Рг(5,)Рг(5,,)---Рг(Х,)Рг(Л",)Рг(В7)Рг(В,,)==
= 0,968 χ 0,992 + 0,968 X 0,992 — 0,968^ χ 0,9922 = 0,9984.
Если добавляется третий поток, то имеем систему типа «два из трех» для
полной производительности. Таким образом, используя формулу (7.21), получим
А3 (О (полная) = 3 [Рг<Л') Рг (Л")]2 [ 1 — Рг #') Рг (А")] + [Рг (А') Рг (Л7')]3 X
X [1 — Рг (А') Рг(Л")Р = 0,9954.
Для половины производительности имеем три параллельных элемента,
поэтому
Л, (0 (половинная) = 1 — [1 — Pr(J')Pr (Л")] [1 — Рг(Я')Рг(Л")] X
X [1 — Рг(С')Рг(С")] = 0,99994.
. Вычисление показателя надежности для конфигурации, показанной на
рис. 7.20, представляет собой проблему, потому что она содержит перекрестное
соединение и не может быть сведена к простой системе параллельного типа. Для
того чтобы составить перечень всех возможных состояний элементов и выбрать
все сочетания, которые дают полную и половинную производительность,
используем таблицу истинности (табл. 7.4). Коэффициент готовности для полной
производительности имеет вид
Лs (t) (полная) =- Σ Рг (строки 1,2,5,17) =
= Рг (А') Рг (А") Рг (В') Рг ("5") Pr (D') + Рг (Л7) Рг (Л") Рг (В') Рг (В") X
X [1 — Рг (В')] + Рг (Л7) Рг (Л7') [1 — Рг (В')] Рг (ΖΓ) Pr (D') +
+ [1— Рг (А')] Рт(А№)?т(В')Рт (B")Pr(D')= 0,93685.
Существует так много состояний, ведущих к половинной производительности,
что проще иметь дело с коэффициентом простоя Qs (половинная):
Qs(половинная) = Σ Рг (строки 11, 12, 14, 15, 16, 20, 22,
24, 27, 28, 30, 31, 34) = 0,001028.
Это дает следующий результат:
As (половинная) = 1 — Qs (половинная) = 0,998972.
Результаты суммируем в графах 2 и 3 табл. 7.5. Коэффициент готовности в
сочетании с экономическими данными по стоимости капитального оборудования
и производственным затратам, связанным с потерями продукции, позволяет про-
295

7.4. Перечень состояний для системы с дополнительным резервным насосом D'
(W — работает; F — отказал)
Состояние
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
А'
W
W
W
W
W
W
W
W
W
W
W
W
W
W
W
W
F
F
F
F
F
F
F
F
F
F
F
F
F
F
F
F
А"
W
W
W
W
W
W
W
W
F
F
F
F
F
F
F
F
W
W
W
W
W
W
W
W
F
F
F
F
F
F
F
F
В'
W
W
W
W
F
F
F
F
W
W
W
W
F
F
F
F
W
W
W
W
F
F
F
F
W
W
W
W
F
F
F
F
В"
W
W
F
F
W
W
F
F
W
W
F
F
W
W
F
F
W
W
F
F
W
W
F
F
W
W
F
F
W
W
F
F
D'
W
F
W
F
W
F
W
F
W
F
W
1 F
w
F
W
F
W
F
W
F
W
F
W
F
W
F
W
F
W
F
W
F
Производительность
полная
Да
Да
Нет
Нет
Да
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Да
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет

половинная
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Нет
Да
Нет
Нет
Нет
Да
Да
Да
Нет
Да
Нет
Да
Нет
Да
Да
Нет
Нет
Да
Нет
Нет
Нет
7.5. Сравнение расходов для трех установок
Установка
Существующая установка
Установка с резервным потоком
Установка с резервным насосом
A s (полная
0,922
0,9954
0,93685
A s
(половинная)
0,9984
0,99994
0,99897
Расходы
318,8 долл./день
234,7 долл./день
299,5 долл./день
вести экономические оценки. Если, например, полная стоимость насоса (включая
эксплуатацию, монтаж, и т. д.) составляет 15 долл. в день, фильтры обходятся
60 долл. в день, а убытки за счет потерь при прекращении производства полного
объема продукции и его половины соответственно составляют 10 000 и 2000 долл.
в день, то ожидаемые параметры можно вычислить по следующей формуле:
ожидаемые убытки в день (долл.) — п'Х 15 + η" χ 60 —
4-[1 — Л5 (половинная)] χ 1 3333 + [As (половинная) — As (полная)] χ 2030, (7.29)
296

рис. 7.21. Определение ожидаемых
потерь в день с использованием формулы
(7.29)
где η — число насосов, η — число
фильтров.
На рис. 7.21 иллюстрируется
применение полученной формулы. Отметим
следующее: величина 1— As
(половинная) пропорциональна времени работы
установки, в течение которого, как
предполагается, порисходит полная потеря
продукции, а разьость Аь
(половинная) — As (полная) пропорциональна
времени поризводства половинного
объема продукции Предполагаемые
расходы сведены в табл. 7.5. Видно, что
установка с резервным потоком является
наилучшим вариантом.
1 день
Отсутствия Половина
продукции
Полные
потери
Ютыс.далл.
1-А3
{половина)
А5(полобина)
продукции
Полобина
потерь
2 тыс. долл.
А*(палобима)
А5(лолный)
А$(лолный)
Полный
объем
продукции
\Отсутстдие\
потерь
О долл.
7.4. ОПРЕДЕЛЕНИЕ КОЭФФИЦИЕНТОВ ГОТОВНОСТИ И ПРОСТОЯ
ПРИ ПОМОЩИ СТРУКТУРНЫХ ФУНКЦИЙ
7.4.1. Структурные функции
Состояние исходного события или системы можно описать при
помощи вспомогательного переменного параметра. Если определяем
вспомогательный переменный параметр в двоичной форме У* для
описания исходного события t, то
Υι-
ψ (Υ):
(1, когда исходное событие происходит;
(О, когда исходного события не происходит.
Подобно этому конечное событие связано с бинарным
вспомогательным переменным параметром ψ (У), относящимся к
состоянию системы в соответствии со следующим выражением:
(1, когда конечное событие происходит;
[О, когда конечного собьтия не происходит.
Φ^^IУcΓ^У/1vчУ2, "" У") —вект°Р состояний исходного события,
кснеч! ιηΐη *> известна под названием структурная функция для
чпшо СООЫТИЯ.
Д1я пбпЪпеДИНеНИе событий и их пересечение (U и Л), используемое
ми спптй^еНИЯ со,четаний Д-1Я выражения связей между события-
обычны1 ,^БУЮТ °Улевьш операторам V («ИЛИ») и Д(«И») и
Замети ч/о РР?^?ИМР?ЙСТВИЯМ + И*· как показано в табл.7.6.
.ю, или вероятность поэтому Е( ) есть ожидаемое чис-
вилам°иПХ^0в?оайМИ V<? Λ можно обращаться в соответствии с пра-
гебраические выг?Л ры' Эти правила и соответствующие им ал-
V ические выражения приведены в табл. 7.7.
297

7.6. События, булевы и алгебраические операции
Событие
Βι
'B-t
Bi(\Bj
Bi\]Bj
вхп....пв„
в^-.-иВп
Операции
булева
Υί=\
Κ,· = 0
Г,ЛГу=1
Yl/\.../\Yn=\
kiV...vk„= ι
алгебраическая
r,= i
r, = o
ΥιΥ} = 1
1 - 11 - Yi] X
Х[1-Г,]=1
Yi X ... χ Υ η = 1
1-[1-ΪΊ]Χ...
...Х[1_Г„]-=1
Примечание
Событие ί существует
Событие i не
существует
Рг(В,-ПВ,) =
= £ (Г,- Л Yj)
Pr(B(UBy) =
= Е(Г,-VKy)
Рг (β, Π ... Π Β„) =
= £(ГХЛ ... ЛГ„)
Рг(В, υ··.υδ») =
= £(ΚιΛ...Λ Г„)
7.7. Правила для булевых преобразований
Законы
Равенство:
в ν в = в
В лВ = В
Коммутативные законы:
Вху Β2 = Β2\/ Βχ
Βχ Л В2 = В2 Л £ι
Ассоциативные законы:
^1 V (В2 V Яз) = (£l V В2)
вх л (В2 л я3) = (^ι л в2)
Дистрибутивные законы:
^Л (В2 V^3) = (^lA В2) V
^! v (B2ab3) = (b1v в2) л
Законы поглощения:
βχ Л (#! Л В2) =ВХЛ В2
Βλ ν (Βι л Я2) = #ι
Определения:
В л \=В
в л 0 = 0
θ ν о = я
V Яз
л въ
(ΒχΛ
(Вх ν
Яз)
Яз)
Алгебраическая интерпретация
и замечания
\-[l-Y][\-Y]=-.Y
ГГ= Υ
ι - Π - Υύ Π - r2] = ι -
-ti- ] [i — rj
YXY2 = Y2YX
Можно записать как Βι\ΖΒ2\ΖΒ3
Можно записать как Βχ/\Β2/\Β3
YiYfo = ΥχΥι
i-[i-n][i-r1r2] = r1
Υ · ! = Г
Г -0 = 0
1 —[I —Г ][1 —0] = Г
298

7.4.2. Представление системы в виде структурных функций
Конечное событие дерева с логическим знаком «И» на рис. 7.2
существует тогда и только тогда, когда существуют все исходные
события В\, ..., βη. Структурная функция для этой системы имеет
вид
Ψ(Υ)=Ψ(κ1, ν2,.·.,νη)=/\/ι=νιΛΥ2Λ··.<Υη, (7.30)
где У % — вспомогательный переменный параметр для исходного
события В{.
Структурная функция может быть выражена с помощью
алгебраических операторов (см. табл. 7.6)
Ψ(ν)-Π^=^ιΚ2,...,Κβ. (7.31)
Отказ в дереве с логическим знаком «ИЛИ» на рис. 7.3
появляется (конечное событие существует), если случается хотя бы одно
из исходных событий Ви В2, ..., Вп. Структурная функция для
данного случая такова:
Ψ(Υ) = νκ,. = κ1νκ2ν···ν^ (7.32)
1-1
а ее алгебраической формой является
Ψ(Υ)=ΐ —ΠΠ—^Л= i — ii—K^ii—κ2ι... [ΐ_κ„ι. (7.зз>(7:з4)
/-1
Если η на рис. 7.3 равно 2, т. е. для структуры из двух
последовательных событий,
ψ(Υ) = Κ1ν^2=1-[1-Κ1][1-Κ2]= (7.35)
=Y1 + Y2-YlY2. (7.36)
Этот результат аналогичен выражению (7.18), где У\У2
представляет вероятность появления пересечения двух событий В{ и В2.
Несколько более сложным примером является система
голосования типа «два из трех», показанная на рис. 7.8. Структурная
функция здесь такова:
Ψ (У)-(Уг Λ У 2) V (У 2 Λ У J V (У г Λ У ι), (7.37)
а ее алгебраическое выражение получается следующим образом:
Ψ(Υ)=ΐ-[ΐ-(Κ1Λ^2)][^Ληΐ[ΐ-(ηΛ>ΊΊ=
= 1-[1-Г1Г2]11-Г2Гз1[1-Г3Г11. (7.38)
Это равенство можно раскрыть и упростить при помощи закона
поглощения (см. табл. 7.7):
ф(¥)==1-11-ПП-Г2Гз-ГзГ1 + Г1Г2Г2Гз+Г2К3Г3К1+ ! Ί
+ r3rtr ХК2 - Υ,Y2Y,YZY,Y J = (7.39)
= ΥιΥ.2+Υ2Υ3 + ΥΆΥι-2ΥιΥ2Υ3, (7.40)
299

при этом закон поглощения
Г1Г2Г2Гз=Г2КзГзГ1=КзГ1Г1К,=Г1Г2Г2ГзГ3К1=Г1К2К3 (7.41)
использовался при переходе от (7.39) к (7.41).
Структурные функции можно получить последовательно шаг за
шагом. Например, структурная функция для дерева на рис. 7.13
представлена в следующем виде:
ЫГ)=УвЛГс = ГвУс; ЫП = Уе/\Уг=УеУг, (7.42)
где ψι (У) — структурная функция для первого логического знака
«И»; ^(Υ)— структурная функция для второго логического
знака «И».
Здесь Υβ есть вспомогательный переменный параметр для
исходного события β и т. д. Структурная функция для данного
дерева отказов такова:
ψ(Υ)=^νψι(ην^νψ2(ην^=ΐ-[ΐ-^1Ιΐ-Ψι(η]Χ
Х[1-УвУг\[1-Уо\. (7.43)
7.4.3. Вычисление коэффициента простоя
с использованием структурных функций
Важно уяснить вероятностный характер таких выражений, как
(7.36), (7.40) и (7.43). Если проанализировать систему в некоторый
момент времени Ρ и если при этом предполагается, что исходному
событию У г соответствует случайный переменный параметр Бер-
нулли, то ψ(Υ) также является случайным переменным параметром
Бернулли. Вероятность возникновения состояния, при котором
Υι= 1, равняется ожидаемому значению У/ и вероятности события β,·.
Рг(Г,.^1)=Рг (£,·)-£· (К,·). (7.44)
Следует заметить, что эта вероятность есть коэффициент
простоя Qi(t) или вероятность существования, зависящая от того,
является ли исходное событие 5г отказом элемента, ошибкой человека
или воздействием со стороны окружающей среды. Вероятность
конечного события, т. е. коэффициент простоя Qs(t), есть вероятность
Ρτ[ψ(Υ) =1] или ожидаемое значение £[ψ(Υ)]. Альтернативная
формулировка этого утверждения
Qs(t)=Pv(конечное событие)=Рг[ψ(Υ)= Ц=Е[ψ(Υ)]. (7.45)
Следующие три примера демонстрируют, как структурные
функции используются при анализе систем.
Пример 5. Система типа «два из трех». Сравнить коэффициент простоя для
системы голосования типа «два из трех» с этим коэффициентом для
двухэлементной системы параллельного типа при
Ε (Уг) = Ε (Г2) = Ε (Г3) = Q = 0,6. (7.46)
Решение. Для системы типа «два из трех» в соответствия с формулой (7.40)
имеем
300

Qs (t) = Ε (φ (Υ)) = Ε (ΥΧΥ2)+Ε (Υ2Υ3\+Ε(Υ3ΥΧ)-2Ε (YWs) = (7.47)
в=£(Г1)£(Г2)Н-£(Г2)£(Гз)+£(Гз)£(Г1)-2£(Г1)£(К2)£(Г3)= (7.48)
= 3χ0,62 — 2χ0,63=0,648. (7.49)
Следует заметить, что ожидаемая величина произведения независимых
переменных равна произведению ожидаемых значений этих переменных. Это свойство
используется при переходе от (7.47) к (7.48).
Для системы параллельного типа из формулы (7.36) имеем
Qslt) = EW(Y))=E(Y1)+E(V2)—Ε {Уг)Е(Г2) =2X0,6 —0& = ХМ.
Следовательно, для системы типа «один из двух» вероятность находиться
ъ сосюянин, когда происходит конечное событие, равна 84%. Для системы типа
«два из трех» эта вероятность равна только 64,8%.
Пример 6. Система охлаждения и очистки газа. Определить коэффициент
простоя системы Qs(t) для дерева отказов, показанного на рис. 7.13, приняв
коэффициент простоя для элементов в соответствии с формулой (7.25).
Решение. В соответствии с формулой (7.43) имеем
<М0 = £(Ψ (Ό) = 1 - £([1 - ΥΑ] [1 - YBYC) [1 - Yd) Π - YEYp\ Π - Υ ο]).
(7.j0)
Каждый множитель под знаком оператора ожидаемой величины данного
равенства имеет различные вспомогательные переменные, и эти множители
независимы, поскольку вспомогательные переменные принимаются независимыми. Таким
образом, выражение (7.50) может быть преобразовано в вид
Qs(t)= \- Ε(\-Υ А) Е(\ -YBYC) Е(\ -Υ D) Ε (\ -Υ EYF) E(\-YG) =
(7.51)
= 1 _ [1 —Ε (YA)] [\-E(YB)E(Yc)\ [Ι -Ε (Υ Ε)] [Ι -Ε(ΥΕ)Ε(ΥΡ)] χ
χ [Ι-Ε (Га)]. (7.52)
Мспользуя значения коэффициента простоя (7.25), получаем
Qs(t) = 1 -[1 -0,9] [1 -(0,8) (0,7)] [1 -0,6] [1 -(3,5) (0,4)] χ
Χ [1-(0,3)] = 0,993144, (7.53)
что подтверждает результат (7.26).
В отличие от (7.50) каждая вспомогательная переменная содержится
несколько раз в сомножителях выражения (7.38), являющегося структурной
функцией для системы типа «два из трех». Например, переменная Υ2 содержится
в [1—Υ\Υ2\ и в [1—Υ2Υζ\· Здесь нельзя использовать переход, который был
применен для преобразования (7.50) в (7.51), поскольку эти множители не являются
независимыми. Это подтверждается следующим выводом, который дает
некорректный результат:
Qs(t) = \-Ε(1-ΥιΥ2)Ε(1-Υ2Υ3)Ε(\-Υ3Υι) =
= l-[l-E(Yl)E(Y2)][\—E(Y2)E(Y3)][l—E(Y3)E(Yl)]. Подставим (7.46) в
полученную выше формулу; тогда Qs(t) = 1 —[1—0,62]3 = 0,737856, что противоре-
Пример 7. Нарисовать дерево отказов для случая полной
производительности для схемы с перекрестными связями, показанной на рис. 7.10, и определить
коэффициент простоя системы.
Решение. Сокращенное дерево отказов показано на рис. 7.22.
Рг (Л") = рг (β") =0,032; Рг (Л') = Рг (В') = Рг (£>') = 0,008;
0H0 = ^u^u(^n^)u(^n^)U(^n^);
А"\}В" -0/3? К),032 —(0,032) (0,032) = 0,062976. (7.54)
301

Отказ
δ достижении
полной
производительности
Рис. 7.22. Сокращенное дерево отказов для случая полной производительности
Три насоса составляют систему голосования типа «два из трех»; таким^
образом, можно использовать результаты равенства (7.40) и примера 1: (A'f\D')\J
11 (D'C)B') Μ (А'()В') = 3Qг·2—2 (Q /)3 = 3 (0,008)2—2 (0,008)3 = 0,000191. Таким
образом, Qs(t) = (0,062976) + (0,00191) —(0,062976) (0,00191) =0,06315.
Это подтверждает результат из табл. 7.5. Заметим, что если в выражение
(7.54) произвести простое алгебраическое перемножение и сложение без
использования булевого закона поглощения, то получится неправильный результат.
7.5. ОПРЕДЕЛЕНИЕ КОЭФФИЦИЕНТА ПРОСТОЯ ПРИ ПОМОЩИ
МИНИМАЛЬНЫХ АВАРИЙНЫХ ИЛИ МИНИМАЛЬНЫХ ПРОХОДНЫХ
СОЧЕТАНИЙ
7.5.1. Определение коэффициента простоя при помощи
минимальных аварийных сочетаний
В предыдущем разделе приведен метод составления структурных
функций для определения коэффициента простоя системы. В этою
разделе развивается другой подход, основанный на минимальных
аварийных сочетаниях и минимальных проходных сочетаниях.
Рассмотрим дерево отказов, имеющее следующие т
минимальных аварийных сочетаний:
{Вии В2Л,..., ВПхЛ) .-аварийное сочетание 1;
{#1,/, #2J,..., Bnjtj}: аварийное сочетание у;
302

Конечное
событие
Первое j-e-минимальное т-е минимальное
минимальное. сочетание сочетание
сочетание
Рис. 7.23. Представление минимального аварийного сочетания в виде дерева
отказов
{Z?lm, 52)Ш,..., ВПтуГП): аварийное сочетание т.
Обозначим через Yi,j вспомогательный переменный параметр для
события Bij. Конечное событие произойдет тогда и только тогда,
когда все исходные события в минимальном аварийном сочетании
произойдут одновременно. Таким образом, дерево отказов для
минимального аварийного сочетания на рис. 7.23 является
эквивалентом полного дерева отказов. Структурная функция для этого
дерева отказов имеет вид
Ψ(Υ) = .ν[Λ^/4 (7.55)
а ее алгебраическая форма определяется выражением
Ψ(Υ)= Vl II У,j Μ- Π Π- WY4 ■ (7-56)
Пусть kj(Y) есть структурная функция для логического знака
«И» G} на рис. 7.23:
Μγ> = Π>ν (7.57)
Функция kj(Y) есть структурная функция для /-го минимального
аварийного сочетания. Равенство (7.56) можно переписать в виде
303

ФаО=1-ПП-*у(П]. (7·58)
; = ι
Это равенство является важным, поскольку оно определяет
структурную функцию для дерева отказов через структуры
минимальных аварийных сочетаний kj(Y). Структурная функция \|)(YJ
может быть раскрыта и упрощена с помощью закона поглощения;
в результате получается полином, подобный выражению (7.40).
Коэффициент простоя системы Qs(t) можно вычислить, используя
формулу (7.45), как показано на следующем примере.
Пример 8. Система типа «два из трех». Определить коэффициент простоя
для системы голосования типа «два из трех», показанной на рис. 7.8.
Коэффициенты простоя для трех элементов приведены под номером (7.46).
Решение. Система голосования имеет три минимальных аварийных
сочетания:
{Ви В2}; {В2, Βό}; {Βό, Βχ]. (7.59)
Структурные функции для минимальных аварийных сочетаний kx(Y)y k2(Y), k3(Y)
kx(Y) = ΥιΥ2, k2(Y) = Y2Y3, *3(П = *Vi. (7.63а)
Таким образом, представление минимального аварийного сочетания с помощью?
структурной функции ψ(Υ) есть
ψ(Υ) = 1 - [1 - ΥΧΥ2] [1 - Υ2ΥΛ Χ Π - *Vi], (7·6*>>
что идентично формуле (7.48). Раскрываем данную структурную функцию и
получаем формулу (7.40). Коэффициент простоя системы определяем выражением
(7.49).
7.5.2. Определение коэффициента простоя при помощи
минимальных проходных сочетаний
Рассмотрим дерево отказов с т минимальными проходными
сочетаниями.
[BlyU B2v...t ВПи\}\ аварийное сочетание 1;
[Bhj, B2yJy..., Bnjj}: аварийное сочетание j;
{Bltrn, 52,m,···» Bnm.m}: аварийное сочетание т.
Обозначим через Y/j вспомогательный переменный параметр
для события Bij. Конечное событие происходит тогда и только
тогда, когда хотя бы одно исходное событие случится во всех
минимальных проходных сочетаниях. Таким образом, первоначальное
дерево отказов эквивалентно дереву отказов на рис. 7.24.
Структурная функция для этого дерева
Ψ(Υ) = Λ Vr<v
Алгебраической формой для этой функции является
т
У=1
1-П[1-^.Л
1=1
(7.61)
(7.62)
304

Пербое j-e минимальное гп-е минимальное
м и нимальное а дари иное а бар и иное
абарийное сочетание сочетание
сочетание
Рис. 7.24. Представление минимального проходного сочетания в виде дерева
отказов
.7 = 1 L /=1
у«\
(7.63)
Пусть PiCi) есть структурная функция для логического знака
«ИЛИ» Gj на рис. 7.24:
"J
PjW=i-l[[l-ri.j\·
(7.64)
/=1
Структурная функция может быть записана в виде
т
Ψ(Υ)=Π/>,(η. (7.65)
Эта функция ψ(Ύ) представляет минимальное проходное
сочетание, а функция Pj(V) есть структурная функция для /-го
минимального проходного сочетания. Представление минимального
проходного сочетания ψ(Υ) можно преобразовать и упростить с помощью
закона поглощения. Коэффициент простоя системы Qs(t) можно
вычислить, используя формулу (7.45), как показано на следующем
примере.
ример 9. Система типа «два из трех». Определить коэффициент простоя:
для системы голосования типа «два из трех», показанной на рис. 7.8.
Коэффициенты простоя для трех элементов приведены под номером (7.46).
30S

Решение. Система голосования имеет три минимальных проходных
сочетания:
{Blt В2}; {В2, ВА}; {Bit В,}.
Структурами для минимальных проходных сочетаний являются
Λ(Υ) = 1 —[1 —Гх] [1- Га] = Уг + У2~ Г^;
/72(Y) = 1 - [1 - у2] [1 _ Г3] = У2 + Г3- Г2Г3;
Λ(Υ) = 1 — [1 — Кз] [1 — Υύ = r3 + Г2- ГзГ!·
Представление минимальных проходных сочетаний в виде ψ(Υ)
Ψ (Υ) = [У ι + У2- У\УЯ [У 2 + Гз- У2У3] [Уз + Уг- У*У{\. (7.66)
Преобразование формулы ψ(Υ) дает ψ(Υ) =7ι72+^2^3+^3^ι—2ΚιΚ2^3, что
идентично выражению (7.40). Коэффициент простоя для системы, определяется
выражением (7.49).
7.5.3. Определение коэффициента простоя при помощи
частичного осевого разложения
Некоторые исходные события появляются в нескольких
минимальных аварийных сочетаниях. В этом случае множители [1 —
—kj(Y)] B формуле (7.58) больше не являются независимыми, и
равенство
т
£(ψ(Υ))=ι_Π Π-я (МП)]! (7.67)
несправедливо. По этой же причине из формулы (7.56) не следует,
что
т
£(ψ(Υ)) = Π E(PiW)· (7.68)
7-1
Одним из путей определения £(ψ(Υ)) является преобразование
функции ψ(Υ) и ее упрощение с помощью закона поглощения.
Однако этот процесс является утомительным, когда преобразуется
функция с большим числом членов. Этот процесс можно упростить,
если применить частичное осевое разложение.
Структурная функция ψ(Υ) может быть преобразована в вид
^φ(Υ) = Κίψ(1/ Υ) + (1-Κ/)ψ(0/> Υ), (7.69)
где ψ (1«, Υ) и ·ψ(0ί, Υ) являются функциями с двоичным значением,
которые получаются приравниванием ί-й переменной величины
единице и нулю соответственно. Эти двоичные функции можно
«вращать» относительно других вспомогательных переменных
параметров до тех пор, пока двоичные функции не будут состоять
только из независимых множителей; после этого £(ψ(Υ)) можно
легко вычислить. Этот прием демонстрируется на следующем
примере.
306

Пример 10. Система типа «два из трех».' Рассмотрим представление
минимальных проходных сочетаний по формуле (7.66). Можно записать
ψ(Υ) = Υχ [У2 + Гъ- Y2YU + ψ(Υ) = Yi№h. Υ)+[1 - Υύ ψ Χ
+ [1 - У ι] Υ2 [Υ2 + Υ3-Υ2Υ3] Ys= Χ <0lf Υ) = Κ!ψ(1, Υ) +
=Г1[Г24-Гз-Г2Гз]+[1-Г1]У2Г3+ +[!--*Ί] Г2·]/^, 12, Υ) +
+ [1 - ^ι] [Ι - ^2] 0; +[1 - У ι] [1 - Ь] «КОь 02, Υ).
Таким образом,
Ψ (Υ) = У ι [Υ2 +Ys- Y2Ys).+ Π - У ι] Υ2Υ*· (7.70)
Заметим, что Y\ и [К2+К3—К2К3] имеют различные вспомогательные
переменные параметры. Точно так же [1—Υ{\, Υ2 и К3 не имеют общих переменных
параметров. Таким образом, сомножители каждого из двух произведений в
формуле (7.70) являются независимыми, и ожидаемое значение £(ψ(Υ))
представляется в виде
Ξ^(Ύ)) = Ε(Υι)[Ε(Υ2) + Ε(Υ3)-Ε(Υ2)Ε(Υ3)) +
+ [\~Ε(Υι))Ε(Υ2)Ε(Υ3). (7.71)
Чтобы подтвердить (7.71), значение из равенства (7.46) подставляем в
формулу
<?(0 = £(ψ(Υ)) = (0,6)(0,6 + 0,6 — 0,62)+ (1-0,6)(0,6)2 = 0,648. (7.72)
Полученные результаты совпадают с равенством (7.49), что подтверждает
данный метод вычисления.
7.5.4. Определение коэффициента простоя при помощи
принципа включения — исключения
Определим событие di, как d-t — все исходные события,
происходящие в i-м минимальном аварийном сочетании в момент t.
Каждое конечное событие S можно выразить через di в виде
«> = U dt (Nc — общее число минимальных аварийных сочетаний).
(7.73)
Таким образом,
+ (-lfc-lPr(dlnd2r\...r\dNc). (7.74) (7.75)
Выражение (7.75) получилось при помощи так называемого
принципа включения — исключения; т-и член в правой части
формулы (7.75) определяет вклад в Qs(t), который вносят т из Nc
минимальных аварийных сочетаний, происшедших одновременно в
мент времени t\ другими словами, все исходные события в этих
нымИНИ1"аЛЬНЫХ аваРийных сочетаниях происходят. Очень
полезны собИСТВ°°М Ф°РМУЛЫ (7-^5) является то, что вероятность конеч-
χ ытии определяется по пересечениям, которые вычисляются
легче, чем объединения.
307

Для небольших систем сравнительно легко определить точные
значения Qs(t). Продемонстрируем это на следующем примере.
Пример 11. Система типа «два из трех». Определить Qs(t) для системы
голосования типа «два из трех» на рис 7.8, приняв значение коэффициента
простоя из равенства (7.46) и используя формулу (7.75).
Решение. Для трех минимальных аварийных сочетаний этой системы имеем
dl=Blf]B2; d2 = Bif]B^ аг^В3[\Вг.
Точное значение для Q»(t) согласно (7.75)
3 3 /-1 3 1-1 /-1
<?ло = 2 ργκ·)-Σ 2 ^(dif\dj)^^\ 2 Σ Pr(^n^n^) =
/ = 1 /=2 ; = 2 / = 3 /=1 k = \
= Pr (dx) + Pr (d2) + Pr (d3) - [Pr (^ П di) + Pr (d2 П tfз) + Рг (^з П d{f\ —
— Рг(^П^П^з); (7.76)
[A] [Pr (dx) + Pr (d2) + Pr (rf3)] = Q2 + Q2 + Q2 = ι ,08;
[B][Pr(^n^2) + Pr№n^3) + Pr(^3n^i)]=Q3 + Q3 + Q3 = 3,648;
[С]Рг№П^2П^з)=О3 = 0,216.
Таким образом,
Qs (0 = И] - [5] + [С] = 0,648. (7.77)
Это подтверждает равенство (7.49).
7.6. НИЖНИЙ И ВЕРХНИЙ ПРЕДЕЛЫ КОЭФФИЦИЕНТА
ПРОСТОЯ СИСТЕМЫ
Для большого, сложного дерева отказов вычисление точного
значения коэффициента простоя системы с помощью метода,
описанного в предыдущих разделах, занимает много времени. Когда
время для вычислений ограничено, можно определить нижний и
верхний пределы коэффициента простоя с помощью приближенного
метода, описанного в данном параграфе.
7.6.1. Определение верхнего и нижнего пределов
с использованием принципа включения — исключения
Выражение (7.75) может быть преобразовано в следующее
неравенство:
нижний предел верхний предел
"с Nc /-1 "с
2 рг μ - 2 2 Рг иn d>) < Q* 0 < ΣРг №)· (7·78)
Пример 12. Система типа «два из трех». Для примера 11 предыдущего
раздела имеем
ОЛО«п!п = [Л]--[Я] = 0,432;
0*(Отах = [Л] = 1>Э8.
Точное значение Qs{t) равно 0,648, и данные верхний и нижний пределы
неудовлетворительны. Однако для практических задач крайние значения для трех
308

значащих цифр обычно совпадают, так как коэффициенты простоя для элементов
обычно значительно меньше единицы
Пример 13. Система типа «два из трех». Вычислить Qs(t), Qe(0min и
φ* (0 max, приняв Q = 0,001 в примере 12.
Решение. С помощью формулы (7.76) имеем
[i4]=Q2+<?2 + <?2=3,3X 13-6;
[В] = Q2 + Q3 + Qi = з,) Χ 1Э-9;
[C] = Q* = 1,;)X 1,0-9.
Таким образом,
Qs(t) = W-[B] + [С] =2,9 8 χ 1Э-С;
ОЛОшт = И] - [^] = 2,997 χ 10-6;
ОЛОтах=И]=3,0ХЮ-6.
Здесь мы получили узкие нижний и верхний пределы.
7.6.2. Нижний и верхний пределы по Эзэри и Прсшану
Сосредоточим внимание на структурных функциях, которые
являются когерентными (монотонными). Инженерная интерпретация
этого определения такова: в когерентной системе появление отказа
какого-то элемента всегда приводит к деградации системы. При
формализованном подходе функция ψ(Υ) когерентна, если
1)ψ(Υ) = 1 при Г = (1,1,...,1);
2) ψ(Υ) = 0 при К = 0, 0,...,0);
3) ψ (Υ) >ψ(Χ) при У ι >Χι для всех /;
4) каждое исходное событие появляется хотя бы в одном
минимальном аварийном сочетании, при этом для когерентной
структурной функции правые части формул (7.67) и (7.68) дают верхний и
нижний пределы коэффициента простоя системы Qs(t) ,[4]:
«ρ Nc
Π^ίΡ/00) <QsV) < ι -Π [ΐ-£"(*/00)1. (7.79)
где Ν ρ — общее число минимальных проходных сочетаний.
Пример 14. Система типа «два из трех». Определить пределы по Эзэри и
Прошану для задач из примера 13 предыдущего раздела.
Решение:
kl(Y) = YlY2, k2(Y) = Y2Y3; MY)=r3ri;
ЛС*) = Yi+Yi-ΥιΥ*
PiCt) = Yf+Yi-YiYi\
p3(Y)=Y3+Yl-Y3Y1.
Так как E(Yt) =Ε(Υ2)φΕ(Υ3) =Q = 0,001, имеем
0*(Omin =(Q + Q-Q-]3 =7,988 XIЭ-9;
Qs (Omax = 1 - [1 - Q2J» == 3, Э Χ 1 JHJ.
309

Данный верхний предел близок к пределу, полученному при помощи процедуры
определения крайних значений, а нижний предел слишком «консервативен».
7.6.3. Определение нижнего и верхнего пределов
с использованием частичных минимальных аварийных
и проходных сочетаний
Допустим, что имеется N/ минимальных аварийных сочетаний
и Np' минимальных проходных сочетаний. Здесь N/ и Np'
принимаются меньшими, чем действительные числа минимальных
аварийных сочетаний Nc и минимальных пооходных сочетаний Np
соответственно. Структурная функция ψι,(Υ) для этих Ν/ аварийных
сочетаний
Л*'
ψ (Υ) = 1 —Π^Π —Λ/(Υ)]. (7.83)
L ζ-1
где ki(Y) — структурная функция для ί-го исключенного
минимального аварийного сочетания. Подобно этому структурная функция
ψι/(Υ) для Np проходных сочетаний
ЫУ)=Пр,00. (7.81)
Поскольку структурная функция ψι,ΟΟ имеет меньшее число
минимальных аварийных сочетаний, чем ψ(Υ), имеем
Ψί(Υ)<Ψ(Υ). (732)
Аналогично
Ψ(Υ)<<ΜΥ). (7-83)
Таким образом, £,[ψί,(Υ)]<:£'[ψ(Υ)]<:£'['ψΐ7(Υ)], или
Qs (i)m.n = Ε [ψ, (Υ)] < Qs (t) < Ε [ψ„ (Υ)] ^ Qs (/)mn. (7.84)
Пример 15. Система охлаждения и очистки газа. Вычислить Qs(t)mm, Qs(t)
и Qs (t) max для дерева отказов, показанного на рис. 7.13. Принять коэффициент
простоя для элементов в момент t равным 0,001.
Решение. Дерево отказов имеет пять минимальных аварийных сочетаний:
{Л}, {£>}, {G}, (Я, С}, {£, F] (7.85)
и четыре минимальных проходных сочетания:
{A, D, G, С, F], (Л, D, а, С, £}, (Л, £>, G, θ, /η,
{Л, £>, О, В, £}. (7.86)
Возьмем только аварийные сочетания {Л}, {£>} и {G} (пренебрегая сочетаниями
более высоких порядков) и два проходных сочетания {Л, D, (7, С, F) и {Л, Д £/г
В, Е}. Тогда
♦ (¥) = 1-[1-ГА][1-Гг]Ц-Г0][1-ГвГс][1-ГЕГ/?]; (7.87)
Ψ^ (Υ) = 1 — [1 — ΥΑ] [1 - YD] [1 - KG]; (7.88)
310

Ψν(Υ) = [1 —(1 — ΚΑ)(1 — ro)(l — Κ0)(1 — Гс)(1 — Κρ] χ
χ[1-(1-ΚΑ)(1-Κ0)(1-Κ0)(1-Κθ)(1-Κ£)] =
= 1-(1-КА)(1-Уг))(1-У0)(1-Ув)(1-Кя)-
-(l-YA)(l-YD)(\-Ya){l-Yc){l-rF) +
+ (1-КА)(1-К0)(1-К0)(1-1'д)(1-Кр(1-Ус)(1-К,). (7.89)
Таким образом,
Q5(0 = 1 —(0,999)3(3,999999)2 =2,998995 χ 1 э—3;
ОЛОшШ = 1 - (3,999)3 =2,9Э7 χ П-З;
<?*(Отах= 1 —(J,999)3—(),9Э9)5 + (Э,999)7=3,ЭЭ1 X Ю~з. (7.9Э)
Получены хорошие верхний и нижний пределы.
В качестве первого приближения разумно включить в N/
аварийных сочетаний только минимальные аварийные сочетания с
одним или двумя событиями.
Аналогично, в качестве Np' проходных сочетаний берутся
только минимальные проходные сочетания, содержащие наименьшее
число исходных событий. Так как в рассмотрение включается
меньшее число аварийных и проходных сочетаний, вычисления можно
упростить. Дальнейшие упрощения возможны, если удалить почти
непересекающиеся аварийные и проходные сочетания, поскольку
структурные функции ψυ(Υ) и грьРО можно развернуть в виде
полиномов с меньшим числом членов, причем каждый из них
состоит из независимых коэффициентов. Этот прием используется в
методе Монте-Карло с ограниченной выборкой, который описан в
гл. 12.
7.7. КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМ ПРИ ПОМОЩИ
МАШИННОЙ ПРОГРАММЫ ΚΙΤΤ
Предыдущие разделы были посвящены методам количественных
оценок коэффициентов готовности и простоя для сравнительно
простых систем. В этом разделе развиваются теория и приемы,
служащие для получения коэффициентов готовности и простоя,
ожидаемого числа отказов и ремонтов, условной интенсивности
отказов и ремонтов, начиная с минимальных аварийных и проходных
сочетаний для больших и сложных деревьев отказов. Будет
рассмотрена, включая некоторые детали, машинная программа КДТТ
(теория кинетики дерева) и показано, как параметры системы
могут быть «отгаданы» с помощью приближенных методов,
основанных на принципе включения — исключения. Чтобы сохранить
последовательность изложения, здесь представляется переработанный
ариант вывода, выполненного первоначально Везели.
7.7.1. Обзор программы ΚΙΤΤ
дерева^аММа ^ пРедставляет собой применение теории кинетики
Ρ , которая имеет дело с независимыми исходными событиями
311

(как восстанавливаемыми, так и невосстанавливаемыми) при
условии постоянства частоты отказов λ и частоты ремонтов μ. Однако
ограничений, обусловленных экспоненциальными распределениями
отказов и ремонтов, можно избежать, если использовать вариант
этой программы (ΚΙΤΤ-2), названный «фазовой задачей»; в этом
варианте допускается табличный ввод зависимых от времени частот
отказов и ремонтов. В программе ΚΙΤΤ в качестве входных данных
требуются также минимальные аварийные сочетания и
минимальные проходные сочетания. Допустимо использование
ограничивающих логических знаков.
Для каждого исходного события и аварийного сочетания
определены точные значения изменяющихся во времени показателен
надежности, в то время как для системы в целом показатели
определены с помощью приближенных значений в виде верхнего и
нижнего пределов, или крайних значений. Верхние и нижние пределы
обычно являются хорошими приближениями для точных значений
параметров. При использовании процедуры определения крайних
значений варьируемые верхние и нижние пределы можно получить
близкими друг к другу и таким образом определить точные
значения этих параметров для системы, если так пожелает пользователь
программы.
Вероятностные характеристики, их определения и перечень, а
также предполагаемое (большей частью асимтотическое)
изменение переменных параметров сведены в табл. 7.8 и 7.9.
Последовательность вычислений при помощи программы ΚΙΤΤ представлена
на рис. 7.25. Цифры на этой схеме обозначают формулы,
используемые для определения параметров.
Программа вычисляет w(t) и v(t), а затем Q(t), при этом
используется формула (4.64):
t
и>(0 = / (О + I /(*- и) ν (и) du; (7.91)
о
v(t) = $g(t — u)w (u)dv (7.92)
υ
В соответствии с определениями первый член в правой части
формулы (7.91) является «вкладом» в w(t) до первого появления
исходного события, а второй член является «вкладом» в w(t)
отказа, устраненного путем ремонта в момент времени и и затем
повторно случившегося в момент t. Аналогичную интерпретацию
можно дать формуле (7.92). Если требуется точное решение
уравнения (7.91), можно использовать метод преобразования Лапласа
(гл. 4, разд. 4.4.5). В программе ΚΙΤΤ используется численное
интегрирование.
Перед тем как перейти к аварийным сочетаниям и определению
характеристик системы, продемонстрируем использование этих
формул на простом примере одноэлементной системы. Показатели
надежности для элементов являются их внутренним свойством и в
312

первом приближении не зависят от сложности системы, в которой
они применяются. Порядок вычислений соответствует структурной
схеме, приведенной на рис. 4.17.
7.8. Параметры систем, определяемые при помощи программы KITT
Символы
Элемент
<?(0
w (О
»(0
МО
г <о,0
/(0
Аварийное
сочетание
Q*(0
w*(0
λ*(0
μ*(0
ιτ*(3 ο
κ* (Ο,ο
y*(0
Система
QHO
w*(0
МО1
λ ДО
μ* (Ο1
vr, (0, о
ΐΜΟ,ο1
Λ (О
Символ
κιττ
0
w
L
WSUM
—
Определение
Вероятность
состояния отказа в
момент t
Предполагаемое
число отказов за
единицу времени в
момент t
Вероятность
отказа за единицу
времени в момент t
при условии
отсутствия отказов в
момент t
Вероятность
одного или нескольких
отказов в
интервале времени (0, t)
Вероятность
одного или нескольких
отказов в
интервале времени (0, t)
Название
Коэффициент
простоя
Безусловная
плотность
отказов
Условная
плотность отказов

Предполагаемое число
отказов
Показатель
ненадежности 2
J Аналогичные параметры, относящиеся к ремонту, приведены в скобках.
2 Этот параметр не может быть получен с помощью программы KITT.
Пример 16. Используя структурную схему на рис. 4.17, вычислить
показатели надежности для невосстанавливаемого элемента 1 (с λι = 1,0Χΐ0~3 отказов
в час) при /=20; 500 и 1100 ч. Повторить вычисления, предположив, что
элемент является восстанавливаемым при ΟΠΡ=1/μι = 10 ч.
Решение. Анализ выражений (7 91) и (7.92) обнаруживает, что если элемент
является невосстанавливаемым, то g(t—и) и, следовательно, v(t) равны нулю.
1аким образом, второй член в правой части формулы (7.91) также обращается
в нуль. Первый член, т. е. ожидаемое число отказов в единицу времени в
момент t для постоянной частоты отказов, равен просто λβ~~λ/ [см. выражение
(4 85) ]. Таким образом, w (t) = f (t) ^ le~u\ ν (t) = 0
и. как и ранее [см. равенство (4.70)],
t t
Q(t) = H[w(u)-v(u))du = \ le-x"du = \ — e-xt. (7.13)
Ь о
313

7.9. Типичное поведение параметров системы с постоянными
Элемент системы
восстанавливаемый
Q (0 постоянно при
t > 3 СПР;
0(0 <1
w (0 постоянно при
*>ЗСПР;
w(0«X(0
λ (t) постоянно при
t >ЗСПР;
w (0.0-* °°
ПрИ t -*· оо
F (t) -+ 1 при t -*· оо
нер.емонтируемый
0(0 -*■ 1 ПРИ ^ -^ °°; ι
Q(0 =/(0 = ^(0,0 =
- I е-»
Со временем изменяется
λ(0 постоянно
IF (0.0^ 1 при *-* оо-;
1Г(0,О = /7(О=О(О
/ЧО- 1 при /40 =
ι =1^(0,0 = 0(0
Аварийное сочета
1 восстанавливаемой [
0* (0 постоянно при I
t - 3 СПР;
0 (0 < < 1
w* (0 постоянно при Ι
*>ЗСПР;
w* (0 ^ λ* (Ο
λ* (*) постоянно; 1
λ* (0 - w* (0
при * > 3 СПР
W* (0, 0 -* °° при / -* оо 1
Ζ7* (0 -> 1 при t -> оо
Для случая восстанавливаемого элемента необходимо вычислить интегралы
в формулах (7.91) и (7.92). Коэффициент простоя Q(t) можно определить по
формуле (4.70). Значения Q(t) и w(t) (полученные с помощью ЭВМ) приведены
в табл. 7.10.
При /=1100 для невосстанавливаемого элемента достигается 63,2% от
установившегося значения коэффициента простоя, равного Q(°o) = l, что согласуется
со средней наработкой до отказа (1000 ч) и средней продолжительностью до
ремонта [Т из выражения (4.114) становится равным СНДО]. В общем случае
установившееся состояние достигается при значении, во много раз превышающем
продолжительность ремонта, так как СПР обычно значительно меньше, чем
СНДО, а Г из выражения (4.114) почти равно СПР.
Для того чтобы подсчитать W(0, t) и У(0, t), проведем интегрирование:
Що, 0 = ]w(u)du\ V(b,f)=]v(u)du.
о
Численные значения для этого примера показаны в табл. 7.10.
Ранее отмечалось, что для случая с невосстанавливаемыми элементами
t
W(d,t)=$le-ludu = I-
о
Λ-λ/.
F (t) = показатель ненадежности,
314

частотами λ(0=λ и μ=(0 = 1/ΟΠΡ
ние системы
1 неремонтируемой
I Q* (0-* ι при * -* °°;
Q*(t) = F*(t) =
= W*(0,t)
Ι ш(0 увеличивается,
Ι затем со временем
] уменьшается
Ι λ* (Ο увеличивается
МИГ* (О,*)- 1 При *- оо;
\w*(0,t) = F*(t)=Q*(t)\
F*(t)-> 1 при t-> oo;
У1* (0 = W* (0, 0 =
= 0*(0
Система
восстанавливаема»
Qs(t) постоянно при
*>ЗСПР;
<М0<<1
ws (t) постоянно при
t > 3 СПР;
' λ5(0 постоянно при
ι > 3 СПР;
МО - *М'>
^5 (0 -*· °° ПРИ * -*· °°
^5 (0 — 1 При * -> оо
неремонтируемая
Qs (0 "^ * ПРИ *-*<*>;
Q* (0 = ^(0 = ^(0,0
ws(t) увеличивается,
затем со временем
уменьшается
λ5 (Ο увеличивается
Ws (0, 0 -* 1 при t -> оо;
^(0,0 = ^(0 = <ЗЛ0
^5 (0 "*" 1 ПРИ * "*" °°\
^ЛО = ^ЛО-0 = 0*(0
что несправедливо для восстанавливаемой системы, поскольку вероятность первого
отказа отличается от ожидаемого числа отказов. Это происходит потому, что
элемент ремонтируется лишь в течение доли общего времени. Показатель
ненадежности F(t) должен стремиться к единице, a W(0, t) может быть больше
единицы.
7.7.2. Параметры для минимального аварийного сочетания
Аварийное сочетание реализуется, если все исходные события
происходят в этом аварийном сочетании. Вероятность
возникновения аварийного сочетания в момент времени t, Q*(0 получаем при
определении пересечения исходных событий [см. равенство (7.9)]
Q* (0 = Рг (В, П В2П ... П Вп) =VQ/ (0, (7.94)
где η — число членов аварийного сочетания, a Qj — вероятность
у-го исходного события, имеющего место в момент t.
315

Плотности /t· (t), g^ (t) f
для ί-εΰ элемента
L = 7,...,m
ω£ (t), VL (t)j Wc (0, t); VC (0, t), QL(t), XL (t);juc Ш
Вычисляются
по схеме (рис. 4. 77)
(7.117)
(7.37)
W*(t)
(г 94)
Q*(t)
mm)
(198) I
Л*(±)
Ws(V(t)
(7.105)
WB(t)
J (7.116)
Qs(V
Принцип
Внлючения-
исплючения
(7104)или (7.105}
Qs,maxfQs,mLn
(7.110)
WS(nWStmaXjWSjmin
Л5 (^К5>ГпаХзК5з mir,
(7.120)
Рис. 7.25. Последовательность вычислений в программе KITT
На примерах 17, 18 и 19 демонстрируются процедуры
вычисления параметров аварийного сочетания для систем
последовательного и параллельного типа и для системы типа «два из трех».
Пример 17. Вычислить показатель надежности для аварийных сочетаний для
трехэлементной системы, восстанавливаемой и невосстанавливаемой,
последовательного типа при / = 20; 500 и 1100 ч, если элементы имеют следующие хаоак-
теристики:
Элемент 1
λ!=10-3, μ-!—=1/10
Элемент 2
ю-3,
1/40
λ2 = 2>(
Элемент 3
х3=зх ю-\
1*3= 1/60
316

7.10. Результаты вычислений для примера 16
λ,=
/
20
500
1100
λ,=
/
20
500
1100
ΙχΙΟ—^
w(t)
9,80199Х10-4
6,06531Х10-4
3,32871x10-4
= ΐχΐο—3
W (0,/)
1,98013x10-2
3,93469x10-1
6,67129x10-1
СПР^оо 1
Q(0
1,98013X10-2
3,93469X10-!
6,32121X10-!
СПР^оо
^(О,0
0,0
0,0
0,0
| λ, = ιχΐο—3
w{t)
9,91412X10-4
9,90099Х10-4
9,90099Х10-4
| λ, = ΐχΐο-3
W(0,t)
1,98870x10-2
4,95148x10-1
1,08921X10°
СПР, = 10
Q(t)
8,58757хЮ-з
9,90099X10-3
9,90099X10-3
СПР, = 10
V(0,t)
1,12994x10-2
4,85247χ10-ι
1,07931X10°
Решение. Для данной конфигурации имеются три аварийных сочетания;
каждый элемент представляет аварийное сочетание. Таким образом, Qi* (^) =
= Qi(0» Q2*(0 = Q2(0, 0з*(0==0з и т. д. Параметры для элемента I были
вычислены в примере 16. Для двух других элементов (аварийных сочетаний)
составлена табл. 7.11.
7.11. Результаты вычислений для примера 17
λ2 = 2χ10~~3 , τ = 0 (невоссманавливаемыГ·)
/
20
500
1100
w*(0
1,92158X10-3
7,35759x10-4
2,21606x10-4 ι
I
Q*(0
3,92106x10-2
6,32121X10-1
8,89197XlO-i
W*(0,t)-F(t)
3,92106X10-2
6,32121X10-1
8,89197X10-1
/
20
500
1100
λ2=2χΐ0~3
w'(0
1,93818x10-3
1,85185x10-3
1,85185x10-3
, СПР=40 (воссчанавливаемый)
Q4t)
3,09075X10-2
7,40741X10-2
7,40741x10-2
W*(0,t) = F(i)
3,93265X10-2
9,31413X10-1
2,04252X10°
λ3=3χ10 3 , τ3 = 0 (невоссманавливаемый)
t
20
500
1100
w^t)
2,82530x10-3
6,69390x10-4
1,10650X10-4
Q*(t)
5,82355x10-2
7,76870X10-1
9,63117XlO-i
W* (0,o=/?(O
5,82355X10-2
7,76870X10-1
9,63117X10-1
317

Продолжение табл. 7.11
λ3=3χ10-3 , СПР=60 (восстанавливаемый)
/
20
500
1100
w*(t)
2,85118Х ΙΟ"3
2,54240X Ю-3
2,54237Х10-3
Q*(t)
4,96062x10-2
1,52534x1ο-1
1,52542Χ ΙΟ"1
W*(0, t) = F{t)
5,84145x10-2
1,29445X10°
2,81988X10°
Система параллельного типа из η элементов имеет аварийные
сочетания в виде В\, В2, ..., Вп. Таким образом, вычисление Q*(t)
не представляет труда, поскольку Q*(t)=Q\(t)Q2(t) ... Qn(t).
Однако для того чтобы определить w*(t) и λ*(ί), необходимо рас·
пространить эти теоретические выкладки на соответствующие
соотношения. Прежде всего рассмотрим параметр λ* (t), который
определяется вероятностью появления аварийного сочетания в единицу
времени в момент t, при условии отсутствия аварийного сочетания
до момента L
Таким образом, %*(t)dt есть вероятность того, что аварийное
сочетание реализуется в интервале времени [t,t+dt] при условии,
что сочетание не имеет места в момент t:
х*(/)л=Рг(С*(/, /+Л)1с*(/)Н
Рт (С* (t ,t+dt))
Pr(C*(*, t+dt)f)C*(t))
Pr (С* (г))
Рг(С*(0)
(7.95)
где C*(t,t+dt) представляет событие появление аварийного
сочетания в интервале [t,t+dt], a C*(t) есть событие непоявление
аварийного сочетания до момента t.
Последнее равенство справедливо, так как C*(t,t+dt)
подразумевает C*(t), т. е. аварийное сочетание может реализоваться в
интервале (t+dt) в том случае, если оно не имело места в момент L
Числитель равен w*(t)dt. Как показано в прил. 7.2, формулу (7.95)
можно записать в виде
2 *>* (0 dt Π
λ·(/)Λ= —ίίΖ.
w 1— Q*(i)
(7.96)
Каждый член под знаком суммы в выражении (7.96)
представляет собой вероятность возникновения /-го исходного события в
интервале [t,t + dt) вместе с остальными исходными событиями, уже
имеющими место в момент t. He более одного исходного события
происходит в малом временном интервале [t,t + dt), поэтому
членами, характеризующими вероятность возникновения нескольких
исходных событий, пренебрегаем. Знаменатель в правой части
318

уравнения (7.96) представляет собой вероятность несуществования
события «аварийное сочетание» в момент t
Ожидаемое число появлений аварийного сочетания в единицу
времени в момент ί, τ. е. w*(i), равно числителю из формулы (7.95),
деленному на dt, и определяется выражением
w-(t)=^wJ(t)f[Ql(t). (7.97)
У-1 /-1
Таким образом, λ*(/) в формуле (7.96) определяем через
параметры w*(t) и Q*(t):
l*(t) = wm{t)/[l-Qm{t)]. (7.98)
Подобная формула справедлива для μ* (0 и ό* (t), т. е. υ* (t)
можно вычислить как
^w-J^mvUv-qm (7·">
/-1 /-1
а μ* (0 определяем по выражению
μ· (/)=*· (/}/Q*(/). (7.100)
Интегральные величины W*(Q, t) и V*(0, t), как и ранее,
определяем из дифференциальных параметров w*(t) и υ*(ί):
t
11^*(0, /) — ^wm(u)du; (7.101)
ύ
ί
1/*(0, /)= \v*(u)du. (7.102)
ό
Эти формулы применяются в примере 18 для простой системы
параллельного типа и в примере 19 для системы голосования типа
«два из трех».
^ Пример 18. Вычислить параметры аварийных сочетаний для
восстанавливаемой и невосстанавливаемой систем параллельного типа, состоящих из двух
элементов (1 и 2) из примера 17 при / = 20; 500 и 1100 ч.
Решение. Применяя формулу (7.94) к двухэлементному аварийному
сочетанию {1, 2}, имеем Q*(t)=Qi(t)Q2(t). Для восстанавливаемой системы при t =
= 20 ч
Q* (t) = (8,58757χ10-3) (3,09075χ 10-2) = 2,65420χ 10-4.
Из формулы (7.97) w*(t)=wl(t)Q2(t) + w2(t)Ql(t); таким образом, для
восстанавливаемой системы при / = 20 ч
w* (0 = (9,91412χ10~4)(3,09375χ10-2)χ(1,93818ХЮ-3) (8,58757x13-3) =
= 4,72864x10-5.
мойФс°иРстеЛЫ (7'98) я*(0 = да*(0/[1—Q*(/)]. При t=20 ч для восстанавливав-
_ ч 4,72864x10-5
λ* (0 =:—ТТ^ : = 4,72989x10-5.
1—2,6542 JX 10-4
319

Другие дифференциальные параметры v*(t) и μ* (О вычисляем по
формулам (7.99) и (7.100). Интегральные параметры W*(0, t) и V*(0, t) легко
определяются с помощью выражений (7.101) и (7.102). Часть полученных результатов
приведена в табл. 7.12.
7.12. Результаты вычислений для примера 18
t
Q*(t)
W40
λ*(0
W* (0,/)
Восстанавливаемая система
20
500
1100
2,65420X10-4
7,33405X10-4
7,33407X10-4
4,72864X10-5
9,16758x10-5
9,16758Х10-5
4,72989x10-5
9,17431X10-5
9,17431X10-5
5,78476x10-4^
4,29513x10-2
9,79553x10-2
Невосстанавливаемая система
20
500
1100
7J6421X10-4
2,48720X10-1
5,93209X10-1
7,64839X10-5
6,72899X10-4
4,43828X10-4
7,65434Х10-3
8,95670x10-4
1,09105Х10-3
7,73524X10-4
2,48685X10-1
5,93169X10"!
Как и ожидалось, конфигурация параллельного типа (резервированная)
более надежна, чем одноэлементная система из примера 17. Для случая невосста-
навливаемой системы Q*(t) = W*(0, t), а для восстанавливаемой системы
b*(t)=w*(t), так как Q*(/)< <1.
Пример 19. Вычислить параметры аварийных сочетаний для
восстанавливаемой и невосстанавливаемой систем голосования типа «два из трех», состоящей
из трех элементов из примера 17 при £ = 20; 500 и 1100 ч.
Решение Дерево отказов для этой системы представлено на рис. 7.8, а
аварийное сочетание легко находим как /Ci = {l, 2}; /С2={2, 3}; /Сз={3, 1}.
Показатели надежности для сочетания Κι были определены в примере 18. Параметры
для двух других аварийных сочетаний, взятые из расчета на ЭВМ, приведены
в табл. 7.13.
7.13. Результаты вычислений для примера 19
/ <?*(/) w*(0 λ*(0 w*(0,t)
Невосстанавливаемая система /Сг(2,3)
20 2,28344Х10-3 2,22685Х10"4 2,23195Χ10"4 2,26929χ10"3
500 4,91075X10-1 9,94725ХЮ"4 1,95456χ10~3 4,90962χ10"ΐ
1100 8,56400X10-1 3,11*822Χ ΙΟ"4 2,17147XlO~3 8,56291 Χ10"1
Восстанавливаемая система /С2(2,3)
20 1,53321Χ10-3 1,84269x10-4 1,84552χ10"4 1,96798Χ ΙΟ"3
500 1,12988x10-2 4,70796Χ10"4 4,76176χΐ0"4 2,15316x1ο-1
1100 1,12994X10-2 4,70810Χ10~4 4,76191 Χ ΙΟ"4 4,97799x10-*
Невосстанавливаемая система /Сз(3,1)
20 1.15314Χ10-3 1,13027Χ10-4 1J3157X 10~4 1,14742Χ ΙΟ"3
500 3,05674x1ο-1 7,34580Χ10~4 1,05798χΐ0"3 3,05619X10-*
1100 6,42523x1ο-1 3,94411 Χ 10~4 1,10332χ10"3 6,42466x10-*
320

Продолжение табл. 7.13
Восстанавливаемая система /Сз (3,1)
20 4,25966 XI О"4 7,36649 XI О"5 7,36963x10"5 8,22654x10"4
500 1,51024Х10-3 1,76196Х10"4 1,76463χ10~4 8,03189Χ10"2
1100 1,51032Χ10-3 1,76204χ10"4 1,76471 Χ ΙΟ"4 1,86040x1ο-1
Эти результаты не являются неожиданными. Средняя наработка до отказа
для элементов такая, что СНД03<СНД02<СНД01; следовательно, можно
ожидать, что для невосстанавливаемой системы w2*(t) <до3*(0<а,1*(0> и такой
результат действительно подтверждается1: 3,11822Х 10~4<3,94411 X 10~4 <
<4,43828Χ 10~4 (при /=1100 ч). Для случая восстанавливаемой системы
коэффициент простоя является более важным параметром, и на самом деле видно,
что Q2*(0>Q3*(0>Qi*(0: 1,12994Х10-2>1,51032Х10-3>7,33407Х10-4. Более
длительные продолжительности ремонта для более надежных элементов
фактически приводят к увеличению коэффициента простоя системы. Дополнительно
следует заметить, что система, состоящая из элементов с постоянными частотами
отказов или постоянными условными интерсивностями отказов λ, необязательно
имеет постоянную условную интенсивность отказов λ*. Кроме того, видно, что
в отличие от элемента, для которого w(t) уменьшается со временем, w*(t)
сначала на короткое время увеличивается, а затем снова уменьшается.
Программа KITT в качестве входных данных допускается как
проходные сочетания, так и аварийные сочетания, при этом
вычисления в обоих случаях производятся подобным образом. Здесь
этот вариант не обсуждается.
7.7.3. Коэффициент простоя системы Qs[t)
Как и в разд. 7.5.4, события dt определяются как все исходные
события в i-м минимальном аварийном сочетании, имеющем место
в момент t.
Развернутое выражение (7.75) из разд. 7.5.4 было получено при
помощи принципа включения — исключения. Выражение (7.75)
можно также записать в виде
"с Nc /-1
Qs^ = 2Pr(rf^-22Pr^n^)+...+
/-1 /=2;=1
+ (-1)—1 2 Pr(rf/inrf/.n-nrf/m) +
1</1</2<...</m<^
+ (-lfc-1Pr(d1r\d2(]...f)divc). (7.103)
При этом т-й член в правой части формулы (7.103) является
вкладом в Qs(t) от т минимальных аварийных сочетаний, имеющих
место одновременно в момент L Таким образом, выражение (7.103)
га ν ; ^еКС ' у .параметра для аварийного сочетания означает, что он
относится^ у-^му аварийному сочетанию. Аварийные сочетания: 1 — {1, 2}; 2- (2, 3>
11—533
321

можно записать в виде
"с Хс 1-1
/ = i / =2 / = 1 /, j
+ (-1)*-ι V Π Q(;)4-... + (-l)AW Π Q(i\
1 </,</,<...< im<Nc /ie../m /а-./Д^
(7.104)
где П есть произведение Q(Y) для исходных событий в ава-
рийном сочетании U, или ί2 · · ·, или im.
Формулу (7.78) для верхнего и нижнего пределов можно
записать в следующем виде:
Nc Nc ,·_! Nc
2^w-2 2 Псе) <оло <2q;w- (7Л05)
/ = 1 / = 2 у = 1 /,у / -1
где Π есть произведение Q(t) для исходных событий, явля-
ющихся членами любого (i-ro или /-го) аварийного сочетания. 1ак
как Q(t) обычно значительно меньше единицы, крайние значения
для трех значащих цифр совпадают.
Альтернативное решение, основанное на соотношении,
полученном Эзэри и Прошаном, приводит к верхнему пределу,
задаваемому формулой (7.79); последюю можно записать как
Nc
Qs{t)<l~\\[\~Q](t)l (7.106)
/=ι
Это выражение дает иногда консервативную оценку Q(t). Оно
определяет точное значение, если аварийные сочетания являются
несвязанными сочетаниями исходных событий.
Пример 20. Найти верхнее и нижнее крайние значения Qs(t) при / = 20 ч
для двухэлементной восстанавливаемой системы последовательного типа.
Элементы 1 и 2 взяты из примера 17.
Решение. Из примеров 16 и 17 значения коэффициентов для сочетаний и
элементов при / = 20 ч составляют
ρ* (/) = Qt (t) = 8,58757Χ1Э-З;
Ql(t) = Q2 (0 =3,09375x10-2.
Нижняя граница является наилучшим и последним крайним значением. Она
совпадает с точным значением коэффициента простоя системы Qs(t), поскольку
включает все члены разложения.
Пример 21. Определить верхнее и нижнее крайние значения Qa(t) для
двухэлементной системы параллельного типа из примера 18.
Решение. Здесь имеется только одно аварийное сочетание, и поэтому Qs(t)
точно равно Q*(t), а верхний и нижний пределы идентичны.
322

Пример 22. Найти верхнее и нижнее крайние значения для Qs(t) при ^ = 500ч
для системы типа «два из трех» из примера 19 (невосстанавливаемый вариант)
и сравнить эти значения с верхним пределом для Qs(0> полученным по формуле
(7.106).
Решение. Из примеров 16 и 17 для / = 500 ч Q{(t) 3,93469x1ο-1; Q2(0 =
= 6,32121 Χ ΙΟ"1; Q3(0 = 7,76870X 10-1.
Из примера 18 и 19 находим
Q\ф =2,48720x13-1; Q*2(t) = 4,9Π75χ 1Э-1; Qg (*) =3,95674χ10-ι.
Точное выражение для определения Qs(t), как следует из формулы (7.103), есть
з з /—ι з /—ι у-1
/ = 1 /=2 ;=1 /=3;=2/г = 1
Pr (rfx)+Pr (rf2)+Pr №) - [Рг (rfi П ^2)+Pr №П rf3)-HPr № Π rfi)] -f
+ Рг(^п^2П^з);
[Л] [Pr(^)+Pr(^)-fPr№)] =Q[(t)+Q*2(t)+Ql(t)= 1,04547x10-1;
IB] [Pr (йГ!П*2)+Рг№П<*з)+Рг (d3(\d{)] = Π 0(0+ Π 0(0+ Π 0 (О =
1,2 2,3 3,1
= Κ?ι(0<?2(Ο(?3(Ο+(?ι(Ο(?2(Ο(?3(Ο+(?ι (О (?2(0 0з (О = 5,79669x10-1;
[C]PT(dli)d2i)ds)= Π Ο(Ο=Οι(Οθ2(Ο(?3(Ο=--1.93223χ10-ΐ;
1.2,3
Qs (Omin = И] - [Д1 = 4,658)ЭХ 1 j-i;
(?5(0inax= И] -№ + [С] -6,59024x13-1.
В данном случае Qs(0max есть точное значение, которое и является
последним крайним значением. Как и в последнем примере, все члены разложения
присутствуют.
Верхняя граница, полученная по формуле (7.106),
ОИОверхний,1Реде.1 = 1-П-4>917Э5х1Э-1][1-3,05674хП-1]Х
Χ [1 — 2,4872 JX 1Э-1] = 7,34856χ 1 Э~».
Видно, что данный верхний предел является консервативной оценкой по
сравнению С Qs(0max.
7.7.4. Параметры системы ws{t)
Параметр ws(t) есть ожидаемое число появления конечного
события в момент t в единицу времени; таким образом, ws(t) есть
ожидаемое число появления конечного события в интервале
времени от / &о t + dt. Пусть βι — событие, заключающееся в появлении
t-ro аварийного сочетания в интервале от t до t-\-dt, т. е. Рг(е,-) =
— wlu-(t)dt.
Чтобы конечное событие произошло в интервале [t,t+dt), ни
дно из аварийных сочетаний не должно существовать в момент t,
ем одно (или более) из них должно реализоваться в интервале
от г до t + dt. Следовательно,
323

ws(t)dt*Pr[A\JC eX (7.107)
( Nc \ lNc \ (Nc \
где I Л (J еЛ есть Л f| I U еЛ\ I U et I — событие, заключав
ющееся в том, что одно или несколько аварийных сочетаний
происходят в момент времени t\ А — событие, заключающееся в том, что
ни одно аварийное сочетание не существует в момент t.
Имеем:
Рг(л U βι)-Ρτ([)βή-Ρτ (в [J еЛ% (7.108)
"с
где В= (J di —объединение событий существования /-го аварий-
/-1
ного сочетания, имеющего место в момент t, т. е. В=А.
Подставляя (7.108) в (7.107), получаем
w
.(fidi-Pr^e^-Pr^B иЧ] ; (7.109)
ws{t)=w{sl\t)-w{?\t). (7. ПО)
Первый член в правой части является вкладом, который вносит
событие, заключающееся в появлении одного или нескольких
аварийных сочетаний в интервале [t,t + dt). Второй член соответствует
тем случаям, в которых реализуется одно или несколько аварийных
сочетаний в интервале [t,t+dt), в то время как другие аварийные
сочетания, уже случившиеся к моменту t, еще не устранены (не
произведен ремонт). Этот член является поправкой второго
порядка, поэтому обозначен через ws(2)(t). Аналогично формуле (7.103)
раскрытие выражения для ws{l)(t) дает
(Nc \
wP (t)dt-Pr\\) еЛ =
/*=2;~1
^Jtwi(t)dt-^JiPr(elnej) + ... + (-if'-lPT(el(\e2...i]e^).
(7.111)
Первая сумма, как и в формуле (7.103), является просто вкладом,
вносимым появлением аварийных сочетаний, тогда как второй и
последующие члены относятся к одновременному появлению двух
или большего числа аварийных сочетаний. Аварийные сочетания,
рассматриваемые в указанных комбинациях, не должны
существовать в момент t, затем должны все одновременно случиться в
интервале от / до t+dt.
324

Рассмотренные выражения пригодны для определения верхних
оценок ws(t) для простых систем последовательного и
параллельного типа из примеров 17 и 18, поскольку развернутые члены
Pr(ei()ej) равны нулю, так как аварийные сочетания не содержат
общих элементов.
Пример 23. Вычислить ws(t) для двухэлементной (λι = 10-3, Яг= Ю-3),
восстанавливаемой (μι=1/10, μ2=1/40) системы последовательного типа при / =
= 20 ч.
Решение. Из примера 17 имеем
и;* (20)= 1,93818x10-3; w* (20)= 9,91412χ10~4.
Отмечая, что второй и последующие члены в правой части выражения (7.111)
равны нулю, получим
Nc
W(D (23) = V Wl (20) dt = w\ (20)+^* (20) = 9,91412χ 1Q-4 +
;=i
1,93818 χ 10-3 = 2,92959 X 10~з.
Это есть максимальное значение ws при wsW — 0 в выражении (7.110). Невос-
станавливаемая система рассчитывается точно таким же образом. Для
двухэлементной системы параллельного типа w8 — w* при наличии лишь одного
аварийного сочетания.
Вероятность одного или нескольких исходных отказов,
возникающих в интервале от / до t + dt, равна w(t)dt и, следовательно,
пропорциональна1 dt. Таким образом, одновременное появление
нескольких видов отказов может быть вызвано появлением одного
исходного отказа, и, более того, этот исходный отказ должен быть
общим членом всех тех видов отказов, которые должны случиться
одновременно. Рассмотрим событие общего вида ei(]e2f\... [}ет,
т. е. заключающееся в одновременном возникновении т видов
отказов. Пусть имеется k независимых исходных отказов, которые
входят во все т видов отказов системы. Каждый из этих исходных
отказов должен быть членом для каждого вида отказа 1, ..., т.
Если k равно нулю, то событие е\{\е2{\... (\ет не может произойти,
и вероятность совместного возникновения данных событий равна
нулю. Поэтому предположим, что k больше нуля.
Если один из этих k исходных отказов не существует в момент
* и затем происходит в интервале от t до t+dt, а все остальные
исходные отказы для т видов отказов существуют в момент t (вклю-
чая^&^1 общих исходных отказов), то событие е\[\е2{\.. .{]ет
произойдем. Вероятность события βιΠ^Π ---[\ет
Vr{el{\e2n...[\em)=<:v{tl\,...,m)dt Π Q(t). (7.112)
l.../и
/?„„.„„ t последУюЩих нескольких страницах обсуждаются вопросы, которые
близки к выводам, полученным Везели
325

Символ произведения в формуле (7.112) определяется
следующим образом: Π — есть произведение Q(t) для исходного события,
которое является членом по меньшей мере хотя бы одного из
аварийных сочетаний 1, ..., ш, но не является общим членом всех
этих сочетаний.
Произведение в равенстве (7.112) является, таким образом,
произведением вероятностей существования исходных отказов, не
входящих в k общих первичных отказов. Кроме того, вероятность
существования исходного отказа Q(t) появляется только один раз
в произведении, даже если она является членом нескольких видов
отказов (она не может быть членом всех т видов отказов,
поскольку имеется k общих исходных отказов).
Величина w(t\ l...m)dt соответствует k общим исходным
отказам и определяется как w(t\ 1, ... т)—безусловная
интенсивность отказов для вида отказа, у которого исходные отказы,
являются общими членами для всех данных видов отказов 1, ..., т.
Если эти т видов отказов не имеют исходных отказов,
являющихся общими для них всех, то w(t\ 1 ..., т) считается равным
нулю: w(t\ 1, ..., я)=0, нет исходных отказов (событий),
являющихся общими для всех т видов отказов (аварийных
сочетаний).
Выражение для интенсивности появления аварийных сочетаний
w*(i), т. е. формула (7.97), показывает, что эта интенсивность
состоит из членов, соответствующих одному происходящему отказу
и остальным исходным уже существующим отказам. Это именно то,
что необходимо для k общих исходных событий. Таким образом
w(t\ 1 ... т) можно вычислить, полагая k общих исходных
событий членами аварийного сочетания и используя формулу (7.97)
для определения w(t, 1, ..., /η), т. е. для определения безусловной
интенсивности отказов для аварийного сочетания.
Вероятности т видов отказов, происходящих одновременно,
можно, таким образом, непосредственно вычислить по формуле
(7.112). Отдельные исходные события, которые являются членами
любого из т аварийных сочетаний, сначала делятся на две группы:
т. е. те, которые являются общими для всех т аварийных
сочетаний, и те, которые не являются общими для всех этих аварийных
сочетаний. Группа общих членов сама по себе рассматривается
как аварийное сочетание, a w(t\ 1, ..., т) вычисляется для этой
группы непосредственно по формуле (7.97). Если нет исходных
событий в этой общей группе, то w(t\ 1, ..., т) тождественно равно
нулю, и вычисление не нужно продолжать (Pr(<?if|, ..., (]ет)=0).
Для группы, не имеющей общих членов, вычисляется произведение
вероятностей Q(t) существования всех исходных событий. Это
произведение и значение w(t; 1, ..., т) перемножаются, и
определяется Pr(eif| ... От). Множитель dt в конечном выражении
исключается и далее не требуется.
Найдя общий член Pr(eif) ... (]ет), формулу (7.111), которая
определяет первый член выражения для ws(t)dt, можно превратить
в следующее равенство:
326

+ 22 2 ^ '' Л Α)ί" П Q(t)+... + {-!)*<-* W{t; \,...,Ne)x
X с'/ П Q(/). (7.113)
Первый член в правой части данного равенства представляет собой
просто сумму безусловных интенсивностей отказов для отдельных
аварийных сочетаний. Каждое произведение в оставшихся членах
сводится к разделению общих и необщих исходных событий для
отдельных комбинаций аварийных сочетаний и затем к выполнению
действий, описанных в предыдущем разделе. Более того, каждый
последующий член в первой части равенства (7.113) состоит из
комбинаций большего числа произведений Q(t). Вследствие этого
каждый последующий член быстро уменьшается по величине, и
процедура получения крайних оценок применительно к равенству
(7.113) оказывается чрезвычайно эффективной.
С помощью равенства (7.113) вычисляется первый член
формулы (7.110) для ws(t)9 после чего нужно определить второй член
w^(t). Раскрыв выражение для этого второго члена, получим
/ "с \ "с "с 1-1
w?\t)=PrlB у ei\==yiPv(eif]B)-~JiJiPr(eif]ejf]B) +
+ ... + (- Ι)"*""1 Рг^П^П.-.П^П В). (7.114)
Рассмотрим общий член в этом выражении Рг(βιΠ ··· О^тВ).
Этот член представляет собой вероятность одновременного
появления т аварийных сочетаний в интервале от t до t-\-dt при
наличии одного или нескольких видов отказов к моменту t (событие В).
Пусть
wB(t; h...9m)dt = Pr(eln...nemriB), (7.115)
где wB(t\ 1 ... т)—частота появления т видов отказов 1, ..., т,
одновременно происходящих в момент t при одном или нескольких
других видах отказов, уже существующих в момент времени /.
Термин частота появления означает «вероятность в единицу
времени». Член wB(t; 1,..., m) не следует путать с членом w(t;
1, ... m). Величина wB{t\ 1, ..., m) используется лишь для
упрощения обозначений и относится к происходящему полному событию
е\{\ ··. [\ет[\В, тогда как w(t\ 1, ..., т) относится к происходящим
327

видам отказов 1, ..., т, состоящих из общих исходных отказов,
В соответствии с этими обозначениями выражение (7.114) можно
записать в виде
/=1 /=2;=1
...+(_1)^-1дад(/; \,...,Nc)dt. (7.116)
Поскольку событие В является объединением нескольких
событий, общий член в выражении (7.116) может быть развернут:
wB(t, l,...tm)dt=^iPr(e1(]...nemndl)-
"с ί-l
-2t2tPr(eln...nemr\dir\di) + ... + (-l)Nc-lPrX
/-2 ;=1
Χ^ιΠ...η^η^ιΠ...η^), (7.117)
где di — событие существования i-ro аварийного сочетания в
момент t. Рассмотрим теперь общий член в этом развернутом
выражении, т. е. Рг (βιΠ · · · Π^τηΠ^ιΠ · · · fVn). Если определить этот член,
тогда будет определено и wB{t\ t, ..., m)dt, а отсюда и ws{2)(t)dt.
Событие е\(] ... Π^Π^ιΠ · ·. П^п подобно событию е{[\ ... (]emt за
исключением того, что здесь виды отказов 1, ..., η должны также
существовать в момент t. Если какой-то вид отказа существует в
момент /, все входящие в него исходные отказы должны
существовать в момент \t, и эти исходные отказы не могут произойти в
интервале от t до t-\-dt, поскольку возникновение подразумевает его
отсутствие в момент t и затем наличие в момент t +dt. Выражение
для Ργ(^ιΠ ... fVmiWin ··. Шп) является поэтому аналогичным
предыдущему выражению для Pr(eif| ... Г\ет) [формула (7.112)]
за исключением одного. Данные исходные события, общие для всех
т аварийных сочетаний 1, ..., т, которые также входят в любое
из η аварийных сочетаний 1, ..., п, не могут вносить свой вклад в
величину w(t\ 1, ..., m), поскольку они уже должны существовать
в момент t (для события d\f\ ... f\dn)> Следовательно, эти исходные
события, являющиеся общими для всех т аварийных событий, а
также входящие в любое из η аварийных сочетаний, должны быть
исключены из w(t\ 1, ..., т) и должны быть включены в
произведение вероятностей существования исходных отказов, входящих в
выражение (7.112).
Для деревьев отказов с большим числом аварийных сочетаний
процедура определения крайних оценок является чрезвычайно
эффективным методом получения достаточно узких пределов, что
необходимо для определения ws(t). В формулах (7.113), (7.116) и
328

(7.117) можно получить верхние пределы для ws(l)(t), wsV(t) или
WeCt), рассматривая первые члены в соответствующих правых
частях этих выражений. Нижние пределы можно получить,
рассматривая первые два члена и т. д. Различные комбинации этих
последовательных верхних и нижних пределов дадут последовательные
верхние и нижние пределы для ws(t).
Примером применения процедуры определения крайних оценок
является первый (и простейший) верхний предел для ws(t), т. е.
ws(t)max, определяемый соотношением
^)n,ax = «4l>Wm3x, (7.118)
где
"с
w^CW-Sw^). (7-119)
Это было выполнено в примере 23.
Машинная программа, основанная на этих формулах,
предоставляет пользователю привилегию выбора числа членов в формулах
(7.113), (7.116) и (7.117), которые он желает использовать. Это
вносит ряд осложнений, поскольку дополнительные члены
являются попеременно положительными и отрицательными. Если выбрать,
например, два члена в формуле (7.113), то ws{])(t) является
нижним пределом по отношению к первому члену, а наилучшим
решением является нижний предел. Если рассматриваются три члена,
наилучшим решением является верхняя граница. Такие же
рассуждения применимы к ws{2)(t), так что окончательные крайние оценки
ws(t) нужно интерпретировать осторожно. Для программы KITT
имеются следующие варианты входных данных:
1) ISTOP-1 или ISTOP-2; если ISTOP-2, то используется
процедура определения крайних оценок; если ISTOP-1, эта процедура
не применяется [используется только формула (7.119)];
2) NBMAX — число крайних оценок, которые необходимо
получить (полагая ISTOP-2);
3) если IFAG-2, то используется поправочный член,
учитывающий отказы системы, т. е. формулу (7.116); если IFAG-1, эти
поправочные члены не используются;
4) NB2(N)—число внутренних крайних оценок, которые
необходимо определить для каждой внешней крайней оценки. Здесь
N — число аварийных сочетаний, реализующихся одновременно, и,
таким образом, N<NC.
Полными пределами для системы являются
max»
Щ Wmax = ™Р (Ошах ~ ^ (Omln-
Если параметру NBMAX придается значение, равное Nc (число
аварийных сочетаний), то вычисляются все члены и получаются
329

Ν,
■ четно
точные значения параметров для системы. Если все члены
развернутой формулы известны, то
Q,(0=Q,(0m.n;
ws(t)=ws{t)min;
или
v>s(t) = ws(tUj ЛГС_ нечетно.
λί(0=λ,(0π»Ι. !
Пример 24 прояснит данные теоретические выкладки и
полученные формулы.
Пример 24. Вычислить ws и соответствующие крайние оценки для невосста-
навливаемой системы голосования типа «два из трех» из примера 22 при t =
= 500 ч. Решение, выполненное на ЭВМ по программе KITT при ISTOP-2
NBMAX=A^ = 3, IFAG = 2 и NB2(N) = 3, 2, 1,
дало следующие результаты.
Обозначения переменных параметров, используемые в вычислительной машине
Дифференциальные характеристики —
верхний предел
Дифференциальные характеристики—
нижний предел
Вклад в частоту отказов
Дифференциальные характеристики—
последние крайние оценки
W
WMIN
WMAX
W1MIN
W1MAX
W2MIN
W2MAX
WMIN
WMAX
W1LAST
W2MIN —LAST
W2MAX — LAST
2,40220 X Ю-2
1.71296Х10-3
1,71296Х10-3
1.71296Х10-3
1.71296Х10-3
0,00000
0,00000
1,71296X10-»
1,71296Х10-3
1J2196X10-3
-6,89245Χ ΙΟ-4
0,00000
Решение. При MBMAX=Afc = 3 должны получаться точные решения, а при
нечетном Nc должно быть значение wb(t)max. Параметры системы при / = 500 ч
(см. пример 19)
^*(3, 1)=7>34580 X Ю-4; Ц(2, 3) = 9,94724 X 10~4;
wj(lf 2) = 6,72899xl0-4;
Q1=3,93469 χ 10-1; Q2=6,32121 χ 10-1; Q3=7,76870 χ 10-1.
да1==6,06531 χ Ю-4; гс;2==7,35759 χ 10~4; ®3=6,69390 χ ΙΟ"4.
Используя равенство (7.113), проведем последовательно, член за членом,
оценку величины ws(l):
Nc
Л, первый член ^w\{t)=w\{t) + wl{t)^w\{t)=2^220 X 10~3.
/-1
ΛΟ
V /-ι
Я, второй член ^^w(t; i, j) UQ(t) = ^2QiQs +
330

H-o'sQuQi + a'AQa—6,89245 χ ΙΟ-4.
С, третий член
/=3; = 2/г=--1 Л ;, /г
Вычисление zus2(/) проводится с помощью формул (7.116) и (7.117).
*с з г з
Д первый член ^ w^(i; /) - ^ ^ Рг(е,- Г) ^л) —
.*-=!
3 fc-1
•2
Л=2/=1
2 Рг («/ Π rf* П dx) + ^ ^ ^
3 Λ-1 /-1
Pr(*/ Π flf* Π rf/ Π rfm)
/г=3 / = 2m=l
Следует вспомнить, что e\ есть событие, соответствующее появлению /-го
аварийного сочетания в интервале от t до t+dt, d\ — событие, соответствующее
существованию /-го вида отказа в момент t. Первый член во внутренних скобках
/ = 1; Рг(в! Π rfi) + Pr(*i Π rf2) + Pr(ei Π d3) = 0 + да^гОз + WiQiQa-
Ели, например, <3Γι существует в момент /, то элементы 1 и 2 отказали, a Pr(^i) =
= 0 (член 1). Если d2 существуют, то элементы 2 и 3 отказали, и только третье
событие может произойти, и т. д Второй член во внутренних скобках равен
нулю, поскольку при наличии двух аварийных сочетаний все три элемента уже
отказали. Это также справедливо и для третьего члена:
/ =-- 2; Рг (02 Π d{) + Рг (е2 Π d2) -Ь Pr (e2 Π d3) = W3Q1Q2 + 0 4- w2QiQ/,
i = 3; Pr (e3 Π rfi) + Pr (e3 П rf2) + Pr (*з Π rf3) = W3Q1Q2 + W1Q2Q3 4- 0;
3
2 = 2 С^1<?2Рз + WiQiQ* -f w.QiQi] = 1,37849 χ П~з.
/=1
3 /-Ι
3 ί-1
Ε, второй член Σ Σ Wj8^' '' ^ = Σ Σ 2 Pr ^l П *' Пdk^""
/ = 2; = 1 /=2; = 1 [ fc=l
3 /г-1 3 Λ—1 /-1
•22 Рг<*/П*уП</*П<*/) + 2 Σ 2 Рг(^П^П^П^П^)
/г = 2/=1
/г=3 /=2m = l
/ = 2, у = 1; Рг^П^П^ + Рг^П^П^ + Рг^гП^П^з)-
-Ргв2П^П^2П^1)-Рг(в2П^П^зП^1)-Рг(в2Пв1П^зП^ +
+члены более высокого порядка (все нулевые)=
= 0 + 0 + w2Q1Qa-0-0-0 + 0;
1 = 3, у=1; Pr^n^n^ + Prt^n^n^l + Pr^n^nrfs)-
-Рг(взПв1П^Г!^1)-Рг(взПв1П^зП^)-Рг(взП^П^зП^2) +
+ (все члены нулевые) = 0 + ^1Q2Q3 + 0 — 0 — 0 + 0;
ί = 3, ув2; Рг(взПв2П^1) + Рг(взПв2П^2) + Рг(^зПв2П^з)-
— (все члены нулевь1е)=те/з<ЗА + 0 + 0 + 0;
331

3 ί-l
22 =«^А + «'А<?з + «'А(?а=6,89246х 10~4;
ί-2/=ι
да5=да(1)-да'2) = [Л-5+С]-10-£]= 1,712955 х Ю"3-
-6,89245 χ 10-4= 1,02371 χ ΙΟ"3.
Если сравнить эти вычисления с выходными данными ЭВМ, устанавливаем
следующее:
W — верхний предел: эта величина есть верхняя граница члена Л = 2,40220Х
XI0~3, и, таким образом, результаты совпадают,
WMIN (лучшая крайняя оценка): эта величина должна равняться WMAX,
поскольку вычисление является точным. Равенство имеет место, но результат,
выданный ЭВМ, должен быть равен 1,02371 X Ю-3 вместо величины 1,71296х Ю-3,
полученной с помощью программы ΚΙΤΤ.
WIMIN (вклад в частоту отказов): здесь значение 1,71296ХЮ~3 является
верным (Л—В + С). Оно также равно WIMAX.
W2MIN, WIMAX: эти величины ошибочно вычислены по программе ΚΙΤΤ
как равные нулю, что, таким образом, является причиной несоответствия в
значениях WMIN.
WMIN, WMAX: эти величины являются просто копией распечатки для WMIN,
WMAX, приведенной выше.
W1LAST: этот параметр есть точное значение для wsM LAST и является
верным.
W2MIN: этот параметр должен равняться W2MAX LAST, т. е. 6,89246x 10"4.
Результат, полученный на ЭВМ, неверен.
Представляется поэтому, что имеется ошибка в программе вычисления до5<2>.
В общем случае, для больших систем с различными элементами, эта ошибка
незначительна.
7.7.5. Другие параметры системы, вычисляемые при помощи
программы ΚΙΤΤ
Если Qs и ws вычислены, сравнительно легко определить другие
параметры системы: λδ и Ws. Подобно X*(t)dt его аналог для
аварийного сочетания, т. е. вероятность того, что конечное событие
происходит в интервале от t до t+dt (при условии отсутствия
конечного события в момент времени t)y связан с ws(t)dt и Qs(t)
следующим соотношением:
ws{t)dt = \\-Qs{t)\ls{t)dt. (7.120)
Это выражение аналогично равенству (7.98) (аналог для
аварийного сочетания). Чтобы отказ произошел в интервале от t до
t+dt (Ws(t)dt), он не должен существовать в момент i[l—Qs(t)] и
должен произойти в интервале времени t до t-\-dti[KsOt)dt].
Пример 25. Вычислить %s, max и λβ| min при / = 500 ч для невосстанавливае-
мой системы голосования типа «два из трех» из примера 22, используя значения
Qs и ws из примеров 22 и 24.
Решение. Используя значения ws, полученные при помощи программы ΚΙΤΤ
из примера 24, и значения Qs, max и Qs, min из примера 22, получим
332

Значение интеграла Ws(0, t) определим, как и выше, по дифференциальному
параметру
Ws(09 t)=\ws(u)du. (7.121)
о
7.7.6. Упрощенные методы вычислений
Предварительные оценки, проводимые нередко «на обороте
почтового конверта», сыграли большую, испытанную временем,
роль в истории техники и всегда останутся с нами, несмотря на
широкое распространение ЭВМ.
В этом разделе разрабатывается модифицированный вариант
метода вычислений, созданного Фусселем [6]. В качестве входных
данных необходимо знание частоты отказов и частоты ремонтов
для каждого элемента, а также минимальных аварийных
сочетаний. Предполагается экспоненциальное распределение λ и μ и
независимость отказов элементов. Начнем вывод с повторения
нескольких равенств, представленных ранее в этой и в предыдущих
главах. Символ Q/ используется для обозначения коэффициента
простоя. Для невосстанавливаемого i-ro элемента
Q/ = (l-e-x'')^M (7·122)
Jcm. равенство (7.83)].
Если элемент является восстанавливаемым в соответствии с
.марковским анализом, проведенным в гл. 4, справедливо равенство
{4.120):
Qi= ^— [l-e-^+^'l. (7.123)
λ/ + μ/
С увеличением t и если λ;/μ;<ξ;0,1,
Qi=V(*, + l»/)~>4/IV (7Л24)
В общем случае эти приближенные равенства предопределяют
величину Qi. Для того чтобы получить показатели надежности для
«аварийных сочетаний, запишем известное выражение
Q!=nQi- (7Л25)
Равенство (7.125) в сочетании с формулой (7.124)
непосредственно определяет установившиеся значения Q;*. Для того чтобы
определить другие параметры для аварийных сочетаний,
необходимо сделать дополнительные упрощения.
■ Начнем с объединения равенств (7.97) с (4.77), чтобы получить
«следующую формулу:
wi(')=2l1""Q^'M^wnQyC). (7.126)
;=i z-i
333

Подставляя формулу (7.125) и принимая приближенное
равенство 1—Qf(t)~\y получим
/-ι
Далее для λ;* имеем
Параметры систем легко аппроксимируются параметрами для
аварийных сочетаний при помощи процедуры определения пределов,
разработанной ранее:
"с
QS^^Q); (7.128)
λ.«;£λ'; (7Л29)
Nc
©,«2<. (7.130)
;=ι
Для этих равенств применимы некоторые ограничения, которые
сведены в табл. 7.14. В общем случае предварительный прогноз
может стать важным в следующих случаях:
1) коэффициент простоя для восстанавливаемого элемента,
системы или аварийного сочетания в 2 раза меньше, чем средняя
продолжительность ремонта 1/μ/;
2) коэффициент простоя для невосстанавливаемого элемента,
системы или аварийного сочетания оценивается в 10 раз меньшим,
чем СНДО-1/λ,·;
3) коэффициент простоя для аварийного сочетания или системы
больше 0,1.
Проверим эти равенства, используя их для вычисления
параметров надежности для системы типа «два из трех» при /=100 ч.
Входная информация, как и выше, такова:
Элемент
1
2
3
λ, ч-1
ΙΟ"3
2X10-3
ЗХ10-3
μ, ч *
1/10
1/40
1/60
Аварийные сочетания есть {1,2}; {2,3}; {1,3}.
Результаты вычислений сведены в табл. 7.15. Данный
контрольный пример является очень неблагоприятным, поскольку при / =
= 100 ч еще не достигнуто минимального времени, необходимого
для установившегося состояния элемента (t= 100= 1,67X60). Вид-
334

ьо, что Q* оценено «консервативно» с точностью 25% или несколько
выше.
7.14. Формулы для приближенных вычислений
Элемент
(невосстанавливаемый,
λίί< 0,1)
(восстанавливаемый,
1 > 2/μ/)
Аварийное сочетание
£ = t
*
•""~ ['-<?i]
Система
i-l
1 = 1
7.7.7. Ограничительный логический знак
Ограничительный логический знак (рис. 7.26) представляет
событие, которое происходит с какой-то определенной вероятностью К
Он дает выходное событие при условии, что входное событие
существует и удовлетворяется ограничительное условие.
В качестве примера на рис. 7.27 показана секция дерева
отказов, содержащая ограничительный логический знак. Событие
«разрыв предохранителя» случается, если происходит первичный
или вторичный отказ предохранителя. Вторичный отказ
предохранителя может случиться, если появится избыточный ток в цепи,
так как избыточный ток может вызвать размыкание
предохранителя. Однако предохранитель не размыкается каждый раз, когда
Избыточный
топ 8
лредохранителе\
Рис. 7.2Н. Ограничительный
логический знак
Рис. 7.27. Дерево отказов для
предохранителя
См. также табл..2.1 ((строка 3).
335

7,15. Упрощенные вычисления для восстанавливаемых и невосстанавливаемых
систем
Характеристика
Qi (востанавливае-
мая)
Q2
Q3
Qi (невосстанав-
ливаемая)
Q2
Q3
Qi*
(восстанавливаемая)
Q2*
Q3*
Qi* (невосстанав-
ливаемая)
Q2*
Q3*
Ш1*
(восстанавливаемая)
w2*
w3*
Ш1* (невосстанав-
ливаемая)
ш2*
ш3*
Qe (восстанавли-
ваемая)
Qs (невосстанав-
ливаемая)
ws
(восстанавливаемая)
w8 (невосстанав-
ливаемая)

Приближенное значение
λι/μι
λ2/μ2
λ3/μ3
λι/ί
λ2/ί
Хз/ί
Ql<?2
Q2Q3
QlQ3
QlQ2
<?2<?3
QlQ3
οΓs (λ//0/)
0^(X//QO
Qt*(h/Qi)
Q\*(h/Qi)
Ql*(h/Qi)
Q*s*(h/Qi)
*Qi*
Σ0/*
Iw/*
Σα;/*
Численный
результат

(приближенный)
loxio-3
8OXIO-3
180Х10-3
ΙΟ"1
2Х10-1
ЗХ10-1
8Х10"4
14,4Х10-3
1,8Х10-3
2Х10-2
6X10-2
зхю-2
lOXlO"5
6XIO-4
2,1Х10-4
4Χ10"4
12Χ10"4
6Χ10-4
17X10-3
11X10-2
9,1 Χ ΙΟ"4
2,2Х10-з
Точное
значение
(ЭВМ)
9,9хЮ-з
74Х10-3
152Х10-3
0,95 Х10-1
ι,δχίο-1
2,6x1ο-1
7,3 Χ Ю-4
11 ΧΙΟ-3
1,5Χ10-3
1,8x10-2
4,7x10-2
2,5x10-2
9,2Χ ΙΟ"5
4,2Χ ΙΟ"4
ι,δχίο-4 ι
3,2Χ ΙΟ"4
8,3Χ ΙΟ"4
4,5Χ ΙΟ"4
13Χ10-3
9Χ10-2
7Χ10-4
1,5x10-3
Временные пределы.
обеспеч!
*ваюшие
предварительный
прогноз

минимальный
20
80
120
0
0
0
—
—
—
—
—
—
—
—
—
—
—
—
—
—
—
—

максимальный
оо
со
оо
100
50
33
—
—
—
—
—
—
—
—
—
—
—
—.
—
—
—
—
избыточный ток появляется в цепи, так как не при всех условиях
избыточный ток приводит к достаточной перегрузке, вызывающей
размыкание предохранителя. В таком случае используется
ограничительное условие в качестве весового фактора, применяемого ко»
всем аварийным событиям, относящимся к сфере действия данного
логического ограничительного риска. Поскольку при вероятностном
анализе ограничительные условия подобны логическому
знаку «И», они являются вероятностными весовыми факторами.
Ограничительные условия имеют множество разновидностей использо-
336

\ Исход J
Рис. 7.28. Пример системы с ограничительным логическим знаком
вания при анализе деревьев отказов, однако во всех случаях они
представляют вероятностный весовой фактор. Человек-оператор,,
например, моделируется ограничительным логическим знаком, так
как его надежность или готовность являются зависимыми от
времени параметрами.
Если входное событие в программе KITT расценивается как
ограничительное условие, параметры аварийного сочетания Q* и w*
умножаются на ограничительный коэффициент. В двухэлементной
системе параллельного типа, показанной на рис. 7.28, значение 0,1
относится к ограничительному условию (£?2 = 0,1). Результаты
вычислений сведены в табл. 7.16. Видно, что в результате
применения ограничительного логического знака (рис. 7.28) получены
параметры Q* = QiC?2 = QiX0,l и ο>*=ό>ιΧ0,1, независимые от
времени.
7.7.8. Замечания по методам количественных оценок
1. Коэффициент простоя элемента с частотой отказа, зависящей
от срока службы. Допустим, что элемент имеет частоту отказов,
зависящую от срока службы r(s), где 5 обозначает срок службы.
Равенство
r(t) = w(t)/[\-Q(t)] (7.131)
7.16. Вычисления для ограничивающего логического знака
Время
20
500
QiXlO*
8,58757
9,90099
WiXlO4
QSX10
9,91412
9,90099
8,58757
9,90099
9,91412
9,90099
°.ЧН0 определяет величину коэффициента простоя Q(t) в мо-
kodd "РИ заданных значениях r(t) и w(t). Равенство является
рре<тным, если r(t) заменить на λ(ί) (условную интенсивность
отказов элементов): v 7 v*y y
l{t) = w(t)/[l-Q(t)\.
7Л32)
337

Однако это равенство трудно применить для количественной
оценки Q(0, поскольку λ(ί) является неизвестным параметром.
Одним из возможных подходов для определения Q(t) является,
как обсуждалось в этой главе, использование формулы (4.70).
2. Показатель надежности аварийного сочетания системы.
Ж*)=ехр
f λ (и) da
о
(7.133)
Это равенство не во всех случаях является справедливым.
Корректная формула, как показано в гл. 4, разд. 4.3.1, такова:
/?(/) =ехр
- \ г (и) du
о
(7.134)
Равенство (7.133) справедливо только в случае, когда частота
отказов r(t) постоянна и, следовательно, совпадает с (постоянной)
условной интенсивностью отказов λ(/)=λ. Для аварийных
сочетании или систем условная интенсивность отказов не является
постоянной, поэтому формулой (7.133) пользоваться нельзя. В гл. 9
будут разработаны точные методы, с помощью которых можно
определить показатель надежности системы.
Приложение 7.1. Диаграмма Венна
На диаграммах Венна множества возможных причин
представлены прямоугольниками, и прямоугольник становится
универсальным множеством. Некоторые причины в прямоугольнике вызывают
события, другие — нет. Поскольку появление события
эквивалентно появлению его причины, событие представляется замкнутой
областью, т. е. подмножеством внутри этого прямоугольника.
Пример 1. Рассмотрим эксперимент, когда бросают игральную кость и
наблюдают результат. Рассмотрим события Л и В, которые определены как
А = (результат > 3);
В —(2 < результат < 4).
Представить это событие с помощью диаграммы Венна.
Решение. Прямоугольник (универсальное множество) включает шесть
возможных результатов 1, 2, 3, 4, 5 или 6. Эти события представлены на рис. 7.29.
Диаграммы Венна дают наглядный способ обращения с
событиями, булевыми переменными и вероятностями событий. Варианты
их использования сведены а табл. 7.17.
Обработка событий с помощью диаграммы Венна. Пересечение
А[)В событий А и В — это совокупность точек, принадлежащих
к общему событию для А я В (графа 1, строка 2 в табл. 7.17).
Пересечение само по себе является событием, и общие причины
событий А и В становятся причиной событий А(]В. Объединение А\]В
является совокупностью точек, принадлежащих любому из
событий А или В (графа 1, строка 3). Любая из причин событий А
338

7.17. Соотношения между диаграммой Венна, событием,
булевой переменной и вероятностью
Диаграмма Венна
Событие
Булева переменная
Вероятность
у
αχ в А
О в
противном случае
Рг (А) = S (S).

Пересечение
А[)В
ΥΑηΒ = Υа/\УВ~
I в А(]В
О в против- :
ном случае
= уАув
Pr(^f)S)-
= (S(Af]B}

Объединение
А\}В
,в = УАУУв=
1 в А\}В
О в против- =
ном случае
= 1-[1-ГА]Х
Х[1-Гв]
Pr(A[jB) =
= S(A[}B)=*
S(A)+S(B)-
~S(A(]B)=
P(A)+P(B)-
— P(A(]B)

Отрицание
A
ΥΊ=Υα=
1 в А
О в
противном случае
= 1-Ул
Pr (A) =
= S(A) =
= \-S (A) =
= 1—Pr(A)
или В может вызвать событие А I) ^.Дополнение А состоит из точек
вне события А.
Пример 2. Показать, что А[)(В\)С):
nur ?ТТ °бе части Равенства о
рис. 7.30. Это доказывает равенство (1).
= (A[]B)U(Af\C).
О)
на
33»

\(1) ^
/Ъ)
\A
У
Z~7i7]
да\
в J
Рис. 7.29. Диаграмма Рис. 7.30. Диаграмма Венна,Рис. 7.31. Диаграмма Венна
Венна для примера 1 соответствующая формуле для закона де Моргана
А(] (В[)С) = (А(]В) U (А(]С) А[}В=А[)В
Булевы переменные и диаграммы Венна. Булева переменная YA
является вспомогательным переменным параметром для множества
А как показано в табл. 7.17 (графа 3, строка 1). Другие
переменные, такие как ΥАпв, Уаов, ΥΆ> определяются аналогичным
образом. Эти три переменные часто обозначаются через ΥαΛΥβ, Υα\/Υβ
и Υ а соответственно. Алгебраические соотношения (графа 3),
очевидно, справедливы.
Пример 3. Доказать, что
Υ А V Ув= Υ α Λ Υв (закон Моргана).
Решение. По определению, Υ a\JYb = Ya\)b является вспомогательным
параметром для множества A\jB. Оба множества представляют заштрихованную
область на рис. 7.31, и, таким образом, закон де Моргана доказан.
Вероятность и диаграмма Венна. Пусть прямоугольник имеет
единичную область. Обозначим через S(A) площадь,
соответствующую событию Л. Тогда вероятность появления события А
определяется площадью S(A) (см. графа 4, строка 1, табл. 7.17):
Рг(Л) = 5(Л).
Другие значения вероятностей: Рт(А(]В), Рт(А[)В) и Рт(А)
определяются соответствующими площадями S(A(]B)y S(A[)B) nS(A)
(графа 4, табл. 7.17). Определения вероятностей приводят к
следующим соотношениям:
Рг (А и В)=Рт (Л) + Рг (Д) -Рг (А П В);
Рг(Л)=1-Рг(Л).
Пример 4. Пусть появление события А приводит к появлению события В.
Доказать, что в этом случае
Рг(ЛПЯ)=Рг(Л). <2)
Решение. Во всех случаях, когда появляется событие Л, должно произойти
событие В. Это означает, что любая причина появления события А является
также причиной появления В. Поэтому множество А включается в множество В,
как показано на рис. 7.32. Таким образом, площадь S(A[[B) равна S(A), что
доказывает равенство (2).
«340

Рис. 7.32. Диаграмма Рис. 7.33. Диаграмма Рис. 7.34. Диаграмма
Венна для А[]В, когда Венна для условной ве- Венна для Рг(Л\В, С) =
появление события А роятности Рг(Л|С) ==рг(Л|С), когда появ-
лриводит к появлению ление события С приво-
события В дит к появлению
события В
Условная вероятность Рг(Л|С) определяется как
Рг(Л \C)=S{A[\C)IS(C).
Другими словами, вероятность пропорциональна доле события А
в множестве С, как показано на рис. 7.33.
Пример 5. Допустим, что событие С вызывает появление события В.
Доказать, что
Рг(Л \В, С) = Рг(Л \С).
Решение.
Рт(А \В, C) = S(A(\B[)C)/S(B(\C).
Поскольку множество С заключено в множестве В, как показано на рис. 7.34, то
5(ЛПЯПС) = 6 04ПС);
S(B[)C)=S(C).
Таким образом,
Рг04ЦЗ,С)=:^11р = Рг(Л|С).
Итьуитивно считаем, что данное соотношение справедливо,
'поскольку дополнительное наблюдение события В не дает новой
информации: оно уже наблюдалось при появлении события С.
Приложение 7.2. Вывод формулы (7.96)
Аварийное сочетание реализуется тогда и только тогда, когда
хотя бы одно из исходных событий аварийного сочетания не
возникнет в момент ί, а затем произойдет в интервале от t до t + dty
при этом все остальные исходные события существуют в момент t.
Таким образом, Pr(C*(^, *-f at))=y Pr (событие / случается в
интервале от t до t-\-dt, а остальные исходные события
существуют в момент t). Поскольку исходные события являются взаимно
независимыми, Рг ((?*(/, *4-^))=2Рг (Убытие / случается в ин-
34J

ι ι
I*
~1
Рис. 7.35.
Рис. 7.36.
тервале от t до t-\-dt)Pry а остальные события существуют в момент
t)y получаем выражение (7.96).
Задачи
7.1. Вычислить коэффициент простоя системы типа голосования «три из
шести», приняв коэффициенты простоя элементов, равными 0,1.
7.2. Вычислить коэффициент простоя системы водяного охлаждения и
очистки отходящего газа, показанной на рис. 7.12, используя следующие данные:
Рг (А)= Pr (D) = Pr (G) = 0,01;
Рг (В) = Рг (С) = Рг (£) = Pr (F) = 0,1.
7.3. Вычислить коэффициент готовности As(t) для системы водяного
охлаждения и очистки отходящего газа, используя данные из задачи 7.2 и дерево
успеха на рис. 7.15. Подтвердить равенство
Л(') + <?Л0=1·
7.4. Система безопасности состоит из трех контрольных приборов.
Требуется, чтобы установка выключилась с вероятностью 0,2. Если система безопасности
отказывает и не выключает общую систему, причиняется ущерб в 10 000 долл.
Каждое ложное выключение обходится в 4000 долл. Определить оптимальное
построение системы типа «т из трех», используя следующие данные:
Рг (контрольный прибор отказывает и не выключает) =0,01.
Рг (контрольный прибор выдает ложный сигнал) =0,05. Принять отказы
статистически независимыми. Использовать метод, основанный на таблицах
истинности.
7.5. а. Получить структурные функции ψι, %, ψ3 и ψ для структурной схемы
надежности, представленной на рис. 7.35.
б. Вычислить коэффициент простоя системы, используя следующие значения
коэффициентов простоя для элементов:
Οι = 0,01; 02 = 0,1; ρ3=*0,ϋο.
7.6. а. По виду структурной схемы надежности, представленной на рис. 7.36,
определить минимальные аварийные и минимальные проходные сочетания.
б. Представить минимальные аварийные и минимальные проходные сочетания
в виде структурных функций.
в. Вычислить коэффициент простоя системы, используя две полученные
структурные функции. Принять, что
ρ1 = ρ2 = ρ3 = ρ4 = ο,ο5; ρ5 = ο,οι.
7.7. Определить коэффициент простоя системы с помощью частичного
опорного разложения минимальных аварийных сочетаний из задачи 7.6.
342

7.8. Вычислить все крайние значения в соответствии с принципом
включения — исключения для структурной схемы надежности из задачи 7.6.
7.9. Определить последовательные нижние и верхние пределы для мостовой
схемы из задачи 7.6, используя принцип включения — исключения. Определить
также нижний и верхний пределы по Эзэри и Прошану.
7.10. Определить нижний и верхний пределы для мостовой схемы из
задачи 7.6, используя минимальные аварийные сочетания из двух событий и
минимальные проходные сочетания.
7.11. Коэффициенты простоя для элементов мостовой схемы из задачи 7.6
имеют следующие установившиеся значения:
ρ1=ρ2==:(33 = <?4 = ο,ο5; Q5 = ο,οι.
Значения условных интенсивностей отказов (частота отказов) таковы:
Μ = λ2=λ3 = /4 = λ5= 0,01.
Определить условные интенсивности ремонтов (частоты ремонтов) μι, ..., μ5.
7.12. Определить для элементов параметры QiWi и Vi при /==100 для
мостовой схемы при значениях частот
λ1 = λ2= λ3= λ4 = λ5 == 0,001 = λ;
μ1 = μ2=μ3=μ<4 = Ρ*5 =0,01 =μ.
7.13. Мостовая схема имеет четыре аварийных сочетания: К\ = {1, 2};
tf2={3, 4}; /Сз={1, 4, 5} и К4={2, 3, 5}.
Вычислить следующие параметры для этих аварийных сочетаний: Qr, Wi*,
λϊ*", Vi* и μ** при /=100, приняв значения частот из задачи 7.12.
7.14. Определить верхний предел для коэффициента простоя системы
Qs (100) для мостовой схемы, используя результаты из задачи 7.13; при этом
Φ(100) = Q*2(103) =3,6782 χ 10~3;
<?з(10Э) = ф(1ЭЭ)- 2,2337 x1ο-1.
7.15. Мостовая конфигурация имеет четыре минимальных аварийных
сочетания: /d = {l, 2}; К2={3, 4}; /Сз={1, 4, 5} и К4={2, 3, 5}.
Если обозначить события следующим образом:
е\\ аварийное сочетание {1, 2} происходит в момент /;
е2: аварийное сочетание {3, 4} происходит в момент t\
е3: аварийное сочетание {1, 4, 5} происходит в момент t\
е±: аварийное сочетание {2, 3, 5} происходит в момент t, то ws^(t)dt в
выражении (7.3) принимает вид
w^ (О dt = Pr (ei) + Рг (е2) + Рг (*3) + Рг (*4) - Рг (е2{]ег) —
— Ρϊ(β3ηβι)-~Ρτ(β3ί\β2) — Ρΐ(β4(\βύ--Ρτ(β4ί\β2) — Ρτ(β5ηβ3)-Γ
+ Pr(e1{\e2[)e3) + Pr(ei[)e2[)e4).
а. Определить общие элементы для каждого члена в правой части последней
формулы. Определить также Π Q (t) и W (t; 1,..., т) из равенства (7.112).
1,..., т
б. Вычислить нижний и верхний пределы для а;8(1) (100), используя
следующие данные: Q, (100) =6,0648XlO"2; о;» (100) =9,3935X 10"4; /= 1 5;
«Ί (100) =ш2*(Ю0) = 1Д394Х10-4; ш3*(100) =йУ4* = 1,0365х10-5.
7.16. а. Если аварийные сочетания К\, Кч и Km не имеют общих элементов,
то Рг(е,п ... [\ет[\В) в выражении (7.114) равно нулю. Учитывая это,
доказать, что у мостовой схемы
Ч2) (0 = Рг (егПВ) + Рг (е2[\В) + Рг (еъ[\В) + Рг (еА[\В) -
-Рг(^зП^1П5)-Рг^зП^П^)-Рг(^4П^1П5)-Рг(^4П^П5)-
343

-Рг(е4Гк2ПЯ).
б. Раскрыть каждый член приведенного выше выражения и упростить
полученные результаты.
в. Определить верхний и нижний пределы для wsW(\00), используя
значения Qi, W{ и Wi* из задачи 7.15.
7.17. а. Определить последовательные нижние и верхние пределы для
W8(100), используя следующие последовательные пределы:
Я^ОИтахЛ^ 2,486 X 10-4;
42)(103)mln,l= 2,4776 X 10-4;
41}(10:))тах, 2 = 2,4776 X 10"4 = w(sX) (13))min,2 = последняя граница;
w<2) (1 ЭЭ)тах, ι =3,2765 Χ Ί0-6_
42)(13:))min,i = 3,213'3x 10-6;
Ч2)(1э:))тах,2 = 3,2133 X 10-б=о;^>(103)1п1п,2=последняя граница.
б. Определить верхний предел для Xs(100), используя результаты из
задачи 7.14; Qs(100)max = 7,80254Xl0-3.
7.18. Применить метод приближенного вычисления для определения
параметров надежности для мостовой схемы при / = 500 ч, приняв следующие
значения частот:
λι = λ2 = λ3=λ4=λ5 = 0,031;
μι = м = μ3 = 1*4 = м-5 = ο, οι.
СПИСОК ЛИТЕРАТУРЫ
1. Vesely W. Ε. Α Time-Dependent Methodology for Fault Tree Evaluation,
Nuclear Engr. and Design, 13, 337, 1970.
2. Caceres S., Henley E. J. Process Analysis by Block Diagrams and Fault
Trees, Ind. Engr. Chem., 15, N. 2, 128, 1976.
3. Esary J. D., Proschan F. Coherent Structures with Non-Identical
Components, Technometrics, 5, 191, 1963.
4. Esary J. D., Proschan F. A Reliability Bound for Systems of Maintained
and Independent Components, Journal of the American Statistical Association,
65, 329—338, 1970.
5. Vesely W. E., Narum R. E. PREP and KITT: Computer Codes for Automatic
Evaluation of Fault Trees, Idaho Nuclear Corp., IN 1349, 1970.
6. Fussell J. Now to Hand-Calculate System Reliability and Safety
Characteristics, IEEE Trans, on Reliability, R-24, N. 3·, 1975.

Глава 8
КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМЫ
ДЛЯ ЗАВИСИМЫХ ИСХОДНЫХ СОБЫТИЙ
8.1. ВВЕДЕНИЕ
До сих пор предполагалась статистическая независимость
исходных событий. Зависимые события могут появиться в деревьях
отказов в следующих случаях.
1. Резервирование. Оборудование в состоянии ненагруженного
резерва используют для повышения коэффициента готовности и
надежности системы. Когда работающий элемент отказывает,
вводится в действие резервный элемент, и система с резервированием
продолжает функционировать. Отказ работающего элемента, таким
образом, делает резервный элемент подверженным отказам в
большей степени, .потому что последний находится теперь под
нагрузкой. Это означает, что отказ одного элемента влияет на
характеристики отказов других элементов, а отказы элементов не
являются статистически независимыми.
2. Общие причины. Как обсуждалось в гл. 3, общая причина,
например пожар, приводит к одновременному отказу группы
элементов. Таким образом, при появлении общих причин отказы
элементов больше не являются независимыми.
3. Наличие элементов, несущих нагрузки. Ряд элементов
выдерживает нагрузки, такие, как механические напряжения, токи
и т. п. Отказ одного элемента увеличивает нагрузку на другие
элементы. Следовательно, остальные элементы, вероятно, будут
отказывать, и нельзя принять статистическую независимость элементов.
4. Взаимоисключающие исходные события. Рассмотрим
исходные события: «выключатель не включается» и «выключатель не
выключается». Эти два исходных события взаимно исключают друг
друга, т. е. возникновение одного исходного события исключает
другое. Таким образом, в данном случае имеются зависимые
исходные события, когда дерево отказов — взаимоисключающие
исходные события.
Принцип включения — исключения в сочетании с марковскими
моделями позволяет провести количественную оценку систем,
которые включают зависимые исходные события. Общая процедура
количественной оценки системы заключается в следующем.
1. Параметры системы представляют в соответствии с
принципом включения—исключения. Исследуют, включает ли каждый
представляющий события член зависимые исходные события или
нет. Если член состоит из независимых событий, то проводят его
345

количественную оценку с помощью методов, описанных в гл. 7.
В про1ивном случае выполняют следующее.
2. Зависимые события моделируют с помощью марковской
диаграммы переходов. Составляют дифференциальные уравнения,
описывающие вероятности различных состояний.
3. Проводят количественную оценку членов, включающих
зависимые исходные события, путем решения дифференциальных
уравнений.
4. После того как каждый член, представленный в соответствии
с принципом включения—исключения, оценен количественно,
определяют первый и второй крайние значения и находят нижний и
верхний пределы для параметра системы. Если возможно,
вычисляют полное разложение для данного параметра системы и
определяют его точное значение.
•В этой главе обсуждаются зависимости, создаваемые
резервированием или общими причинами. Аналогичным образом могут быть
рассмотрены другие типы зависимостей.
8.2. КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМ, ВКЛЮЧАЮЩИХ
РЕЗЕРВИРОВАНИЕ
Рассмотрим систему охлаждения и очистки отходящего газа,
приставленную на рис. 8.1 и 7.12. Соответствующее дерево отказов
приведено на рис. 8.2. Имеется два насоса хладоносителя А и В:
один — резервный, другой (называемый основным) — рабочий.
Предположим, что насос А является основным в данный
момент t, а насос В резервным. Если насос А отказывает, его ме_г>
занимает резервный насос В, и подача хладоносителя
продолжается. Отказавший насос А ремонтируют и после завершения
ремонта вводят в резерв. Резервный насос А заменит основной насос Ву
Отходящий
газ
L A
?£^
ι< поглотителю
А,-
"Λ Α Λ Κ
> J
1 5 G
ОЧиЩСг-: υ
лот: л
Рис. 8.1. Система охлаждения и очистки отходящего газа:
/ — два охлаждающих насоса; 2 — вспомогательный вентилятор; 3— сетчатый фильтр; 4 —
предварительный газоочиститель; 5 — два циркуляционных насоса предварительного
газоочистителя, 6 — питательный насос
346

ϋ~·κσ3
/т??гэчого
ds^.^-'wrnopa
Отказ
насосов
\хладоносителя\
Отказ
водных
насосов
Отказ
системы

циркуляционных насосов
Отказ
ушло/пра
Рис. 8.2. Дерево отказов для системы охлаждения и очистки отходящего газа
когда тот откажет. Резервирование повышает надежность системы
и ее отдельных подсистем. Система охлаждения и очистки
отходящего газа имеет еще одно резервирование, заключающееся в
наличии двух циркуляционных насосов F и G.
Каждый элемент при резервировании может иметь три
состояния: резерв, работа и ремонт. В зависимости от характеристик
отказов элементов при нахождении их в этих трех состояниях
резервирование подразделяют на три следующих типа.
1. Нагруженный резерв. Любой элемент имеет одну и ту же
частоту отказов независимо от того, находится ли он в резерве или
в работе. Поскольку частота отказов одного элемента является его
свойством и не подвержена влиянию других элементов, при
резервировании с нагруженным резервом все элементы статистически
независимы.
2. Ненагруженный резерв. Элементы не отказывают, когда они
находятся в резерве данного типа. Элементы имеют отличные от
нуля частоты отказов только в том случае, когда они находятся
в работе. Отказ одного основного элемента заставляет резервный
элемент включиться в работу, что приводит к ненулевой частоте
отказов. Таким образом, на характеристики отказов одного
элемента влияют другие элементы, и состояние ненагруженного резер-
347

ва приводит к взаимозависимым исходным событиям (отказам
элементов).
3. Облегченный резерв. Резервный элемент может отказать, но
он имеет меньшую частоту отказов, чем основной элемент. На
характеристики отказа одного элемента влияет другой элемент, и при
облегченном резерве исходные события зависимы.
Дерево отказов, представленное на рис. 8.2, имеет пять
минимальных аварийных сочетаний:
di = {C), d2={E\, d3={H],
d4={A, В}, d5={F, О).
Принцип включения — исключения для выражения (7.103) дает
следующие нижний и верхний пределы для коэффициента простоя
Qs(t) системы:
Qs(t)max — первое крайнее значение=Рг(С)+Pr(Zf) + Pr(//) +
+Рг(ЛПЯ)+Рг(/^ПО); (8-1)
Qi(0min=QiWmex —второе крайнее значение =
= Q^)max--Pr(Cn£,)-Pr(Cn//)--Pr(Cn^n5)-Pr(Cn/7nO)-
-Рг(^П//)-Рг(^ПАП^)-Рг(^П/3,ПО)-Рг(//ПЛПЛ)-
-Рт{Н{\Р{\0)-Рт{АПВПРпа). (8.2)
События С, £, Я, А(]В и F[]G взаимно независимы. Таким образом,
выражение (8.2) можно записать в виде
Qs W«ln=Q, (')max - РГ (С) РГ (E)-Pt (С) Рг (Я) - Рг (С) РГ (Л Π 5) ~
-Рг (С)Рг (РПО)-Рг (Ε)Ρτ (tf)-Pr (£)Рг (Л П В) —
-Pr(E)Pr(Ft\G)-Pr(H)Pr(AC\B)-PT(H)Pr(Fr\G)-
-Рг(ЛП5)Рг(^П0). (8.3)
Заметим, что равенства
Рг(ЛПЯ)=Рг(Л)Рг(£); ) (8 4)
Рг(/^ПО)=Рг(/7)Рг(0) J
справедливы только для состояний нагруженного резерва. Для не-
нагруженного или облегченного резерва эти равенства не
удовлетворяются.
Значения вероятностей Рг(С), Рг(£) и Рг(Я) есть
коэффициенты простоя элементов, и их можно вычислить по методам,
описанным в гл. 4 или 7. Вероятности Рг(ЛП^) и Pr(FnG) обозначены
через коэффициент простоя для резервирования замещением Qr{t),
который может быть вычислен методами, объясняемыми в
следующих параграфах. Во всех рассмотренных случаях предполагаются
идеальное включение и безотказный пуск.
34S

ο) δ)
Рис. 8.3. Марковская диаграмма переходов для конфигурации с резервированием.
(с ненагруженным, облегченным и нагруженным резервами):
а — недогруженный резерв; б — облегченный или нагруженный резерв
8.2.1. Марковская модель для резервирования
В схему на рис. 8.3 сведены возможные варианты поведения
системы с резервированием, состоящей из элементов А и В.
Каждый прямоугольник представляет состояние резерва. Крайний
левый квадрат в прямоугольнике соответствует резервному элементу,,
средний — основному элементу, а правый крайний — элементу,
находящемуся в ремонте. Таким образом, прямоугольник 1
представляет состояние, когда элемент В находится в резерве, а элемент А
в работе. Аналогичным образом прямоугольник 4 выражает
событие, когда элемент В находится в работе, а элемент А в ремонте.
Все возможные варианты переходов состояния показаны на одном
и том же рисунке. Облегченный или нагруженный резервы имеют
переходы из состояния 1 в состояние 3 или из состояния 2 в
состояние 4, в то время как ненагруженный резерв таких переходов не
имеет. Для облегченного или нагруженного резерва принимается,
что резервный элемент може_т отказывать с постоянной частотой λ.
Для нагруженного резерва λ равна частоте _отказов для основных
элементов λ. Для ненагруженного резерва λ равна нулю.
Облегченный резерв (0<λ<λ) включает в качестве частных случаев
нагруженный резерв (λ = λ) и ненагруженный (λ = 0). Каждый
элемент имеет постоянную частоту ремонтов μ. Система отказывает во«
всех случаях, когда она принимает состояние 5.
Обозначим через Pt(t) вероятность того, что система с
резервированием находится в состоянии i в момент t. Производная Pi(t)
определяется выражением
3491

Pi(t) = (вход в состояние i) — (выход из состояния i) =2 [часто-
та перехода в состояние i из других состояний /] [вероятность
состояния /] — Σ [частота перехода из состояния i в другие состояния
j] [вероятность состояния i]. (8.5)
Этой формуле соответствует система дифференциальных
уравнений
PA(t)=lP2{t) + IP.it) - (λ + {x)P4(t) + ?Ps(t);
(8.6)
P5{t)=iPs{t) + \P4{t)-2?P5{t). }
Первое уравнение системы (8.6) получено исходя из того, что
для состояния 1 имеются частота входа μ при переходе из
состояния 3 и две частоты выхода λ и λ. Другие уравнения можно
получить аналогичным путем. Принимается, что в момент времени,
равный нулю, система с резервированием находится в состоянии 1;
т. е. в момент времени, равный нулю, элемент В находится в
резерве, а элемент А является основным. Тогда начальные условия
для системы уравнений (8.6) таковы:
Л(0) = 1;
Я.(0)=0, 1 = 2,..., 5. (8.7)
Складывая первое уравнение системы (8.6) со вторым, а третье
с четвертым, получаем
ά[Ρλ+Ρ2] _
dt
_(λ+λ)1Ρ1+Ρ2]+!χ[Ρ3+^];
d[P3+PA ^Q+T) [РЛр2]_{1 + ^[Рз+Рл] + 2[Хр5.
dt
(8.8)
Обозначим
at
Ρ«»=Ρι{ί)+Ρ2{*)·,
Рм=Рз(()+Р^)\
P(2)=P5(t).
Тогда уравнения (8.8) можно записать как
Αο)=-(λ + λ)/>(0) + μ/>(ι>;
Αι> = (λ + 4Ρ<ο>-(λ + μ)Λι> + 2!^(2);
Λ2)=λΛι)-2^(2)
350
(8.9)
(8.10)

рис. 8.4. Упрощенная марковская диаграмма'
переходов: конфигурация с резервированием
с начальными условиями
Я(0,(0)=1, />(1)(0)=0, Р(2)(0)=0. (8.11)
Дифференциальные уравнения (8.10)
соответствуют диаграмме переходов па
рис. 8.4, включающей состояния (0), (1)
и (2). Для состояния (0) имеется часто'
та выхода λ+λ и частота входа μ.
Значения состояния (0), (1) и (2) приведены
па том же рисунке.
Уравнения (8.10) можно проинтегри*
ровать численно. Если требуется
аналитическое решение Pit можно
воспользоваться преобразованием Лапласа.
(0)
а)
u)\
Один элемент д
резерве
и один 6 работе
Один элемент 8
работе |
и один в ремонте \
4 !
2β\ л
I Τ
Два элемента I
в ремонте I
8.2.2. Параметр резервирования Q\t\
Параметр Qr(t) =Рг(А[)В) есть коэффициент простоя резерва
{Ау В}\ он равен вероятное ι и того, что оба элемента А и В
находятся в ремонте в момент /. Таким образом,
Q(t) = PuM- (8.12>
Пример 1. Облегченный резерв. Рассмотрим зарезервированные насосы χ чадо-
носителя А и В, представленные на рис 8 1. Примем следующие частоты
отказов и ремонтов для каждого насоса:
λ =Ю-3(ч-1), λ = 0,5χ 13-3(ч-1);
μ = 13-2(ч-1).
Вычислить параметр Q,(t) при значениях t, равных 100, 500 и 1000 ч.
Решение. Подставляя Р{2)=\—Р(0>—Рц) во второе уравнение системы·
(8.10), получим
(0) ) = [ ~λ-λ, μ
^Al>/ V λ+λ —2μ, -(λ + 3μ) / \У(г)
Преобразование Лапласа от Рц) связано с L\P(i)] и P(i)(0) соотношением
)£
(0) \ / 0
2μ
(8.13)·
L />(,·, = J PU)(t)e-sldt = sL[Я(,·)] -P(/)(0).
(8.14)
Далее, преобразование Лапласа от постоянной 2μ определяется по формуле·
£[2μ]
: Γ2μβ"5ί dt =
2μ
(8.15),
ним образом, преобразование обеих частей уравнений (8.13) дает
1^1Р(0)]^\\ Ι -(λ + λ).
м ι -t- ι
■),* \/ЦР(о)]
\,sL [P(l)] - о ) \\. j. χ _ 2μ, - (λ + 3μ) ' \ L[P(1)]
3511

/ x+l + s,-, U UPM]\f l\
\_λ_λ_2μ, _(λ+3μ+5) /V L[Pb)] J \2μ/β'
: и ремонтов в уравнение (8.16), получим
Ι\ί[Ρω)) \ixu-4el
Подставляя величины частот отказов и ремонтов в уравнение (8.16), получим
5 + 1,5χ 1Э-з, — 10—2
,1,85 X 10-2, 5 + 3,1 X 10—2>
Это система линейных уравнений для /-[/%>] и L[P(i>] и ее можно решить:
^ + 3,1 X 10-2 2Х1Э-*
1 (0)J (s + a) (s + b) s(s + a)(s + ty
/го , 1,5X10-3 3X10-5
(8.18)
(8.19)
(8.2J)
(8.21)
(S.22)
(s + a) (s + b) s(s + a)(s + b)9
где а= 1,05436Х10-2; 6 = 2,19564Х 10"2.
Из стандартных таблиц для обратных преобразований Лапласа имеем
\(s + a)(s + b)J Ь-ак ''
\s(s -h a) (s Jr b)J ab \ b—a b — a]
С помощью этих обратных преобразований получаем
Р(0)= 0,863933 + 0,13J340e-fl/ + 0,005727е~*';
P(1) = 0f129593 —0,117879е-в<—0,011711e-w.
Таким образом, параметр Qr(t) для аварийного сочетания
<?г (^) = 1 _ Ρ _Ρ == 0,OD6477 — 0,012461 e-o,oi0543M + 0,ЭЭ5984 е-°'21956Ч
(8.23)
•что приводит к следующим результатам:
' Qr(0
100 0,002801
500 0,006413
1000 0,006477
Пример 2. Ненагруженный резерв. Примем следующие частоты отказов и
ремонтов для насосов хладоносителя А и В:
λ = Ю-3(ч-1); λ = 0; μ = 10—2(ч—ΐ).
Вычислить параметр Qr(t) при Г, равном 100, 500 и 1000 ч.
Решение. Подставив частоты отказов и ремонтов в уравнение (8.16),
получим
^ + 0,001,-0,01 W L[P(0)]\ / 1 \
\0,019, 5 + 0,031 )\L[P{1)]) \0,02/s)' К'
352

Уравнение имеет решение
,ГР 1 * + 0,031 0,0)12 .
1 lPW ~ (s + a)(s + b)+s(s + a)(s + b)' (^°}
0,001 0,0ЭЭЭ2
L[Pn\] = ' + Г» (8·26)
L (1)J (s + a)(s + b) s(s + a)(s + b)'
где α = 0,0100839; 6 = 0,0219161.
Обратное преобразование для уравнений (8.18) — (8.20) дает
Р(0) = 0,934983+ 0,391488 e~fl/+ 0,033532 e~bt; (8.27)
Р(1) = 0,093498 4- 0,083139 e~at — 0,037389 e~bt; (8.28)
ρΓ(0 = ΐ-Λο)-ρω· <8·29)
В итоге получаем
t
<Μ0
100 0,001896
500 0,004468
1000 0,004522
Пример 3. Нагруженный резерв. Пусть насосы хладоносителя Л и В имеют
частоты отказов и ремонтов соответственно
λ = λ = 1 Э-з [ч-i); μ = 10-2 (ч-i).
Вычислить Qr(t) при значениях t, равных 100, 500 и 1000 ч.
Решение. В этом случае насосы Л и В статистически независимы, и можно
вычислить Qr(t)t не решая дифференциальные уравнения (8.13).
Из уравнения (4.120) коэффициент простоя насоса Л равен коэффициенту
простоя насоса В:
—^-(1_е-~(^>0 =Q(t). (8.33)
Таким образом, из уравнения (7.94)
Qr (0 = Q (О2 = (-цг)2 (1 - β-<λ+μ")2 = <8·31)
=Ш-2(177)2'-"+№+ Ш·-"*"- ,8·32)
= 0,038265—0,016529 е"0'011' + 0,038265 е"0'022'. (8.33)
Следовательно,
t Qr(t)
100 0,003679
500 0,008198
1000 0,008265
Из примеров 1—3 видно, что коэффициент простоя для нагруженного
резерва больше коэффициента простоя для облегченного резерва и меньше
коэффициента простоя для ненагруженного резерва.
Пример 4. Коэффициент простоя системы Qs(t). Рассмотрим систему
охлаждения и очистки отходящего газа, представленную на рис. 8.1. Возьмем частоты
отказов и ремонтов из примера 1 для насосов хладоносителя (облегченный
резерв) и частоты из примера 2 для циркуляционных насосов (ненагруженный
353

резерв). Примем далее следующие частоты отказов и ремонтов для
нагнетательного вентилятора С, питающего насоса Ε и филыра Н:
λ*= 13-4; μ* = 10-2.
Оценить коэффициент простоя системы Qs(t) при значениях /, равных 100, 500
и 1000 ч.
Решение. Из примеров 1 и 2 имеем
/
100
500
1000
Яг'Ц)=Рт(АПВ)
0,002801
0,006413
0,006477
Qr-'(t)=Pr (FriG)
0,001896
0,004468
0,004522
Далее,
Q*(0 = Рг (С) = Pr (Ε) --= Рг (Я) = Х (1 - *-&*+*■*) <) =
λ* -f- μ*
= 0,0D99Jl[l-e-°·010"].
Таким образом,
/
100
500
1000
QMO
0,006295
0,009838
0,009901
Выражения (8.1) и (8.3) принимают вид
Qs (Omax = 3Q* (О + о; (0 + q; (0;
О, (Omln = Qs (Omax - 3Q* (ί)2 - 3Q* (<) Q'r (t) - 3Q* (ί) Q", (έ)
что дает следующие результаты:
/
100
500
1000
<VW
0,025472
0,040395
0,040702
<V>mln
0,025259
0,039755
0,040052
Выше рассматривалось резервирование с двумя элементами.
Рассмотрим теперь систему охлаждения и очистки отходящего
газа, представленную на рис. 8.5, которая содержит систему насосов
хладоносителя типа «два из трех». Примем, что каждый насос
имеет частоту отказов λ, когда работает, и λ, когда находится в
резерве. Примем также, что одновременно в ремонте может
находиться только один насос. Возможные переходы состояний
показаны на рис. 8.6. Состояние 1 означает, что насос А находится в
резерве, а насосы D и В являются основными. Состояние 13
соответствует тому, что насосы Л, D и В находятся в ремонте, но в настоя-
<?;<oq;<o.
(8.34)
354

стходяща
газ
\/ V V V V
/ А
-01
-^
/г погпотитепю
, J
Очищенный
потоп
ъ
Рис. 8.5. Система охлаждения и очистки отработавшего газа с охлаждающими
насосами, построенная по принципу «два из трех»:
/ — охлаждающие насосы; 2 — вспомогательный вентилятор; 3 — сетчатый фильтр; 4 —
предварительный газоочиститель; 5 — два циркуляционных насоса предварительного
газоочистителя; б —питательный насос
щий момент ремонтируется только насос А. Переход из состояния 7
в состояние 13 происходит в том случае, когда отказывает насос В.
Насос В ставят на последнее место в очереди на ремонт в
состоянии 13. Переход из состояния 13 в состояние 12 происходит при
завершении ремонта насоса А В состоянии 12 ремонтируется
насос D. Аналогичным образом можно объяснить другие переходы.
Состояния, представленные на рис. 8.6, можно объединить, как
показано на рис. 8.7. Состояния в первом ряду на рис. 8.6 можно
рассматривать как подсостояния состояния (0) на рис. 8.7. В
состоянии (0) подразумевается наличие одного резервного и двух
работающих насосов. Аналогичным образом состояния во втором ряду
на рис. 8.6 являются подсостояниями состояния (1), в котором
имеется два основных насоса и один насос в ремонте. Состояние (0)
имеет подсостояния 1, 2 и 3. _Каждое подсостояние переходит в
состояние (1) с частотой 2λ+λ. Таким образом, вход со стороны
состояния (0) в состояние (1) задается выражением
(2λ + λ)Ρ1 + (2λ + Γ)Ρ2 + (2λ4^)Ρ8=(2λ + λχΡ1 + Ρ2 + Ρ8) =
:(2λ + λ)Ρ,
(о)·
355

^
I ' ^
^
^
J *
^ '
<<
V /
^
iT
^
*
* 1
s
я:
я:
^
1 ^
^
1
-ΧΑ
c< /
^
^
^ 1
*
* 1
^
1 «X-
4 1Л
к / \
? 1
*
* 1
&
X
CQ <L>
§&-
CD ^
£-«
S C3.
S С
О. Ь·
s
α.
356

Рис. 8.7. Упрощенная диаграмма
переходов для конфигурации с резервированием
насосов типа «два из трех»
Это означает, что переход из
состояния (0) в_состояние (1) имеет
частоту (2λ + λ), как показано на рис.
8.7. Значения частоты других
переходов можно вычислить тем же
путем.
С помощью диаграммы
переходов, представленной на рис. 8.7,
получаем следующие
дифференциальные уравнения:
Состояние(О)
Состояние (1)
.Состояние (Ζ)
Достояние (J)
Η пенсы в резерве -1,
в работе-Ζ,
8 ремонте не π
гл-ы
Насосы В резерве -нет,
в работе-Ζ,
в ремонте-!
β
Ζλ
Насосы в резерве-нет,
в ρ а ооте -1,
в ремонте-Ζ
β
Насосы в резерве-нет,
в работе-нет,
в ремонте-J
Я(0)= --(2λ + λ)Ρ(0)+μΡ(1);
Αι) = (2λ + λ) Ρ(0) - (2λ + μ) Ρω + μΡ(2);
Ρ(2) = 2λ/»(ι) - (λ Η- μ) Ρ(2) + μΡ(3);
Ρ(3) = λΡ(2)-μΡ(3) j
с начальными условиями
^(о)(0) = 1; Я(1)(0)=Я(2)(0)=Р(3,(0) = 0
(8.35)
(8.36)
Эту систему уравнений можно интегрировать численно, и, таким
образом, получить вероятности P(i).
Для того чтобы функционировала система с охлаждающим
насосом, представленная на рис. 8.5, должны работать два насоса.
Таким образом, параметр резервирования Qr(t) для события
«работает меньше двух насосов» определен выражением
Qr(t)=P(2)V)+P(3){t)·
(8.37)
Пример 5. Резервирование с тремя насосами. Примем следующие значения
частот отказов и ремонтов (ч"1):
λ =13-3; λ = 0,5χ ΙΟ"3; μ= 1Э~2.
Вычислить Qr(t) при значениях t, равных 100, 500 и 1000 ч.
Пол шение· п°дставим значения частот отказов и ремонтов в уравнение (8.35).
ученные в результате дифференциальные уравнения можно проинтегрировать
по методу, приведенному в прил. 8.1; их решение дает:
357

Рис. 8.8. Дерево отказов для системы охлаждения и очистки отходящего газа
(О (О
100
500
1000
Р(2)(П
0,011429
0,036325
0,038238
Р(3)(П
0,002716
0,003836
0,003832
Qr(t)
0,014145
0,040161
0,042070
Пример 6. Коэффициент простоя системы. Дерево отказов для системы
охлаждения и очистки отходящего газа, представленной на рис. 8.5, приведено на
рис. 8.8. Возьмем частоты отказов и ремонтов из примера 1 для насосов хладо-
носителя, а частоты из примера 2 — для циркуляционных насосов. Примем также
частоты отказов и ремонтов из примера 4 для нагнетательного вентилятора С,
водяного насоса Ε и фильтра Я. Вычислить нижний и верхний пределы для
коэффициента простоя системы Qs(t) при /=1000 ч.
Решение. Дерево отказов имеет следующие минимальные аварийные
сочетания:
{С}, {Е}, {//}, [А, В}, [В, D), [D, A], [F, О].
С помощью принципа включения — исключения в соответствии с уравнением
(7.103) определяем следующие верхний и нижний пределы для
Qs(t)=Pr(Ci)E[)Hi) 1(A(\B)V(B(\D)[){D(\A)][)IF(IG]). (8.38)
Первое крайнее значение Qs (*)max ~ Pf (С) + Рг (£) -f- Pr (H) +
+ Рг((ЛП^)и(^П£>)и(^ПЛ)) + Рг(/-ПО). (8.39)
Второе крайнее значение Qs (Omin== Qs (О «^max —
Рг (С) Pr (E) —
— Pr(C)Pr(ff)-Pr(C)Pr((A[\B)[)(B(\D)[}(D(\A))-Pr(C)Pr{FnG) —
358

— P*{F.)Pr(H) — Pr(E)Pr((A()B)l)(B(]D)[}(D(]A))-Pr(E)Pr(F(]G) —
— Pr(H)Pr((A(]B)[}(B(]D)[}(D(\A))-Pr(H)Pr(F(\G)-
— Pt((A(\B)(\(B()D)\)(D()A))Pr(F(]G). (8.40)
Вероятность Pr((Af\B)[}(BT\D)\J(Df]А)) определяем через Qr(t) из
примера 5. Затем Рг(С) = Рг(£) =Рг(//) вычисляем как Qv(t) из примера 4,
а Рг^П^) равно Qr" (t) из примера 4. Таким образом,
Qs (Omax = 3Q* (О + Qr (О + (?; (О = 3 X 0,039931 4- 0,042373 +
+ 0,034522^0,076295;
Qs (Orain = 0,076295 - 3Q* (О2 - 3Q* (О Qr (О - 30* (О Q; (О -
— Or (О 0^(0 = 0,076295— 0,000294— 0,001250 — 0,030134 —
-0,033193 = 0,074427.
Таким образом, коэффициент простоя системы ограничивается следующими
величинами:
0,074427 <Oj (О < 0,076:95.
В качестве общего случая рассмотрим резервирования,
удовлетворяющие следующим требованиям:
1) резервирование состоит из η идентичных элементов;
2) резервированная конфигурация имеет т(^п) основных
элементов;
3) одновременно в ремонте могут находиться самое большее г
элементов.
Объединенная диаграмма переходов представлена на рис. 8.9,
откуда можно получить следующие дифференциальные уравнения:
Ао) = —λοΛο)+μιΛι>;
Λ*>=λ*-ιΛ*-ι>-(λ* + μ*)Λ*>+μ*+ι *W * (8·41)
P(n) = K-l Ля-)"" Ря Λ«)ι
где λΛ=/τζλ + (^ — т— Α)λ для 0<£<#— /и;]
h = {n—k)X для я —/ю+1 <А <л--1; (8.42)
μ·Λ = ιηΙη {γ, £}·|χ для 1 <;£<;#. |
Параметр Qr(t) определяется по формуле
Ог(0 = Л«-«+1)(') + -+Ля)(')- (8.43)
^Уравнение (8.10) — это частный случай уравнений (8.41), где
?<Го1\т==^ а г==^· Аналогичным образом получаем уравнение
(«.35) из уравнений (8.41), приняв я = 3, т = 2 и г= 1.
359

Состояние (0)
Элементы: п-т в резерве, т 6работе,
в ремонте-нет
β χ теп [п /}
Состояние (/)
тл+(л-т)л
Элементы: п-т-7 в резерве, т в работе,
в ремонте -нет
β к ПИП
βΧΠΊΙΠ \ПП-,
{/77-/77} А
\ тх+(п-т-1)
ι
/77Л+Л
Состояние (п-т)
Мхтм[пп-т+7}
Состояние(п-тН)
Элементы: в резерве-нет, т в работе,
п-т в ремонте
Л7Л
Элементы: в резерве-нет, т-7 в работе,
п-т Η в ремонте
β χ тип [г-
•π-m+z] Τ
Г/77-;; л
β χ тел [г, л} А
Состояние(п)
Элементы ·· в резерве и работе -нет,
π θ ремонте
Рис. 8.9. Диаграмма переходов для конфигурации с резервированием типа
«т из п»
360

8.2.3. Установившееся значение параметра резервирования Qr[t)
Решение уравнений (8.41) для установившегося состояния
удовлетворяет следующей системе уравнений:
ο=-λοΡ(0) + μ·ιΛΐ); |
ο=λΛ_1 λ*-ι)- (λ*+μ*) Λ*)+«**+! Λ*+ι>; (8·44)
ο=Κ-ιΡ(η-ι)-\><ηΡη· >
Введем обозначение
Λ*=-λΛΡ(Λ)+μΛ+1Ρ(Λ+1), ft = 0, ... , л-1. (8.45)
Тогда уравнение (8.44) можно записать в виде
л0 = 0;
nk — πΛ_1 = 0, Λ= 1, ... , /г— 1; [ (8.46)
Другими словами,
Яо = Я1 = . . . = ЛЛ_1 =0.
Если μ/i+i^O при & = 0, ..., η—1, то
μ·ιΡ2 ··· μ*+ι
/г — 1.
Так как сумма всех вероятностей равна единице, имеем
Ί*) =
:1.
Σ «*
/е = 0
(8.47)
(8.48)
Установившееся значение Qr(°o) легко получить по формуле (8.48).
Пример 7. Резервирование с двумя насосами. Вычислить установившееся
значение коэффициента простоя Q, (оо) для системы насосов из примеров 1, 2 и 3.
Решение. Заметим, что п = 2, т=\, а г = 2. С помощью уравнений (8.42)
или (8.10) определим значения λ0, Ль μι и μ2.
Резерв
ненагруженный I нагруженный
0,002
0,001
0,01
0,02
Значения θ0, θ, и θ2 таковы:
361

Величина
β0=ι
о λ°
β, = -*&-
№2
облегченный
1
0,15
0,0075
Резерв
ненагруженный
1
0,1
0,005
нагруженный
1
0,2
0,01
Следовательно, вероятности Р(л> и Qr(°o) имеют следующие значения:
Величина
ΣΘ
Г θ0
Г°~ Σθ
1 Σθ
Pi~ Σθ
Q,(oo) = P(2)
Резерв
облегченный
1,1575
0,863930
0,129590
0,006479
0,006479
ненагруженный
1,105
0,904977
0,090498
0,004525
0,004525
нагруженный
1,21
0,826446
0,165289
0,008264
0,008264
Из примеров 1, 2 и 3 видно, что установившиеся значения Qr(t) можно
получить при /=1000 с точностью, равной ошибке округления.
Пример 8. Резервирование с тремя насосами. Рассмотрим систему насосов из
примера 5. Вычислить установившееся значение Qr(°°) для события «работает
меньше двух насосов».
Решение. Отметим, что л = 3, т = 2, а г=1. С помощью уравнений (8.35)
или (8.42) получаем
λ0 = 2λ + λ*= 0,0025, μ1 = μ= 0,01;
χ1==2λ = 0,032, μ2 = μ = 0,01;
λ2= λ = 0,031, μ3 == μ· = ο,οι.
Значения Θα таковы:
θ0=1; θχ = —ί- = 0,25;
λη λι Ал λ ι λο
θ2 = —2-J- = 0,05; θ3= =0,035.
μ-ι μ2 μ № μ-3
Таким образом, по формуле (8.48) определяем
(о) =
(ι)=
1,3)5 0,766284 0,191571
ι_. ρ ?L.
' Μ2)= νΐο
Лз) =
0,038314
0,033831
362

Следовательно, из выражения (8.37) имеем
Qr (оо) = 0,038314 + 0,033831 = 0,042145.
Это установившееся значение подтверждает величину Qr(t) для £=1000 из
примера 5.
8.2.4. Параметр системы ws[t)
Параметр ws(t) является важным в том смысле, что его
интегрирование в заданном временном интервале определяет ожидаемое
число отказов системы в этом интервале. Как было показано с
помощью выражений (7.118) и (7.119), верхний предел для w*(f)
можно определить по формуле
Nc
Рассмотрим дерево отказов, представленное на рис. 8.2. Это
дерево имеет пять минимальных аварийных сочетаний:
</1={С}, d2 = \E), ds = {H], d4={A, В], d5={F, G]. (8.50)
Выражение (8.49) принимает вид
®ло»«=<(о+^(/)+«;(о+<(о+«г(о. (8.51)
Для того чтобы реализовалось аварийное сочетание {Л, В},
должен произойти отказ насоса Л либо В в интервале от t+dt,
причем второе исходное событие уже имеет место в момент /. Таким
образом,
w\{i)dt=Px(А отказывает в интервале [t, t-\-dt\\A[\B
в момент ί)χΡχ{Α{\Β в момент t)-\-Pr(B отказывает в интервале
[/, t + dt]\A{]B в момент έ)χΡτ{Α(]'Β в момент t). (8.52)
Примем частоту отказов λ' для насосов А и В. Тогда
wMi(t)dt=\'dt[Pr{A()B в момент /) + Рг(ЛП# в момент t)]=
= \'dt.P'{l){f)% (8.53)
где P(i)'(t) —вероятность того, что в момент t существует один
отказавший насос; она определяется как решение уравнения (8.10).
Подобно этому
«ζ (*)=>/'Я^Ю, (8.54)
где λ" —частота отказов для насосов F и G; P(1)"(f)_ вероятность
того, что либо насос Р, либо G, но не оба, находятся в неисправном
состоянии в момент t.
Таким образом, верхнюю границу значения w8(t) можно
вычислить с помощью выражения
363

®>s (*)«« = h [ 1 - Qi (*)] + λ2 [ 1 - Q2 (t)] + λ3 [ 1 - Q3 (/)] +
+x'p;1)W+x"p;1)W. (8.55)
Пример 9. Система охлаждения и очистки отходящего газа, представленная
на рис. 8.1. Вычислить ws(t)m ах (№00) для частоты отказов и ремонтов из
примера 4.
Решение. Из примера 4 имеем
λι = λ2 = λ3 = λ* = 1Э—^; (8.56)
Qi (0 - Q2(0 = <?з (0 = . *" « (1 - β"<λ-+μ-) /} = э,0J99Л при ^ = 1 Ш;
Л* -|- μ-*
λ' = λ" = 13-3. (8>57)
Далее, из выражений (8.22) и (8.28) находим
р'(1) (О = о,12959j— j, 117879 е"0'0105436 ' - 0,011711 е"0'0219564 ' --=
=0,129587 при * = 1000; (8.58)
/>('1}(*) = 0, D9J49S— 0,0831 09 е"0'0100839 <- 0,0j7389 e"0'0219161 ' =
= 0,090495 при *=103J. (8.59)
Таким образом, из уравнения (8.56) получаем
«7lb*Jd;11IJX = 3 χ 1J—4 χ [1 — 0, JJ9JJ1J +■ 10-з χ 0,129587-Н
-+■ Ю-з χ 0,090495 = 0,000517 раза в 1 ч. (8.6J)
Рассмотрим теперь дерево отказов, приведенное на рис. 8.8. Оно имеет семь
минимальных аварийных сочетаний:
di={C}, d2={E], rf3 ={//}, d4={A,B], d5={B,D],
dQ={D, A], d7={F, G]. (8.61)
Обозначим через wr(t) ожидаемое число отказов насоса хладоносителя за
единицу времени в момент /. Тогда, подобно формуле (8.49), определим
верхний предел:
tMOmax = w\ (t) + w\{t) + w] (t) + Wr (t) + W*7 (t). (8.62)
Для того чтобы отказала резервированная система в интервале от t до t+dtt
один насос должен отказать в интервале времени (t, t+dt] при этом
резервированная система уже должна находиться в состоянии (1), (рис. 8.7). Частота
перехода из состояния (1) в состояние (2) равна 2λ. Таким образом,
«ν(0 = 2λΡ(1)(0, (8.63)
iAe P(i)(t) —вероятность того, что резервированная система имеет один
отказавший насос в момент t\ она определяется решением уравнений (8.35).
Пример 10. Система охлаждения и очистки отходящего газа,
представленная на рис. 8.5. Вычислить ws(t)max при /=1000 для частот отказов и ремонтов
из примера 6.
Решение. Можно использовать результаты, полученные в примере 9, для
параметров wl*(t)=w2*(t)=w3*(t) и wr*(t). Параметр wr(t) определяется по
формуле
«7(0 = 2 χ ΙΟ"3 χΡ(1)(1003) = 2 χ 10-з χ 0,1915061 =0,003383,
так как численное интегрирование уравнения (8.35) дает следующий результат:
Р(1)(Ю00)= 0,1915061.
364

Таким образом,
»ЛОтах= 3 X Ю-4 χ [1 _ 0,009901] + 0,000383+13-3 χ 0,090495 = 0,030771.
В качестве общего случая рассмотрим конфигурацию с
резервированием типа «т из п» при использовании г ремонтных бригад.
Пусть дерево отказов имеет аварийные сочетания, включающие
отказы элементов при резервировании. Вычисление ws(t)m^ можно
свести к оценке параметра wr(t), определяемого следующим
образом:
wr (/) — ожидаемое число отказов резервированной конфигурации в
единицу времени в момент t=mhP{n_m)(t), (8.64)
где P(n-m)(t)—вероятность того, что (п—т) элементов уже
находятся в состоянии отказа в момент t, т. е. вероятность состояния
(п—т) (см. рис. 8.9); т% — частота перехода из состояния (п—т)
в состояние (п—т+1).
3.3. КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМ, ПОДВЕРЖЕННЫХ
ОТКАЗАМ С ОБЩЕЙ ПРИЧИНОЙ
Система охлаждения и очистки отходящего газа, представленная
на рис. 8.1, имеет две конфигурации с резервированием. Такое
резервирование часто используют для повышения надежности
системы. Однако в этих конфигурациях необязательно достигается
достаточное повышение надежности, если оказываются вовлеченными
общие причины отказов. Этот вопрос обсуждался в гл. 3.
Рассмотрим аварийное сочетание {А, В] в дереве отказов.
Предположим, что на аварийное сочетание оказывает воздействие общая
причина С, которая возникает с частотой с. Пусть исходные
события А и В имеют частоты отказов λι и λ2, а частоты ремонтов
соответственно равны μι и μ2, если нет общих причин. Тогда поведение
аварийного сочетания можно описать марковской диаграммой
переходов, представленной на рис. 8.10. Здесь вспомогательный
переменный параметр 1 указывает на возникновение исходных событий,
в то время как переменный
параметр 0 указывает на не- Я/
возникновение событий.
Аварийное сочетание
реализуется, когда оно попадает в
состояние (1, 1). Общая
причина С создает
многоэлементный переход из
состояния (0, 0) в состояние (1, 1).
Известен ряд методов
количественной оценки систем,
Рис. 8.10. Марковская диаграмма
переходов для элементов (Л, В)у
.подверженных воздействию общей
причины С
365

подверженных отказам с общей причиной. Чу и Гейвер используют
для количественной оценки обычные марковские модели [Ι]. Везели
предложил применять метод Маршалла — Олкина к отказам с
общей причиной [2]. В этой книге предложен новый метод, с помощью
которого можно оперировать с любым числом исходных событий с
учетом возможности восстановления и действия.
8.3.1. Количественная оценка общих причин
Примем, что общей причине соответствует частота отказов с и
частота ремонтов Ь. Частота отказов г означает, таким образом,
частоту возникновения общей причины, в то время как частота Ь
относится к устранению этой причины. Поясним это на следующем
примере.
Пример П. Частота возникновения общих причин. Предположим, что пожар
случается 1 раз в год и, когда он возникает, продолжается в среднем 4 ч.
Определить частоты cub.
Решение. Обратная величина 1/с равна среднему времени до пожара. Таким
образом,
с= 1/(365 X 24) = 0,000114 (ч-1). (8.65)
Аналогично \/Ь равна средней продолжительности пожара
Ь^ 1/4 = 0,25 (ч-1). (8.66)
Когда возникает общая причина, то события общего характера
происходят одновременно. Таким образом, события общего
характера вызываются общей причиной с частотой wc(t), т. е.
ожидаемым числом появления общей причины в момент времени t в
единицу времени. Параметр wc(t) определяется формулой (4.103)
™c{t)=-^- + ^—t-( +»". (8.67)
с -\- b с + b
Таким образом, установившееся значение
wc (оо)= -^—= —! . (8.68)
сК с + Ь (1/с) + (1 + «
В большинстве случаев среднее время до возникновения общей
причины 1/с значительно больше, чем средняя продолжительность
существования этой причины:
l/c^l/b. (8.69)
Это неравенство означает, что общая причина возникает в виде
последовательности импульсов; в результате, формула (8.68)
принимает простой вид:
wc(oo) = c. (8.70)
Эта зависимость определяет частоту с для марковской диаграммы
переходов, представленной на рис. 8.10. Заметим, что состояние
(0, 0) изменяется на состояние (1, 1), когда возникает общая
причина.
366

8.3.2. Коэффициент простоя системы Q,(/)
Любую последовательность общих причин можно отнести к
одному из следующих двух классов, показанных на рис. 8.11:
1) общих причин не возникает до момента /;
2) последняя общая причина возникает в интервале от и—du до
Дав интервале от и до / общих причин не возникает.
Вероятность Pi для класса 1 равна
Р^ег", (8.71)
в то время как вероятность Р2 для класса 2
Я2 = Рг(общая причина в интервале {u — du, и\) χ
χ Рг (ке возникает общих причин з интервале (и, t\ при условии,
что общая причина возникает в интервале {u — du, и]) = (8.72)
=wc (ос) du e~c <'-"> =се~< <'-"> du. (8.73)
Для класса 1 исходные события А к В общего характера
развиваются в соответствии с обычной марковской диаграммой
переводов, представленной на рис. 8.12, а, с начальным условием (О,
О) в момент, равный нулю. Для класса 2 события А к В общего
характера попадают в состояние (1, 1) в промежуток времени (и—
—du, и), и марковский процесс начинается в соответствии с
диаграммой, представленной на рис. 8.12, б. Для этого процесса
начальное условие есть (1, 1) в момент и. Заметим, что вероятности
состояний для этих двух диаграмм можно легко вычислить, так
как исходные события независимы благодаря отсутствию общих
причин.
Рассмотрим диаграмму, представленную на рис. 8.12, а, для
класса 1. Оба исходных события А к В представляют собой
состояния отказа в момент t с вероятностью, равной
2
Π ( — )(1-β-(λ'+μ'}'). (8.74)
ЛЛ \ λ/ + μ,/ /
С другой стороны, рассмотрим диаграмму, представленную на рис.
8.12, б, для класса 2. Следует заметить, что для этой диаграммы
начальное условие есть (1, 1) в момент и. Таким образом,
вероятность того, что и Л и β находятся в состоянии отказа в момент t,
равна
2
Π ( λί + μ< е-^·^ ('-"ή. (8.75)
/—1
Следовательно, вероятность того, что А к В находятся в
состоянии отказа в момент t при действии общей причины, можно
вычислить в виде взвешенной суммы по формулам (8.74) и (8.75).
Весовые коэффициенты определяются соответственно выражениями
367

Общ а я при чина ^.
Нет общей
причины ^
Общая причина —**
Нет общей
причины —э*
Класс 1:нет общей причины
до помента t
Класс 2: общая причина появляется
6 интербале (и-du, υ)
и нет общей причины
б интербале от и до t
Общие причины
О u-du и t
Время
Рис. 8.11. Классификация последовательностей при общих причинах
Я; Я;
Рис. 8.12. Марковская диаграмма переходов для общих причин в классах 1 и 2
с начальными состояниями в моменты / = 0 и t = u:
а — класс 1; б — класс 2
368

(8.71) и (8.73). Таким образом,
2
Рг(АГ\В в момент /) = е-«П ("Т"^—Vi_e-(X'+,l')/) +
\ λ/ + μ/ /
/-1
С съ-с (/-«) Π f—^i_ + ^ β"(λ'+μ'} (,"β)) da. (8.76)
J M " \ λ/ Η- μ/ λ/ + μ/ /
I
0 ί = 1
Уравнение (8.76) можно распространить на случай с η исходными
событиями Ль ..., Ап общего характера. Заменив 2 на л, получим
η
Рг(Л1П...ПЛ„ в момент t) = *r'* Π i-li—){\ - ίΓ^'^ ') +
V м -г μ/ /
+ ίc e"" Π (ί^Γ +^7 «""■"" 1 "· ,8·77)
0 /=1
где 5 определяется как s = t—и. Это уравнение в сочетании с
принципом включения — исключения позволяет определить нижний и
верхний пределы для коэффициента простоя Qs(t).
Пример 12. Система типа «два из трех». Рассмотрим систему голосования
типа «два из трех», состоящую из элементов 1, 2 и 3. Предположим, что
элементы 1 и 2 испытывают воздействие общей причины С. Вычислить коэффициент
простоя системы Qs(t) при /=100, принимая λι = λ2=λ3 = 0,001; μι = μ2 = μ3 =
= 0,004; с=0,0005.
Решение. Система имеет три аварийных сочетания
^{1, 2}, d2 = {2, 3}, rf3={3, l}. (8.78)
Подобно примеру 11 в гл. 7 имеем следующее выражение:
Qs (t) = Pr (dx) -h Pr (d2) H- Pr (rf3) - [Pr (<*i П d2) + Pr (d2 П rf3) +
+ Рг(^зП^1)] + Рг(^1П^2П^з). (8.79)
Следует заметить, что элементы 1 и 2 являются зависимыми, т. к. они
подвержены воздействию общей причины С. Следовательно,
μ] pr (do+pr (d2)+рг (rf3>] = о; (о+οί(ο+Qiv) =
= Pr (1 Π 2) -f Pr (2) Pr (3) + Pr (3) Pr (1); (8.80)
[B] [Pr (^ Π d2) + Pr (rf2 П rf3) + Рг № П d{f\ = Pr (1 Π 2) Pr (3) +
+ Pr (1 П 2) Pr (3) + Pr (1 Π 2) Pr (3) = 3Pr (1 Π 2) Pr (3); (8.81)
[С] Pr(dlf]d2f]d3)-^Pr(\f]2)Pr(3). (8.82)
Зная частоты отказов и ремонтов, получаем
λ/ + N = 0,035; ——>■ -0,2; —- = 0д
А/ + μ/ λ/ -f- μ./
На элемент 3 не действует общая причина. Таким образом,
Рг (3) = 0,2 (1-е-а005,) = 0,078694.
369

Элементы 1 и 2 подвержены воздействию общей причины С.
Пусть в уравнении (8.77) п=\. Тогда
Pr(l) = Pr(2) = e-0'005/xO,2x(l-e-0'005/)-f
\ 0,0005 e-°'0005s (0,2 + 0,8 е"0'005*) ds = 0,2727.7(1 - е"0'0055^ 0,115377.
Если в уравнении (8.77) л = 2, то
Рг (1 П 2) = e-°'0005/ χ [0,2 χ (1 - e-0>005')P +
0,0005 e-°'0005s (0,2 + 0,8 е"0'005*)2 ds = 0,099567 - 0,109091 e"0'0055' +
+ 0,009524 е-0'0105'- 0,039960.
Следовательно,
[A] =0,039960 + 2 χ 0,115377 χ 0,078694 = 0,058119;
[В] = 3 Χ 0,039960 Χ 0,078694 = 0,009434;
[С] = 0,039960 Χ 0,078694 = 0,003145;
О,(Отах=И]=0,058119;
Qs (Omax = [Л] - [В] = 0,048685;
0,(0 = W ~ [*] + [С] =0,05183.
Рассмотрим теперь случаи, когда каждая из т общих причин
С\, ..., Ст влияет на некоторые из η исходных событий Ль ..., Ап-
Обозначим через С/ появление общей причины d к моменту t и
через Ci непоявление d к моменту t. Предположим, что общая
причина является маловероятным событием. Тогда можно
ограничиться следующими случаями: _ _
0) нет общей причины к моменту /, т. е. С\{\ ... [\Ст\
1) имеется причина Си но нет никаких других причин к моменту
/, т. е. Cinc2n...nCm;
т) имеется причина Ст, но нет никаких других причин к
моменту t, т. е. Cif| ... [\Ст-\[\Ст.
Другими случаями можно пренебречь, потому что в них
включается возникновение нескольких причин к моменту t. Вероятность
Ργ(ΛιΠ ··· ГИп) в момент t можно выразить в виде взвешенной
суммы вероятностей для случаев 0, ..., т. Проиллюстрируем это
следующим примером.
Пример 13. Система типа «два из трех». Примем λ{ и μι из примера 12.
Предположим также, что элементы 1 и 2 подвергаются воздействию общей
причины Си а на элементы 2 и 3 влияет общая причина С2. Частоты для С\ и С2
Cl = c2 = 0,0005.
Оценить значение коэффициента простоя Qs(t) при ^= 100.
Решение:
ИЛРг(^1) + Рг(^2) + Рг(йГ3)]=Рг(1П2) + Рг(2ПЗ) + Рг(ЗП1);
[В] [Рг {αχ Π d2) + Pr (d2 Π d3) + Pr (rf3 П d{i] = 3Pr (1 Π 2 Π 3);
ИРг(^1ПйГ2П^з) = Рг(1П2ПЗ).
370

Чтобы вычислить [Л], [В] и [С], нужно рассмотреть две общие причины
С] и С2. Имеем_сле^ующие три случая.
Случай 0. С\[\С2. В этом случае никаких общих причин не возникает к
моменту t. Таким образом, исходные события 1, 2 и 3 независимые и
Рг (1 Π 2) = Рг (1) Рг (2) = [0,2 (1 — е-0'005/)]2 = 0,006193;
Рг (2ПЗ) = 0,006193;
Рг(ЗП1) = 0,006193;
Рг(1 Π 2 П3) = 0,000487.
Весовой коэффициент для случая 0
Pr(Ci Π С2)= е-'** е~с*' = е"0'001' = 0,904837.
Случай 1. Cif)C2. В этом случае к моменту времени t возникает только
общая причина Сь а исходное событие 3 является независимым от событий 1
или 2. Следовательно,
Рг(2ПЗ) = Рг(2)Рг(3);
Рг(ЗП1)=Рг(1)Рг(3);
Рг(Щ2ПЗ) = Рг(1П2)Рг(3).
Так как общая причина С2 не возникает для исходного события 3, то
Рг (3) = 0,2(1 — в"0'005') = 0,078694.
Исходные события 1 и 2 подвержены воздействию общей причины С\. Эту
общую причину можно классифицировать в соответствии со временем ее
последнего возникновения, а Рг(1) или Рг(2) можно вычислить с помощью второго члена
(п=\) в правой части уравнения (8.77), при этом первый член правой части
уравнения представляет собой вклад, вносимый «отсутствием общей причины к
моменту t»:
t
Рг (1) = Рг (2) = [ 0,0005 е-0'00055(0,2 + 0,8 е"0'005*) ds =
о
= 0,272727 —0,2 е-0'0005/ — 0,072727е"0'005^ = 0,040521.
Аналогично,
Рг (1 Π 2) = f 0,0005 β"0'00055 (θ,2 + 0,8 е"0'00055)2 tfs = 0,034069.
6
Таким образом,
Рг (2Π3) = 0,040521 χ 0,078694 = 0,003189;
Рг(ЗП 0 = 0,040521 χ 0,078694= 0,003189;
Рг(1 Л2ПЗ) = 0,034069 χ 0,078694 = 0,002681.
Весовой коэффициент Pr(Cx[\C2) = Pr(Ci)Pr(C2). Однако коэффициент Pr(d) =
"= с\ e~~ClSds, 5^Ξ[0, ^включен в качестве весового в подынтегральное
выражение в правой части формулы (8.77). Таким образом, только величина Рг(С2) =
е'~ 2 -= β~°'000ι/ = 0,951229 является множителем в окончательном выражении
для взвешенных сумм.
Случай 2. Ci[\C2. Пользуясь симметрией со случаем 1, имеем
Рг(ЗП1) = Рг(Щ2) = 0,003189;
371

Pr (2П3) = 0,034069;
Рг(1П2ПЗ) = 0,002681.
Значение весового коэффициента
Рг (СО =0,951229.
Взвешенные суммы таковы:
Рг(1 η 2) = 0,006193 χ 0,904837 + 0,034069 χ 0,951229 + 0,003189 χ
Χ 0,951229 = 0,041045;
Pr (2 Π 3) = Pr (1 Π 2) = 0,041045;
Pr (ЗП 1) = 0,006193 χ 0,904837 + 0,003189 χ 0,951229 +
+ 0,003189 χ 0,951229 = 0,011671;
Pr (1 П2ПЗ) ■+■ 0,000487 χ 0,904837 + 0,0026*81 χ 0,951229 +
+ 0,002681 χ 0,951229 = 0,005541.
Коэффициенты простоя
ΙΑ] = Pr (1 П2) + Pr (2П3) + Pr (ЗП 1) = 2 Χ 0,041045 +0,011671 = 0,093761;
[В] = ЗРг (1 Π2 Π3) = 3 χ 0,005541 =0,016623;
[q = Рг(1 П 2 П3) = 0,005541;
Qs (Omax = [A] =0,093761;
Q5 (Oram = [A] - [В] = 0,077138;
Qs (0 = [A] - [B] + [C] =0,082672.
В случае 0 этого примера коэффициент готовности для ситуации без общей
причины имеет следующие значения:
Qs (Omax = 0,018579;
Qs (Oram = 0,017118;
Qs (t) = 0,017605.
Наблюдается значительное ухудшение коэффициента готовности системы за счет
действия общих причин С\ и С2.
8.3.3. Параметр системы ws[t)
Как показано на следующем примере, аналогичные вычисления
можно выполнить для параметра системы ws(t).
Пример 14. Система типа «два из трех». Вычислить верхний предел
параметра ws(t)так для системы из примера 12.
Решение:
U>s (Omax = w[ (О ■+■ w\ (ϊ) ■+■ w\ (t).
Рассмотрим сначала слагаемые Wi*(t). Аварийное сочетание rfi = {l, 2}
реализуется, если: '
1) оба элемента 1 и 2 отказывают одновременно из-за общей причины С,
когда аварийное сочетание находится в состоянии (0, 0) = 1|)2, или
2) элемент 1 отказывает с частотой λι или с, когда аварийное сочетание
находится в состоянии (0, l) = lf|2, или
372

3) элемент 2 отказывает с частотой λ2 или с, когда аварийное сочетание
находится в состоянии (1, 0) = 1R2.
Таким образом,
^7(0 = ^ Рг (Ί Π 2) + (с -Ь λχ) Рг (Τ Π 2) + (с -+- λ2) Рг (1 П 2) =
= с[Рг(ТП2) + Рг(ГП2) + Рг(1П2)] + Х1Рг(1П2) + Х2Рг(1П2) =
= 0,0005 [1 — Рг(Щ2)] Н-2 X 0,001 хРг(ТП2).
Из примера 12 имеем
Рг(1П2) = 0,039960.
Подобно выражению (8.77) имеем следующее выражение для Pr(lf|2):
Рг (ТП 2) = е-0'0005/ X 0,2 (1 - е-0-005/)(0,8 +0,2 β"0'005') +
-f Г 0,0005 β"0'00055 χ 0,2 (l - е"0'0055) (0,8 + 0,2 е"0'0055) ds - 0,070915,
δ
где член 0,2 (1—e-°>005s) есть вероятность того, что элемент 1 функционирует
в момент t при условии, что он был неисправен в момент времени t—s\
член (0,8 + 0,2e-°>005s) есть вероятность того, что элемент 2 отказывает в
момент t при условии, что он был неисправен в момент t—s;
0,0005e-°>005sds есть весовой коэффициент, который показывает, что общая
причина возникает в интервале от t—s—ds до t—s и не возникает в интервале
ют t—s до t. Следовательно,
о>1 (0 = 0,0005 [1—0,033360] +2 X 0,001 χ 0,070915 = 0,000622.
Выражение, определяющее параметр w2*(t) для аварийного сочетания,
принимает вид
wl (t) = (с ■+■ λ2) Рг (2 Π 3) ■+■ λ3 Рг (2 Π 3) - 0,0015 Ρ г (2) Рг (3) +
4- 0,001 Рг (2) Рг (3) = 0,0015 [1 - Рг(2)] Рг (3) f 0,031 Рг (2) [1 — Рг (3)] .
Используя Рг(2) и Рг(3) из примера 12, получаем
w*2(t) = 0,0015 [1 — 0,115377)0,078694 -j- 0,001 χ
Χ 0,115377 [1 — 0,078694] =0,000211.
Из условия симметрии
wl (t) = w\ (t) = 0,000211.
Следовательно,
«MOmax = 0,000622 ■+■ 0,000211 + 0,000211 = 0,001044.
Приложение 8.1. Метод численного интегрирования линейных
дифференциальных уравнений
Рассмотрим линейное дифференциальное уравнение
Р(0=АР(0. Р(0)=Р0, (О
где Р—/г-мерный вектор; А —матрица размера пХп.
гл\1Ъ ^ есть малое приращение времени. Определить новую матрицу пХп,
ехр [ΑΔ] с помощью разложения в ряд Тейлора:
яч/ач г. А2Д2 А3 ДЗ А4 Δ4
Φ(Δ) = 6χρ[ΑΔ] = Ι + ΑΔ + ^-- +JL—.+—-— + ... (2)
2 31 41
373

Эту матрицу можно приближенно определить с помощью конечного числа
членов ряда Тейлора, включающих т-ю степень Δ. Дифференциальное уравнение
можно решить последовательными приближениями по времени
Ρ(Δ) = Φ(Δ)Ρ(0);
Ρ(2Δ) = Φ(Δ)Ρ(Δ);
Ρ(£Δ) = Φ(Δ)Ρ((£ — 1)Δ).
(3>
Задачи
8.1. Пусть Ρ(0 и А — /z-мерный вектор и матрица размера пХп.
Дифференциальное уравнение
Ρ (0 = АР (О
можно решить последовательно в виде
Ρ(Δ) = θχρ(Α Δ) Ρ (Δ);
где Δ-
Ρ(£Δ) = εχρ(ΑΔ)Ρ([£- 1] Δ),
малый отрезок времени:
Д2 Д2 ЛЗ Δ3 А4 Δ4
ехр [Α Δ] = I 4- Α Δ ■+■ — + —^7— +-
3!
41
+ ■
I — единичная матрица.
Вычислить ехр [ЛА] с помощью дифференциального уравнения для
облегченного резерва при λ=0,001, λ=0,005 и μ = 0,01, включая члены до второго
порядка при Δ= 10.
8.2. Определить Qr (10 и Qr(20) для облегченного резерва, используя
ехр [—ΑΔ] из задачи 8.1.
8.3. Получить точное значение Qr(t) для облегченного резерва из задачи 8.1„
используя преобразование Лапласа. Сравнить результаты со значениями Qr(10)
и Qr (20) из задачи 8.2.
8.4. Рассмотреть мостовую конфигурацию, представленную на рис. 8.13.
Блок 2 является ненагруженным резервом для блока 1, а блок 4 —
нагруженным резервом для блока 3. Принимая
Qt = Рг (1) .-= 0,03; Q2 = Рг (2) = 0,005;
Q2 = Рг (1 Π 2) = 0,0003; Q3 = Рг (3) = Q4 = Рг (4) = 0,02;
Q5 = Pr (5) = 0,0002,
вычислить коэффициент простоя системы Qs.
8.5. Получить дифференциальное уравнение для резервирования с тремя
насосами, работающими по типу «два из трех», используя следующие данные:
λ = 0,001; λ = 0,0001; μ = 0,1.
Получить также матрицу ехр[АА|= Ι+ΑΔ для
малого отрезка времени Δ. Вычислить P<t)(3),
приня-в Δ= 1.
8.6. В системе имеется пять идентичных
резервных элементов, два основных элемента
и ремонтные бригады. Требуется: а) получить
дифференциальное уравнение для
конфигурации с резервированием, используя следующие
данные: λ= 0,001; λ= 0,0005; μ=0,01; б)
вычислить установившееся значение
коэффициента простоя Qr (00).
Рис. 8.13.
374

8.7. Доказать, что выражение (8.64) справедливо для описания
резервирования в задаче 8.6. Вычислить установившееся значение безусловной
интенсивности отказов w, (оо).
8.8. Вычислить установившиеся значения вероятностей Рг(1), Рг(2) и
Рг(1П2) для резервированной системы, состоящей из двух элементов и
подверженной отказу с общей причиной С. Использовать выражение (8.77).
8.9. а) получить марковскую диаграмму переходов для элементов 1 и 2 в
примере 12;
б) записать дифференциальное уравнение для вероятностей состояния
элементов;
в) получить приближение первого порядка ехр [ΑΔ], (Δ=1) для
дифференциального уравнения;
г) вычислить Pr(lf)2) при значениях t, равных 1, 2, 3, 4, используя матрицу
ехр [АЛ]. Сравнить результаты с точным решением примера 12.
Рг (1 П 2) = 0,0995671 - 0,1090909 e-°'u055/ -Ь 0,0095Г38 е-0'01(>5.
8.10. Рассмотреть систему типа «два из трех», состоящую из идентичных
элементов. Элементы 1 и 2 подвержены отказу с общей причиной Си а
элементы 2 и 3 — отказу с общей причиной С2:
а) получить марковское дифференциальное уравнение;
б) используя приведенные выше результаты, получить дифференциальное
уравнение для системы из примера 13.
СПИСОК ЛИТЕРАТУРЫ
1. Chu В. В., Gaver D. P. Stochastic Models for Repairable Redundant Systems
Susceptible to Common Mode Failures. — In: Nuclear Systems Reliability
Engineering and Risk Assessment, Fussell J. В., Burdick G. R. (eds.), SIAM,
Philadelphia, p. 342, 1977.
2. Vesely W. E. Estimating Common Cause Failure Probabilities in Reliability
an-d Risk Analysis: Marshall-Olkin Specializations, Ibid., p. 314.

Глава 9
КОЛИЧЕСТВЕННАЯ ОЦЕНКА
СИСТЕМЫ: НАДЕЖНОСТЬ
Ожидаемое число отказов W и коэффициент простоя Q
относятся к априорной вероятности отказа системы. Их используют для
прогнозирования некатастрофических повреждений, например,
требующих приостановки производства или обслуживания. Этот вид
отказа не приводит к полному разрушению системы и может
возникать неоднократно в процессе эксплуатации системы.
Неисправность, которая возникла и была устранена до момента времени tr
может снова возникнуть в момент t.
С другой стороны, показатель надежности системы полезнее
для оценки возможности катастрофических, не допускающих
восстановления, разрушений системы, таких, как разрушения ракетг
взрывы и т. п. Этот тип отказов приводит к разрушению систем;
таким образом, говорить о вероятности его повторного
возникновения бессмысленно. Показатель надежности системы Rs(t)
определим как вероятность того, что системе не угрожает никакая
опасность до момента времени /, и это эквивалентно вероятности
безотказной работы системы. Наряду с ним рассмотрим показатель
ненадежности системы Fs(t)y который определяется как вероятность
того, что системе угрожает опасность возникновения одного отказа
до момента t. В гл.7 показано, что уравнение (7.133) дает
неточную оценку показателя ненадежности. Хотя численные значения,
полученные с помощью этого уравнения, достаточно точны для
практических целей, в данной главе представлены методы,
позволяющие получить более точные значения.
9.1. ОДНОЭЛЕМЕНТНАЯ СИСТЕМА
Рассмотрим одноэлементную систему с интенсивностью отказов λ
и интенсивностью ремонтов μ. На рис. 9.1 приведена марковская
диаграмма переходов. Стрелка от состояния 1 к состоянию U
означает завершение ремонта системы. Однако при оценке надежности
рассматривается только временной интервал, начинающийся от
нуля и заканчивающийся в момент первого отказа системы. Таким
образом, можно не учитывать стрелку перехода от 1 до 0 на рис.
9.1 и получить рис. 9.2, где состояние 1 является поглощающим,
так как у него имеется только вход со стороны состояния U и нет
выхода к состоянию 0.
376

Поглощающее
состояние
Рис. 9.1. Диаграмма переходов для Рис. 9.2. Диаграмма переходов для
одноэлементной системы расчета показателя надежности
Дифференциальное уравнение, описывающее вероятность Po(t)
состояния элемента, имеет вид
Ρ0 = -λΡ0; Ρ0(0)=1.
(9.1)
Оно имеет решение
Л,(0 = е-". (9.2)
Po(t) есть вероятность того, что система продолжает
функционировать до момента t, поскольку нет перехода от состояния 1 к
состоянию 0. Таким образом, показатель надежности системы
Я,(')=Л>Ю=е-« (9.3)
что подтверждает уравнение (4.84). Показатель ненадежности
системы равен единице минус ее показатель надежности:
F$(t)=l-e
-It
(9.4)
С другой стороны, вероятность P\(t) состояния системы
описывается выражением
Λ = λΡ0, (9.5)
или
/>,(/)= fX/>0 (и) сГи,
6
где Pi(t)—вероятность отказа системы до момента t, так как
диаграмма, представленная на рис. 9.2, не имеет перехода из состояния
1. Следовательно, показатель ненадежности системы Fs(t)
совпадает с P\(t) и определяется по формуле
t t
Fs(t) = Pl (t)=* J λΡ0 (и) du= f λβ-λ" du = 1 -e~x'
(9.6)
что подтверждает справедливость формулы (9.4). Видно, что с
увеличением t показатель ненадежности приближается к единице.
Другими словами, отказ в системе возникает через достаточно
большой интервал времени.
377

9.2. ДВУХЭЛЕМЕНТНАЯ СИСТЕМА ПОСЛЕДОВАТЕЛЬНОГО ТИПА
Рассмотрим систему последовательного типа, состоящую из
элементов 1 и 2. Соответствующая марковская диаграмма переходов
представлена на рис. 9.3. В системе возникает отказ, когда она
переходит в состояние (1,0) или (0, 1). Поскольку рассматривается
процесс, заканчивающийся первым отказом системы, то диаграмму
можно упростить и получить рис. 9.4. На этой упрощенной
диаграмме узлы (1,0) и (0, 1) являются поглощающими состояниями.
Дифференциальное уравнение для определения вероятности
Po(t) состояния системы имеет вид
/?ο=-(λ1 + λ2)Ρ0, Λ,(0)=1; (9.7)
его решение таково:
/>0(0 = е-(х'+х·*'. (9.8)
Показатель надежности системы Rs(t) равен P0(t), т. е.
#5до = е-<*1+х.)'. (9.9)
Видно, что показатель надежности системы есть произведение
показателей надежности обоих элементов е- λι/ и е_Х2/. Это свойство
обычно сохраняется для систем последовательного типа, состоящих
из η элементов. Показатель ненадежности системы
Fs(t)= 1 -/?Д*) = 1 _β-<λ»+λ·> '. (9.10)
Другой путь вывода уравнения (9.10)—использование
дифференциальных уравнений для вероятностей P\(t) и P2(t) состояний:
А(0=^Яо(0;)
fli
Рис. 9.3. Диаграмма переходов для Рис. 9.4. Диаграмма переходов для
двухэлементной системы расчета показателя надежности
двухэлементной системы
последовательного типа
Поглощающее
1,0 ) состояние f
0,0
Состояние (J
.Поглощающее1
Хг "Λ '' У состояние Ζ
378

Уравнения имеют решение:
Pl(t)=[\lp0(u)du= /* (1 —е-(^+^>0;
.) λι 4- λ2
о
P2(t)=\x2P0(u)du=: /* (1-е-(*.+х,)<)
J λ! + λ2
О J
Величина PifO есть вероятность того, что в системе возникает
отказ к моменту t из-за отказа первого элемента. Аналогичным
образом Pi{t) есть вклад в показатель ненадежности системы из-за
отказа второго элемента. Показатель ненадежности системы
получаем как сумму вероятностей Pi(t) и Pi{t) состояний:
/М0=Л(') + ^2(г) = 1-е-(^><,
что подтверждает справедливость уравнения (9.10). Следует
заметить, что Fs(t) есть сумма вероятностей обоих поглощающих
состояний (1 и 2). В целом показатель ненадежности системы есть
сумма вероятностей всех поглощающих состояний.
9.3. СИСТЕМА ИЗ η ЭЛЕМЕНТОВ ПОСЛЕДОВАТЕЛЬНОГО ТИПА
Системы последовательного типа, состоящие из η элементов, можно
описать диаграммой переходов, представленной на рис. 9.5,
которая является расширенным вариантом диаграммы, показанной на
рис. 9.4. Полученное в результате дифференциальное уравнение для
состояния 0
Ро=-(К + ..-+К)Ро, />о(0)=1. (9.11)
Показатель надежности системы
/?,(/)=β~(λ,+-+λ*)/. (9.12)
Видно, что показатель надежности системы последовательного типа
есть произведение показателей надежности ее элементов е~~Я/ ,
i=l, ... , п. Показатель ненадежности системы
/7,(/)=1-β"(λι+"·+λ»)ί. (9.13)
Таким образом, показатель ненадежности равен сумме
вероятностей поглощающих состояний 1, ..., п.
9.4. СИСТЕМЫ ПАРАЛЛЕЛЬНОГО ТИПА
9.4.1. Двухэлементная система параллельного типа
Дву
хэлементные системы параллельного типа можно описать
диаграммой переходов, представленной на рис. 9.3. Поскольку
рассматривается интервал времени, заканчивающийся первым отказом
системы, то переходы из состояния (1,1) можно исключить; тогда
379

Рис. 9.5. Диаграмма переходов для Рис. 9.6. Диаграмма переходов для
расчета показателя надежности си- расчета показателя надежности двух-
стемы последовательного типа из η элементной системы параллельного
элементов типа
рис. 9.3 сводится к рис. 9.6. Полученные в результате
дифференциальные уравнения имеют следующий вид:
А>,о= — (λι+λ2)Λ),ο+μιΛ,ο+μ2^ο,ι;)
Α,0=λΐΛ),0-(μΐ + λ2)Λ,0; Ι (g щ
Ро, ι = ^2 Ро, о ~~ (1^2 "Ь h) Ро, ι у
Α,1 = λ2Λ,0 + λΐΛ),1 ]
с начальными условиями
/>ο,ο(0)=1; />1ι0(0)=Ρ0ι1(0)=Λ,ι(0)=0. (9.15)
Следует заметить, что первые три уравнения (9.14) можно решать
независимо от последнего уравнения. Система функционирует да
тех пор, пока она находится в состоянии (0, 0), (1, 0) или (0, 1)-
Таким образом, показатель надежности системы Rs(t)
определяется суммой
/?, (0=Л),о (0 + Л,о W+Ли (<)■ (9.16)
Вероятности состояний в правой части уравнения (9.16) можно
рассчитать методом численного интегрирования, который приведен
в прил. 8.1.
Показатель ненадежности системы Fs(t) есть
/^)=l-P0,0(0-/W)-/\iC). (9.17)
Он совпадает с Pi,i(t), т. е. вероятностью поглощающего состояния
(1, 1), поскольку сумма вероятностей всех состояний равна
единице:
Fs(t)=Pu(t). (9.18)
380

Пример 1. Двухэлементная система параллельного типа. Примем следующие
интенсивности отказов и ремонтов (ч-1) для элементов 1 и 2:
Элемент 1
Х1= 1/1000
μι=1/10
Элемент 2
λ2 = 2/1000
μ2=1/40
Вычислить Rs(t) и Fs(t) при значениях t, равных 100, 500 и 1000 ч, и сравнить
эти значения со значениями Qs{t) и As(t).
Решение. Первые три уравнения (9.14) принимают вид
Л),о = - 0,003 Р0|0 + 0,1 Ph0 +0,025 Рол;
Ры = 0,001Р0,о-ОЛ02Р1,0;
Яол = 0,002 Р0,0- 0,026 Р0,1.
Численное интегрирование уравнений (9.16) и (9.17) дает следующие
результаты:
/
100
500
1000
*,<'>
0,933630
0,959001
0,917232
^(0
0,006370
0,040999
0,082768
As(t)
0,999316
0,999267
0,999267
Qs(t)
0,000684
0,000733
0,000733
Приведенные выше коэффициенты готовности As(t) и простоя
Qs(t) системы вычислены по методу, описанному в примере 17 гл.
7. Видно, что показатель надежности меньше коэффициента
готовности, а показатель ненадежности больше коэффициента простоя.
Следует заметить также, что Fs(t) непрерывно возрастает, в то
время как Qs(t) приближается к установившемуся значению.
Когда интенсивности отказов и ремонтов одинаковы для всех
элементов, показатель надежности системы можно вычислить
аналитически, используя метод, описанный в прил. 9.1, или применив
преобразование Лапласа. Проиллюстрируем это на следующем
примере.
Пример 2. Двухэлементная система параллельного типа с одинаковой
интенсивностью. Примем, что интенсивность отказов λ=2 (год-1), а интенсивность
ремонтов μ==3 (год-1) для каждого элемента. Вывести аналитически выражения
для Rs(t) и Fs(t).
Решение. Поскольку два элемента имеют одинаковые интенсивности отказов
и ремонтов, то диаграмму переходов, представленную на рис. 9.6, можно
упростить и свести к диаграмме, показанной на рис. 9.7. Соответствующие
дифференциальные уравнения имеют вид
Ρ0 = -2λΡ0 + μΡι;
Ρ1 = 2λΡ0-(λ+μ)Ρι;
Р2=\Рг.
(9.19)
381

Два элемента
Функционируют
[состояние 0]
2λ
Один элемент отказал
[состояние 7]
Дда элемента отказали
[состояние 7,71
Рис. 9.7. Диаграмма переходов для системы параллельного
типа с двумя идентичными элементами
Подставляя λ=2 и μ = 3 в первые два уравнения
(9.19), получим
\/>ι / Л 4 -5/ W
(9.20)
Уравнение (9.20) идентично уравнению (10) в
задаче, приводимой в качестве примера в прил.
9.1. Решение имеет вид
Яо(0 = уе~ +Те'
-8/.
Л<0=^-е-<-
-8/
Отсюда показатель надежности системы
^-t
Rs(t) = PQ(t) -f Pi (0 = — е-'--γ е
-8/
з. показатель ненадежности системы
/МО=1--^е-' + 4-е-8<
9.4.2. Система параллельного типа с числом
элементов больше двух
Если система параллельного типа состоит из η элементов, то
соответствующая диаграмма переходов имеет 2п состояний. Число
-состояний возрастает экспоненциально с увеличением п, и
становится трудно рассчитывать Rs(t) или Fs(t) для больших значений
п. Методы Монте-Карло, обсуждаемые в гл. 12, обеспечивают
возможный подход в этом случае.
?.5. СИСТЕМА ТИПА «ДВА ИЗ ТРЕХ»
Диаграмма переходов для системы типа «два из трех» показана на
рис. 9.8. Состояние (1, 1, 1) не показано на диаграмме, поскольку
первый отказ системы возникает в состоянии (1, 1, 0), или (0, 1, 1),
или (1, 0, 1). Эти три состояния являются поглощающими на
диаграмме переходов. Дифференциальные уравнения для
поглощающих состояний имеют вид
'nnn—
* (λι + h + h) Ροοο + ΡΆοο + fcAio + μ·8 ^οοιί
^юо = ^ι^οοο — (l^i Чг '*2 "Ь ^з) ^ιοοί
^010 = ^2^000 "" 0л ~f~ 1*2 ~f" ' з) ^010i
(9.21)
^οοι — Ϊ**Ρ{
3^000 "
■(λ1+λ2 + μ·3)Λ>01-
382

Рис. 9.8. Диаграмма переходов для
расчета показателя надежности системы
типа «два из трех»
Начальные условия для
уравнений (9.21) таковы:
/>ооо(0)=1; Я10о(0)=
=Л»о(0)=
(9.22)
(О, h г)
Система дифференциальных
уравнений (9.21) может быть
решена численно методом,
приведенным в прил. 8.1. Показатель
надежности определяется суммой
вероятностей непоглощающих
состояний:
(10,0)
(ОЛО
Rs (0 = Лхю (t) + Ρюо (t) + Рою (0 + Ροοι (<)·
(9.23)
Пример 3. Система типа «два из трех». Примем следующие интенсивности
отказов и ремонтов (ч-1).
Элемент 1
λ! = 1/1000
μ, = 1/10
Элемент 2
λ2=2/1000
μ2=1/40
Элемент 3
λ3=3/1000
μ3=1/60
Рассчитать показатель надежности Rs(t) при значениях t, равных 100, 50О
и 1000 ч.
Решение. С помощью численного интегрирования, приведенного в прил. 8.1,.
получены следующие результаты:
/
100
500
1000
^*ооо
0,78713
0,59762
0,43202
Ргоо
0,00758
0,00573
0,00414
Рою
0,05354
0,04216
0,03048
^*OOJ
0,10905
0,09427
0,06815
Я 5(0
0,95730
0,73978
0,53479
Когда три элемента имеют одинаковые интенсивности отказов и ремонтов,.
"в(0 можно получить аналитически таким же способом, как в примере 2.
Результаты таковы [1]:
**(*) = ■
1
где
k2 — ki
X [k2 exp ( — ki It) - ki exp (— k2 Щ , (9.24)
2k2 = (b + 5) + V& + I0b + l.
383

?.6. ВЕРХНИЙ И НИЖНИЙ ПРЕДЕЛЫ НЕНАДЕЖНОСТИ СИСТЕМЫ
Для больших систем трудно получить Fs(t) или Rs(t), потому что
диаграммы переходов имеют слишком большое число состояний.
Поэтому с инженерной точки зрения для упрощения расчетов
желательно получить пределы для Fs(t). В этом разделе
представлена методика, основанная на принципе включения — исключения.
Допустим, что дерево отказов имеет минимальные аварийные
сочетания Къ ..., Кп- Введем определения:
Ki= 1^=^аварийное сочетание /G реализуется до момента t\
/С = Ск=^аварийное сочетание Κι не реализуется до момента t.
Используя принцип включения—исключения, получим
F5(^) = Pr(/C1-lU/C2=lU...U/^=l)=
=^Pr(Ki=l)-^^iPv(I<i=inKj=l) +
+222Pr(/c'=ln^==ln/c*=1)+- +
+ (— 1)—ι Pr (/Cx = 1 П /<"2= 1Π ... П A'n= 1). (9.25)
Верхний и нижний пределы для Fs(t) таковы:
η
Fs (Omax "■ первое крайнее значение=V Рг (/<",= 1); (9.26)
^(Omin—^Wmax —втоРое крайнее значение=
= г, (о».» - 2 2 Рг ^'п к>=1)· <9·27)
1-2/ = 1
Аварийные сочетания с тремя или большим числом событий
редко реализуются одновременно, и их «вклад» в ненадежность
системы значительно меньше, чем вклад аварийных сочетаний с двумя
или одним событием. Поэтому аварийные сочетания с большим
числом событий исключаются из уравнений (9.26) и (9.27), и
считается, что каждое аварийное сочетание состоит самое большее из
двух исходных событий.
Аварийное сочетание с одним событием рассматривается как
одноэлементная система, а аварийное сочетание с двумя
событиями — как двухэлементная система параллельного типа. Таким
образом, вероятность Pr(/G=l) в правой части уравнения (9.26)
можно вычислить по методике, которая приведена в разд. 9.1 или
9.4 данной главы.
Рассмотрим теперь величину Рг (/(,· = lf)/Cj=l) в уравнении
(9.27). Если Κι или Kj представляет собой аварийное сочетание с
одним событием, эти два аварийных сочетания не имеют общих
событий. Следовательно, ввиду статистической независимости
Рг(/С/ = 1П/Су=1)=Рг(/Г/=1)Рг(/Су=:1). (9.28)
384

ало)
(олл)
рис. 9.9. Диаграмма переходов для
события Ki = 0[]Kj = 0
Уравнение (9.28) справедливо
также для аварийных сочетаний с
двумя событиями Кг и К], если
они не имеют общих событий.
Поэтому рассмотрим случай, когда
Кг и /С/ имеют общее событие Ь\
Ki = {a, b], Kj = {b, с). (9.29)
По-прежнему имеет место
следующее равенство:
Рг(/С/ = 1П^=1)=1--Рг(/С,^0и/С^0)=1-[Рг(/С/=0) +
+ Рг (/Су=0) - Рг (λ',=0 Π Kj=0)]. (9.30)
Вероятности Рг(/(г = 0) и Рг (/С^ = 0) можно рассчитывать по
формулам
Рг(/С/=0)=1-Рг(/Г/=1);
Рг (/Су=0)= 1 — Рг (/Су= 1).
Событие [Ki = 0(]Kj = 0] происходит только в том случае, если
вектор состояния элемента (а, Ь, с) остается в сочетании
{(0, 0, 0), (1, 0, 0), (0, 1, 0), (0, 0, 1), (1, 0, 1)}.
На диаграмме переходов, представленной на рис. 9.9, каждое
состояние этого сочетания обозначается кружком, а поглощающие
состояния обозначены черными кружками. Дифференциальные
уравнения для непоглощающих состояний имеют вид
^ооо = — (λι + ^2 + ^з) Люо + Ρ-ι^ιοο "Г \12Pq to + ^3^001;
^100=λι^οοο — (Ρ·ι + ^2 + ^з) ^юо + ^з^Ю1;
^ою = ^2^ооо— (^ι + Η + ^з) ^сю;
(9.31)
^οοΐ = ^з^ооо — (λι + ^2 + 1хз) Λ)οι +1*1^101\
Р1с1 = 'ΛΡοοι -\- λ3Ρ100 — (μ! + λ2 + μ3) Ρ юг
с начальными условиями
Поо(0)=1; Я1о0(0)=Р01С(0) = Р0о1(0)=Я1о1(0) = 0. (9.32)
Эти дифференциальные уравнения можно решить по методу,
описанному в прил. 8.1, a Pr(Ki = 0(]Kj = 0) представляет собой
следующую сумму:
Рг (К^0 Π Kj^O) = Рос0 + Λοο + ^οίο + Ροοι + Λοί. (9.33)
385

Из уравнения (9.30) определяем Pr(/G= l(]Kj= 1), а нижнюю
границу Fs(t)min можно вычислить с помощью уравнения (9.27).
Здесь необходимо заметить, что значение верхнего предела
Fs(t)max, вычисляемого по формуле (9.26), можно определить с
большей точностью с помощью следующего выражения |2]:
^(')верх=1-ПП-Рг(^, = 1)]· (9.34)
/ = 1
Пример 4. Система типа «два из трех». Рассмотрим систему из примера 3.
Вычислить Fs(t) max, Fs(t)BepK и Fs(t)m\n при значениях t, равных 100, 500
и 1000 ч.
Решение. Минимальные аварийные сочетания таковы:
/Ci = {1,2}, A:2={2,3), /Сз =" {1.3}.
Для каждого аварийного сочетания используем дифференциальные уравнения
(9.14). Их решение с использованием формулы (9.17) дает:
t
100
500
1000
Pr(tf,-I)
0,006370
0,040999
0,082768
Рг (АГ2 = 1) Рг (АГ3 = 1)
0,028260
0,184606
0,346314
0,010684
0,074842
0,150170
В итоге с помощью уравнений (9.26), (9.27) и (9.34) получаем следующие
результаты:
/
100
500
1000
Fs «W
0,045314
0,300446
0,579253
s * 'верх
0,044766
0,276560
0,490457
V>mln
0,041954
0,252745
0,446733
Fs(t)
0,042710
0,260222
0,465213
Для сравнения приведены точные значения показателя надежности Fs(t).
9.7. РУЧНОЙ МЕТОД ВЫЧИСЛЕНИЯ ВЕРХНЕГО ПРЕДЕЛА
ПОКАЗАТЕЛЯ НЕНАДЕЖНОСТИ СИСТЕМЫ
Определение верхнего предела для Fs(t)m8LX по формуле (9.26)
требует вычисления Рг(/С/=1). Если Ki является аварийным
сочетанием с одним событием, можно легко вычислить
Рг(/С,= 1)=1—е-х/. (9.35)
С другой стороны, если Κι является аварийным сочетанием с двумя
событиями, нужно решать дифференциальное уравнение (9.17).
Данное уравнение нельзя решить аналитически: оно требует
использования ЭВМ. В этом разделе приведен ручной метод решения
уравнения (9.14), что обеспечивает простой способ вычисления
*s(*/max·
386

Рис. 9.10. Диаграмма переходов, упрощенная за
счет 1/λι»1/μι и 1/λ2>1/μ2 С О0 ) ( 1>°
Допустим, что аварийное сочетание ^_^^ р1
Кг состоит из двух элементов 1 и 2. Диф- » *
ференциальные уравнения (9.14)
основаны на диаграмме переходов,
представленной на рис. 9.6. Предположим, что i_l
средняя наработка до ремонта каждого (01 )
элемента значительно меньше, чем сред- \^_^х
няя наработка до отказа:
1Αι»1/μι; 1/λ2»1/μ2. (9.36)
Тогда переход из состояния (1, 0) в состояние (0, 0) более
вероятен, чем переход из состояния (1, 0) в состояние (1, 1), и можно
пренебречь последним переходом. Аналогичным образом можно
исключить из диаграммы, представленной на рис. 9.6, переход из
состояния (0, 1) в состояние (1, 1). Результирующая диаграммы
показана на рис. 9.10. В итоге получаем следующие
дифференциальные уравнения для определения вероятностей состояний:
Лю= -(λι + λ2)^οο + μιΛο + ^0ι; (9.37)
Αα^Ροο-μιΛο; (9.38)
Α>ι=λ2ρ00--Μν (9·39)
Последние уравнения являются приближенным вариантом первых
трех уравнений (9.14).
Необходимо заметить, что сумма всех вероятностей равна
единице:
Λ,ο + Λο + Λη + Λι^. (9.40)
Зададимся интервалом времени, в течение которого каждый
элемент остается достаточно надежным. Тогда вероятности Рю, Ροι и
Ри значительно меньше, чем Р00, и равенство (9.40) преобразуется
так:
Лю + Ло=1; (9.41)
^00 + ^01=1- (9.4i)
Подставим Poo из равенства (9.41) в уравнение (9.38). Тогда
Pio = h-(h + V-i)Pio- (9·43)
Используя начальное условие (9.15), получим
Ρχο (')= — (1 - е-<^> О- (9.44)
λ1 +ΜΊ
Аналогичным образом уравнение (9.39) и равенство (9.42) да
ют
Ро1(/) = J (1 __Θ-<λ2+^) 0. (9.45)
λ2 + μ2
387

Формулы (9.44) и (9.45) дают приближенные значения параметров
Pio(t) и Poi(t), определяемых уравнениями (9.14).
Вероятность Pr(/G=l) равна вероятности Pn(t) в уравнениях
(9.14), поскольку состояние (1, 1) есть поглощающее состояние
для аварийного сочетания ΛΊ. Таким образом,
Pr(/Ci=l) = J[/2P10(tt) + X1P01(a)]rfa. (9.46)
о
Подставляя выражения (9.44) и (9.45) в уравнение (9.46), Pr(/G =
= 1) можно вычислить по формуле
Рг(Д-<=1)= λιλ2 U + \ е-<^>< ! ) +
λΐ + μΐ \ λχ + u·! M + fJ·! /
Η—М2_ (t ^ 1— β_(λι+μι) / !— \ т (9ί47>
λ2 +■ ι"·2 V к2 + М-2 А2 + V-2 /
Верхний предел коэффициентов ненадежности Fs(t)max получаем
из уравнения (9.26), когда дано Pr(/G = l). Этот верхний предел
Обозначается Как ^(Отахручн.
Примем достаточно малое значение t. Точнее, пусть
(λ,+ μ,)*<1/10. (9.48)
Выражения (9.35) и (9.47) можно аппроксимировать, используя
разложение в ряд Тейлора экспоненциальной функции.
Pr(Ki=l) = lt для аварийного сочетания с одним событием Кг
(9-49)
Рг(/С/= 1) = λ1λ2^2 для аварийного сочетания с двумя
событиями К ι. (9.50)
Результирующий верхний предел обозначается как /^(Отахтейлор-
Пример 5. Система типа «два из трех». Рассмотрим систему из примера 3.
Требуется ВЫЧИСЛИТЬ /^(0 max ручн И Fs(t) max Тейлор При Значениях /, раВНЫХ 10г
100, 200, 500 и 1000 ч.
Решение. Результаты приведены ниже. Для сравнения даны также точный
верхний предел для Fs(t)max и точные значения показателя ненадежности Fs(t).
t
10
100
200
500
1000
s ' ^max ручн
0,000959
0,046706
0,117595
0,338770
0,708114
s ( 'max Тейлор
0,001100
0,110000
0,440000
2,750000
11,000000
'V'W
0,000958
0,045314
0,110727
0,300446
0,579253
Fs(t)
0,000949
0,042710
0,101381
0,260222
0,465213
Видно, что Fs(t)msLx ручн дает хорошие результаты до / = 200 ч, в то время
как Fs(t)max тейлор остается в приемлемых пределах в небольшом интервале
времени, близком и нулю.
388

Приложение 9.1. Метод решения линейных дифференциальных уравнений
Рассмотрим дифференциальное уравнение
х=-"Ахх(0)=-7, (1)
где х — /2-мерный вектор-столбец, а А — матрица размерности пХп.
Дифференциальное уравнение можно решить в несколько этапов, приведенных ниже.
Этап 1. Находим собственные значения γι, ..., γ„ матрицы А путем
решения характеристического уравнения
|Д — γΐ| = 0, Ι — единичная матрица. (2)
Считаем, что все собственные значения различны.
Этап 2. Находим собственный вектор Vj для каждого собственного
значения \г путем решения линейного уравнения
(A-Y/l)vt- = 0. (3)
Этап 3. Строим матрицу Τ размерности nYjx, определяемую выражением
T={vlf..., v„}. (4)
Находим обратную матрицу Т-1 матрице Т.
Этап 4. Выполняем линейное преобразование из χ в х* по формуле
х = Тх*. (о)
Выражение (5) подставляем в уравнение (1); тогда
х* = Тх*, χ*(0) = Τ-ΐχ0, (6)
где
Υι О
Y2
Τ = T-i AT =
— диагональная матрица. (7)
О
Y,/.
Этап 5. Решаем уравнение (6), в результате получаем
*хТ=х*(0)ехр[у,<], (8)
где *г*(0) есть /-й элемент столбца х*(0).
Этап 6. x(t) находим по формуле
x(0 = Tx*(f). (9)
Пример. Решить дифференциальное уравнение
Н'\ _;)--о»-о-
Этап 1. Характеристическое уравнение таково:
-4 —γ 3
= ίΥ -b4>iy + 5>— 12=(v-r· 1)ίΥ + 8) = 0.
4 — о — γ Ι
Таким образом,
Υι = —1, Υ2=-~8.
Этап 2. Для Yi= —1 уравнение (3) принимает вид
π _3ιΰ-ο·
■ν2,
(Ю)
389

откуда получаем собственный вектор для γι:
-α-σ
вид
ЖН)-
Для γ2= —8 уравнение (3) имеет вид
С
или
4^! + 3ν2 = 0.
Таким образом, имеется собственный вектор для γ2·
V2=UJ
Этап 3. Матрицу Τ задаем в виде
T = {vb v2}-
Матрица, обратная матрице Т, такова:
Г 4
3
Т-1:
_3_
7
7
Этап 4. Уравнение (6) записываем как
1)-П -Э'
>*2,
«-
Этап 5. Дифференциальное уравнение, полученное на этапе 4, имеет решение
**(0 = 4/7exp[-fj;
xl(t)=l/7exp[-St].
Этап 6. Уравнение (9) дает
._!.-/.,_.3
(χι(ί)\ /1 3j'x\V)\
Xl(t))=(l S.MiWj
τ'-'+τ-8'
*-t
.-8/
(Π)
Когда вектор х имеет три или большее число столбцов, для расчета
собственных значений, собственных векторов и обратной матрицы Т-1 можно
использовать стандартные вычислительные программы.
390

Задачи
9.1. Система имеет три состояния.
Состояние 1: нормальное состояние.
Состояние 2: частичное ухудшение характеристик системы.
Состояние 3: полное нарушение характеристик системы.
Катастрофическая опасность возникает, если система оказывается в
состоянии 3. Система невосстанавливаема, и ее характеристики ухудшаются постепенно.
Частота переходов из состояния 1 в Состояние 2 и из состояния 2 в состояние 3
равна соответственно λι и λ2.
а Получить марковскую диаграмму переходов для этой системы.
б Вычислить показатель надежности системы при t = 2 года, используя в
качестве данных
λ1== 10-1/год; λ2= 10-з/гоя.
9.2. Рассчитать показатель надежности системы последовательного типа,
состоящий из двух элементов, при /=100 дней, используя значения интенсивностей
отказов и ремонтов λι = λ2 = 0,001 (ч-1) и μι = μ2 = 0,1 (ч-1).
9.3. Вычислить показатель надежности при t=\ год для элемента с
интенсивностью отказов λ = 0,05. Повторить расчет для системы последовательного
типа, состоящей из 100 элементов.
9.4. Рассмотрим систему последовательного типа, состоящую из η
идентичных элементов. Требуется доказать, что надежность системы в течение одного
года равна надежности элемента в течение η лет.
9.5. а. Переписать дифференциальное уравнение из примера 1, приведенного
в данной главе, в матричной форме для уравнения (1) из приложения 8.1.
б. Получить приближение четвертого порядка ехр[АА], где Δ = 0,01.
в Вычислить Р(0, 1) и Р(0, 2) по приближению, полученному в п. б.
9.6. а Вычислить условную интенсивность отказов Xs(t) для системы
параллельного типа из примера 2, используя результаты расчета по программе KITT
из гл. 8.
б. Вычислить R,
(/) = ех ρ — \ \s{u)du I . Это значение соответствует
L 5 J
уравнению (7 133) и должно отличаться от Rs(t). Получить графы для R8(t)
и Bs(t) для 0^/^1,2.
9.7. Система, построенная по принципу голосования «два из трех», состоит
из идентичных элементов с интенсивностями отказов и ремонтов
λ = 0,001; μ=Ό,1.
Вычислить показатель надежности системы при /==100.
9.8. Записать дифференциальное уравнение для расчета Pr(/Gs=0n/(2 = 0),
Рг(К2 = 0ПКз = 0) и Pr(Ki = 0ПК3=0) из примера 4.
9.9. Рассмотрим систему, построенную по принципу голосования «два из
четырех», имеющую интенсивности отказов и ремонтов
λ = 0,001; μ = 0,1.
а. Вычислить ручным методом верхнюю границу показателя ненадежности
системы при /=100
б. Определить дифференциальное уравнение для расчета точного значения
показателя ненадежности системы.
в. Проинтегрировать дифференциальное уравнение с помощью
вычислительной машины, используя алгоритм, приведенный в прил. 8.1. Найти приближенное
значение ехр [ΑΔ] путем разложения в ряд Тейлора четвертого порядка,
причем Δ=1. Сравнить полученные значения jF,(100) с Fs(\00)max.
СПИСОК ЛИТЕРАТУРЫ
1. Halperin Μ. Some Waiting Time Distributions for Redundant Systems with
Kepair, Technometrics, 6, pp. 27—40, 1964.
2 Esary J. D., Proschan F. A Reliability Bound for Systems of Maintained,
Interdependent Components, J. Am. Stat. Assn., 65, N 329, pp. 329—338, 1970.
391

Глава 10
ЗНАЧИМОСТЬ
10.1. ВВЕДЕНИЕ
Вклад элемента или аварийного сочетания в появление конечного
события называется его значимостью. Эта характеристика
является функцией времени, характеристик отказов и ремонтов, а также
структуры системы. Анализ значимости сходен с анализом
чувствительности и, таким образом, является полезным при
проектировании, диагностике и оптимизации систем. Например, можно
оценить возможные изменения коэффициента готовности системы за
счет неопределенности показателей надежности элементов.
Технический осмотр, операции по обслуживанию и обнаружению
отказов можно проводить в порядке значимости элементов, а
совершенствовать системы путем улучшения элементов с относительно
большей значимостью.
Ряд интересных и обнадеживающих применений понятия
значимости для повышения надежности систем, диагностики отказов и
составления перечней ремонтных работ разработан д-ром Г.
Ламбертом и отражен в документе UCRL 51 829, в котором содержится
также вычислительная программа IMPORTANCE, обсуждаемая
в данной главе. Количественные оценки значимости, вычисленные
с помощью этой программы, их смысл и вероятностные выражения
приведены в табл. 10.1. На рис. 10.1 показана схема
последовательности выполняемых расчетов.
Ниже будет предпринята попытка провести читателя через это!
«лабиринт» с помощью ручного вычисления каждого
количественного параметра значимости; вычисления выполнены для трех типов
систем, которые используются в данной главе, а именно:
двухэлементной системы последовательного типа, двухэлементной системы
параллельного типа и системы голосования типа «два из трех». Эти
задачи решались также с использованием вычислительной
программы IMPORTANCE, причем полученные интересные результаты
иногда вызывают неожиданные противоречия. Одним большим
моментом, о котором следует упомянуть, является результат расчета
с помощью данной вычислительной программы, называемой
«вероятностью конечного события». Он точно соответствует «невосста-
навливаемому» параметру Qs в программе KITT, если элементы не
подлежат ремонту, или установившемуся значению параметра Qs
для восстанавливаемых систем. В программе элементы считаются
статистически независимыми, при этом коэффициент простоя рас-
392

Рис. 10.1. Схема последовательности вычислений в программе IMPORTANCE
считывается по модернизированной теории; согласно этой теории
считается, что наработка до отказа и продолжительность ремонта
являются экспоненциальными случайными переменными.
Другим фактором общего характера, который, как будет видно
позднее, вызывает определенные трудности, является
представление деревьев отказов в виде определенной структуры, используемое
в этой программе. Из разд. 7.4 видно, что для логического знака
«ИЛИ» с двумя последовательными событиями это представление
имеет вид
ψ(Υ)=Κ1νΚ2=1-(1-Κι)(1-Κ2). (10.1)
Для логического знака «И» с двумя событиями выражение таково:
Φ(Υ)=ίΊΛ^2=ίΊ^. (Ю.2)
Для системы голосования типа «два из трех»
Ψ(Υ)=(^Λ^)ν(^Λη)ν(ηΛ^ι)= (Ю.З)
= 1 -U -ГХГ21 [1 -ν,ν^Ι-ν,ν,]. (10.4)
Ниже мы вернемся к этому вопросу.
394

Условные обозначения в табл .10.1 те же, что использовались
выше, за исключением некоторых уточнений: g[Q]— функция, с
помощью которой вычисляется вероятность конечного события по
вектору вероятностей исходных событий Q. Таким образом,
уравнение
£[«KY)]=Prl*(Y)«i]=g[Q]
представляет все способы выражения вероятности аварии. Принято,
что структурная функция ψ когерентна. Как и выше, Qs
характеризует коэффициент простоя системы, a Qi* — коэффициент простоя
для аварийного сочетания. Для невосстанавливаемых систем Qs
совпадает с показателем надежности системы. Предполагается, что
все исходные события или отказы элементов независимы.
10.2. СТРУКТУРНАЯ ЗНАЧИМОСТЬ ПО БИРНБАУМУ Д#г(/)
Это простейший критерий значимости, являющийся частной
производной (классическая чувствительность) от Qs системы по
параметрам элементов Q/. Как было проиллюстрировано с помощью
уравнения (7.48), функция коэффициента простоя системы g[Q]
является многочленной линейной функцией Q. Таким образом,
частная производная имеет вид
dgS!? =s(h Q('))-*(<>,·, Q(0)- (Ю.5)
dQi (t)
-Aff/W- (Ю.6)
Математически структурная значимость есть изменение
коэффициента простоя системы при отказе элемента i минус коэффициент
простоя системы при функционирующем элементе L Другой способ
интерпретации данной характеристики значимости заключается в
преобразовании выражения (10.5) следующим образом:
Agi(t)=EW(\h Υ(0)-Ψ(0„ у(/))] = 1 ΧΡγ[Ψ(1„ у(0)-
- Ψ (0„ У (*))=!+ (Ю.7)
+ 0хРг[<|>(1„ у(/))-ф(0/э у(0) = 0] =
=Рг1*(1/, У(0)-Ф(0(-, У(/))=1]. (10.8)
Таким образом, структурная значимость есть вероятность такого
состояния системы, при котором функционирование элемента i
является критичным.
Пример 1. Рассчитать значимость по Бирнбауму для трех
невосстанавливаемых систем, состоящих из двух элементов: 1) последовательного типа; 2)
параллельного типа и 3) системы, построенной по принципу голосования типа «два из
трех», за 20 ч работы, используя следующие данные по отказам элементов (ч-1):
Элемент 1 Элемент 2 Элемент 3
λ1 = 0,001 λ2 = 0,002 λ3=0,003
Решение. Из выражения (7.93) при /=20 следует
395

<?ι=Ι, 98013Χ10-2;
Q2=3,92106X10-^;
Q3=5,82355 χ 10-2.
Для системы последовательного типа при / = 20 по формулам (ЮЛ) и (10.5)
*(Q)=1-(1-(?!)(!-Q2);
δ^γι(20)= [l — (l — ιχι — с?,)] — [i (i — όχι — Q^>]=i —Q2;
АйГ2(20) = [1 —(1 —0ι)(1 — 1)] —[1 —(I — Qi)(l—0)] = 1 — Qx;
Δ#ι(20) = 1 — 3,92106 X 10-2-9,60789 X 1Э-1;
Ag2(2d) = 1 — 1,98013 X 10-2 = 9,80199 X 10—ι.
Для системы параллельного типа g(Q) =QiQ2\ таким образом,
Δ^ι (20) =■- <?2— 0 = Q2 = 3,921 )6 Χ 10—2;
Δ^·2(20) = ρι — 0 = <?!= 1,98013 Χ 10-2.
Для системы типа «два из трех» преобразование выражения для
структурной функции дает i
ψ (Υ) - 1 - (1 - Y^a) (1 - Y2Y3) (1 - Г3Уг) = ΥΧΥ2 + Υ2Υ3 +
4-Г0Г1-2Г1Г2Г3.
Тогда функция коэффициента простоя определяется по формуле
g (Q) = Ε [ψ (Υ)] = QiQ2 + Q2Q3 + Q3Qi - 2Q1Q2Q3.
Другой путь получения g(Q) состоит в преобразовании первоначального
выражения ψ(Υ) с использованием частичного разложения, описанного в
разд. 7.5.3 гл. 7, ив последующем вычислении ожидаемого значения ψ(Υ).
Из выражения для g(Q) имеем
Δ*ι = К?2 + Q2Q3+Q3 - 2Q2Q3] - [0 + Q2Q3 + 0 — 0] =
= <?2+0з -2Q2Q3 = 9,28792 χ 10—2;
Δ£2 = [Qi + Qs + Q3Q1 - ZQiQz] - [0 + 0 + Q3Q1 - 0] =
= Oi + Qs - 2Q1Q3 = 7,57305 X 10-2;
Δ£3 = [<?i<?2 + Q2 + Q1- 2QiQ2] - [Q1O2 + 0 + 0 - 0] =
-Q2 + Qi-2Q1Q2 = 5,74591 X 10-2.
1 В документе UCRL 51829 и первоначальном варианте программы
IMPORTANCE используется приближенная процедура. Принято, что
Я[1 — (I — ΚιΚ2)(1 — Г2Г3)( 1 — ГзГх)] = 1 — (1 — Q^Xl — Q2Q3) (1 — Q3Q1).
Другими словами, множители (1—ΚιК2), (1—Уг^з) и (1—Υ^Υι) считаются
статистически независимыми случайными переменными. Расчеты в UCRL 51829 дают
консервативные результаты во всех случаях, когда исходные события
повторяются, поскольку, например,
Ε [(1 - ΥιΥ2) (1 ~ К2Г3)] - 1 - QA - Q2Q3 + Q1Q2Q3,
в то время как
(1 - ОА) (1 - QiQs)^ I —Q1Q2 — Q2Q3+QiQ22Q3.
396

Для простой системы последовательного типа Ag"2>Ag"i, т. е.
более вероятен отказ системы из-за отказа элемента 2, а не
элемента 1, поскольку СНДО1 (средняя наработка до отказа) ι = 1000>
>СНДО2 = 500 ч. Для системы параллельного типа очевиден
обратный результат (Ag"i>Ag"2), так как значимость по Бирнбауму
связана с вероятностью состояния системы в момент /, когда
функционирование системы является критичным. Поскольку элемент 2
отказывает первым, по принятому определению значимости
элемент 1 является более критичным. Тот же «аномальный» результат
для системы параллельного типа можно получить для других
используемых мер значимости. Следует также заметить, что
значимость по Бирнбауму ^я аварийного сочетания с одним событием
численно (и обычно неправильно) равна единице (см. пример 4
в гл. 13).
Результат для системы типа «два из трех» можно объяснить
такцм же путем. Из этого следует вывод, что мера для оценки з7:°.-
чимости по Бирнбауму не является хорошим критерием, за и:клю-
ченигм простых систем последовательного типа. В табл. 10.2 дана
гценка значимости, полученная при использовании различных мер.
В последней колонке «Ожидаемый результат» указан порядок
ожидаемой значимости элементов, который основан на упрощенном (и
частично неправильном) представлении значимости как прямого
показателя самого слабого звена в системе.
10.3. ЗНАЧИМОСТЬ ПО КРИТИЧНОСТИ IiCR[t)
Значимость по критичности учитывает тот факт, что труднее
усовершенствовать более надежные элементы, чем менее надежные.
Значимость элемента i определяется выражением
Г Ag(Q(0)1
IcR(t)=\im I *<?<'» j = (10.9)
L Qi(t) J
=-^^x-^-. (шло)
Таким образом, из уравнения (10.6) следует
/c*(t)= Δ*'Χ<?'<'> = (10.11)
(10.12)
_ [gn/, Q(Q)-g(0j. Q(t))]Qt(t)
s(Q(0)
•Уравнение (10.9) показывает, что значимость по критичности
представляет собой частичную чувствительность. Теперь применим
уравнение (10.12) к трем ранее приведенным схемам.
397

10.2. Оценка значимости
Система
или сочетание
По
Бирнбауму
По
критичности
По
Фусселю —
Везели
Система
последовательного
типа:
элемент 1
элемент 2
Система
параллельного типа:
элемент 1
элемент 2
Система
голосования:
элемент 1
элемент 2
элемент 3
Аварийные
сочетания,
система
голосования:
аварийное
сочетание 1
аварийное
сочетание 2
аварийное
сочетание 3
9,60790 x1ο-1
2
9,80197x1ο-1
1
3,92105Х10-2
1
1,98013Х10-2
2
9,28791x10-2
1
7,57305x10-2
2
6,05647Х10-2
3
3,26736X10-2
2
6,59978x10-2
1
1,00000X10°
1
1,00000X10°
1
4,37086X10"
3
7,05713X10-
2
9,08561 Χ
ΙΟΙ
4,40182x1ο-1
2
6,73567 x1ο-1
1
1,00000X10°
1
1,00000X10°
1
4,58364 x1ο-1
3
7,27632x1ο-1
2
8,16421x1ο-1
1
398

(случай невосстанавливаемых систем, 20 ч)
По функции

модернизирования
3,23630x1ο-1
2
6,47260X10"*
1
9,90571x1ο-1
1
9,80665x1ο-1
2
4,52303Χ ΙΟ"1
3
7,24381x1ο-1
2
7,93214x1ο-1
1
—
—
По I
Барлоу—
Прошану
3,33400 ΧΙΟ"1
2
6,66800x1ο-1
1
5,019390x1ο-1
1
4,98604Χ ΙΟ"1
2
2,26518x1ο-1
3
3,58721x1ο-1
2
4,03241x1ο-1
1
—
—
По
последовательности
воздействий
0
1
0
1
5,019390Χ ΙΟ"1
1
4,98604x1ο-1
2
2,21000x1ο-1
3
3,56000x1ο-1
2
4,03000 χ 10-1
1
—
—
По
Фусселю —
Везели
—
—
—
—
—
—
—
1,84523 Χ
ΧΙΟ"1
3
5,42678 Χ
ΧΙΟ"1
1
2,74051 Χ
ΧΙΟ"1
2
По
Барлоу —
Прошану
—
—
—
—
—
—
—
1,77236 Χ
xio-1
3
5,36000 Χ
ΧΙΟ"1
1
2,67000Χ
ΧΙΟ"1
2
глъ-
Ожидае-
мый резз
тат
2
1
2
1
3
2
1
3
1
2
399

Пример 2. Вычислим значимость по критичности отдельных элементов для
трех систем, приведенных в примере 1, при / = 20.
Решение. Для системы последовательного типа с помощью уравнений (ЮЛ)
и (10.12) получим
/?«(£0)== iLiMQi =
1 V ' l_(l_Q,)(l_<?2)
С -3.92106 Χ 10^(1.98013 Χ 10-2) = ^^ χ ^
1—(1— 1,98013 χ 10-2) (1—3,92106 χ ю-2>
Аналогичным образом,
/£*(20)« <1-Qi)v2 == 6,59979 Χ 10—ι.
2 1—(1—C?i)(l—Q2)
Для системы параллельного типа уравнения (10.2) и (10.12) дают
Q2WI
2 Q2Q1
Для трехэлементной системы типа «два из трех», используя уравнение (10.12)
и результат, полученный в примере 1, имеем
/^(20) = ^ilQL-=(9^92x.0-2)(l,93013xl0-2) =
1 g((f) 4,12258x10-3
,С«(20) = _*£&__, (7.57335 X 10-»)(3.92106 X 1Q-») „7>.0-86 χ 10_1;
2 v ' g-(Q) 4,12258 χ Ю-з
/g«(20,= A«'Q* ^(5'74591X10"2)(5^355X1Q"2) -^8,11656X10-!.
3 5Г (Q) 4,12^58 χ Ю-з
Сравнивая эти результаты с ожидаемым результатом из табл. 10.2, видим,
что оценка значимости по критичности согласуется с обычным представлением
о риске для случая с параллельным расположением элементов.
10.4. ЗНАЧИМОСТЬ ЭЛЕМЕНТОВ ПО ФУССЕЛЮ — ВЕЗЕЛИ IiFV[t)
Эта мера была введена Везели и использована Фусселем в его
методике ручного вычисления (разд. 7.7.6 [1]). Основная идея
заключается в том, что элемент, не будучи критичным, может
способствовать возникновению отказа, находясь в одном или нескольких
аварийных сочетаниях. Под выражением «не будучи критичным»
подразумевается, что восстановление элемента не вызовет изменения
общего состояния системы.
Вероятность того, что элемент i способствует возникновению
отказа в аварийном сочетании gi{Q(t)) при условии, что система
отказывает в момент времени t, g(Q{t)), является основой
определения
/w(t)= g*<Q('» , (ίο. 13Λ
1 W *(Q(0)
Me^(Q(0)=Pr[V Λ Κ*=11,
400

\у Д Yk — булев показатель объединения всех аварийных соче-
таний Kjy которые содержат исходное событие L
Пример 3. Определить IiFV (20) для трех систем, приведенных в
предыдущем примере, путем вычисления точных значений g(Q) и gi(Q).
Решение. Для системы последовательного типа
/fr(20)-gL- 1.98013X10-» = 3i40022 χ 10-,
1 v ; Q3 5,82354x10-2
/Г(20)=^= 3.92105Х10-2 , И|
2 V ; Q3 5,8k354xl0-2
Для системы параллельного типа
Q1Q2
jFV /плч Ql Q%
'fVo)=-^ = i;
- (20) ='<?,<?, -
Для системы типа «два из трех»
/fy(20)~ Q^ + <?3<?i-Qi<?2Q3 ==457079x 10_1;
/^ (20)= Qi^+Q2Q3-QiQ2(?3 ^7,31254x10-1;
Qs
/Г (20)= Q1Q3 + Q2Q3-Q192Q3 = 822634 χ 10_1#
Qs
Оценка значимости, полученная по методу Фусселя—Везели,
близка к значимости по критичности и дает тот же порядок и почти
те же числовые значения.
Отличием является то, что критерии значимости по Фусселю—
Везели легко используются при ручном вычислении, описанном в
разд. 7.7.6 гл. 7. При использовании сокращенной записи уравнение
(10.13) принимает вид
т
jfv=_^ , (10.14)
Qs
где т—- число минимальных аварийных сочетаний, содержащих
событие i. Значимость аварийного сочетания определяется по простой
формуле
ΐγν=Λ- . (10.15)
ример 4. Оценить значимость элементов и аварийных сочетаний для систе-
ы, риведениой в табл. 7.15 (которая является системой типа «два из трех» из
предыдущего примера, но для 100 ч вместо 20), используя значения Qa·, Q,
и ц/г· , пол\ - енные при упрощенном методе вычисления.
401

Решение:
Аварийные сочетания Аварийные сочетания (для
(для восстанавливаемой системы) не восстанавливаемой системы)
12 3 12 3
J\FV (100) 4,7Х10-2 8,5Х10-4 1,1 ΧΙΟ"1 Ι,δΧίΟ"1 δ,δΧίΟ"1 2,7x10-*
Элементы (восстанавливаемые) Элементы
(^восстанавливаемые)
12 3 1 2 3
/]'F (103) Ι,βχΙΟ-1 Θ,ΟΧΙΟ-1 9,6x1ο-1 4,5Χ10"4 7,3Χ10-4 8,2x1ο-1
Видно, что, как и ожидалось, Л (100) для
^восстанавливаемых элементов отлично согласуется с // (20) из примера 3. Ни-
же будет показано, что 11 (100) для аварийных сочетаний
также хорошо согласуется с предыдущими данными. Значимость
восстанавливаемых элементов находится в «логической»
последовательности.
10.5. ФУНКЦИЯ МОДЕРНИЗИРОВАНИЯ I{UF
Функция модернизирования имеет ограниченное применение, т. е.
только к невосстанавливаемым системам. Она определяется как
частичное уменьшение вероятности аварийного события при
частичном уменьшении частоты отказов λΐ-элемента.
' #(Q(0)<H/
Это не очень удобная мера оценки, поскольку требуется определять
производные.
Пример 5. Вычислить hUF (20) для трех выбранных систем.
Решение. Для системы последовательного типа
dg(Q(t)) _ 1_е-Ме-*.< _<t-M,-W
όλι όλι
Следовательно,
FTP \л / ρ — (λ1+λ2> /
/fF (20) = ЛИ . = 3,23433 χ 10-1.
1 *(Q(20))
Аналогичным образом
№ (2Q)= λ2*Θ = 6,46867 χ 10—1-
2 ' ^(Q(20))
Для системы параллельного типа
rUF t^. Me-x''0~e-x·')
I"r (20) = Jlif LLH_^ L = 9,90033 χ 10—i;
1 l *(Q(20))
402

I"p (20) = l2te M('-e X,/) = 9,80133 X 10-1.
2 l i(Q(20))
Для системы типа «два из трех»
*(QW) =QiQ2 + Q2Q3 + QiQi- iQiQiQs- (Ю.16)
Следует заметить, что
* [Q (01 * ι - Π - QiQu [i - Q2Q3] х [i - QiQiY.
dg((j(t)) __ dg dQj. dg dQ2 dg dQ3 =
dli dQi dli dQ2 &h e»Q3 dlx
^-—^ + 0+o. (10.17)
Таким образом, dg/дХ, вычисляется как (dg/dQi) (dQi/dXl)=hgi(dQlldX!)r
где Δ^ι — значимость по Бирнбауму.
Aft = Юг + ОаРз + <?з - 2O2Q3] - [0 + <?2<?з + 0 - 0] =
= <?2+<?з-2<?2<?з = 9,28792 χ 10-2.
Так как
1<?1 _J_ г, --λ,/ι,.-λ,/
ό\χ όλχ
[ι-β-λ·Ί = <β-
то в конечном счете получаем
/^(20) = \ λ Х^е"^'] [9,28792 χ 10—2] = 4,41666 X 10—1.
5Г (Q (20))
Аналогичным образом,
/^ (20) = 7,05976 X 10-1; f^F (20) = 7,87559 X 10—ι.
Это довольно трудоемкое вычисление дает правдоподобные результаты для
системы голосования типа «два из трех» и противоречивые значения для системы
параллельного типа.
10.6. ЗНАЧИМОСТЬ ПО БАРЛОУ — ПРОШАНУ 1гвр
Анализ по Барлоу — Прошану предназначен для систем, элементы
которых отказывают последовательно один за другим [2]. Анализ
позволяет получить выражение для ожидаемого числа отказов,
вызываемых исходным событием i в интервале времени от 0 до t.
Значимость по Барлоу — Прошану и следующая за ней значимость
по последовательности воздействий отличаются от ранее введенных
категорий тем, что здесь рассматриваются отказы, обусловленные
последовательностью действий; эти действия вызывают отказ
системы со временем и, следовательно, являются функциями
предыдущего поведения, а не какого-либо момента времени. Уравнение
Барлоу— Прошана имеет вид
^Ρ(<)=ί teO/. Q(<))-*(0„ QW)1*M<)<«. (Ю.18)
403

где Wi(t)—безусловная интенсивность отказов, т. е. ожидаемое
число отказов в единицу времени в момент /.
Сумма значимостей всех элементов, деленная на Qs, равна
единице. В сущности, U есть вероятность отказа системы за счет
критического аварийного сочетания, содержащего i отказов, причем
элемент i отказывает последним.
Пример 6. Определить 1гвр(20) для трех тестовых систем. Нормировать
результаты с помощью Qs
Решение. Для системы последовательного типа, состоящей из двух
элементов, для которой Wi = λ/е 1 [см. уравнение (4.85)],
20
/f>(20) = f [1 _ (1 _ β-λ·0Ι λχ β-λ^ Λ =
6
= ~ \ Γβ"(λ» + λ»> /1§° = 3,33333 χ 10-1.
λι Η- λ2 L J
Подобным образом,
/fя (20) = 6,66667 χ 10-1.
В случае системы параллельного типа
20 20
/fp(20) = \Qi(t)wx{t)dt= fll-e-^U^-^'ctf =
δ δ
= -Ге-М|20+ λι Γθ-(λ1+λ2) Π20 = 5,01666 Χ 10—ι.
L J λι -f- λ2 L J
Аналогичным образом,
/ξρ = 4,98333 χ 10-1.
Для системы голосования типа «два из трех»
20
ifр (20) - f [(Q2 + Q3 - Q2Qs) - (Q2Q3)] w! dt =
0
20
= f λι [e-(Xi+Xa) / + β-(λ' + λί,) ' — 2θ-(λ^ + λ2+λ3) '] dt = 9,39547 X 10-*.
δ
Для нормирования этого результата производим деление на g(Q(20)) =
= 4,12258 X Ю-3, для того чтобы получить
if Ρ (20) = 2,27903 χ 10-1.
Аналогичные действия дают
/ξρ (20) = 3,64408 X 10-1 и /fp (20) = 4,07688 Χ 10~ι.
Эти результаты несколько отличаются от значений, выдаваемых вычислительной
машиной, потому что в начальном варианте программы IMPORTANCE для
определения g(Q(t)) используется уравнение (10.17).
Видно, что эта мера (подобно предыдущим) дает правдоподобные
результаты для систем последовательного типа и типа «два из трех».
404

1С.7. ЗНАЧИМОСТЬ ПО ПОСЛЕДОВАТЕЛЬНОСТИ ВОЗДЕЙСТВИЙ I^c
Интересно рассмотреть роль отказа элемента i для случая, когда
другой элемент — / в действительности вызывает отказ системы.
Два элемента (i и /) должны находиться по крайней мере в одном
минимальном аварийном сочетании. Для этого случая имеем
/f(*)=2 JfeOi. ijiQity-giinOj.QmQiOwjV)*· (10Л9)*
J о
Пример 7. Определить значимость по последовательности воздействий для
элементов всех трех рассматриваемых систем.
Решение. Для системы последовательного типа
20
/fc (20) = f [1 — 1] Οι Wjdt = 0; /fc (20) - 0.
Выражение для конфигурации параллельного типа позволяет получить
значения /fc и /2С, равные значимости по Барлоу — Прошану и 12вр и 1\вр
соответственно.
Для системы типа «два из трех»
20
/fc (20) = j[£(l, l, (h)-g(L 0, 03)]OiW2<rt +
о
20
-f f fe(l, 02, 1)-£(1, O2, 0)]0i»3^.
Это приводит к довольно длинному алгебраическому выражению. Окончательные
нормированные значения таковы:
/fc =^2,254932 χ Ю~1; /fc (20) = 3,631900 Χ 10~ΐ;
/fc (20) = 4,113169 Χ 10-1.
Эти результаты чрезвычайно трудно интерпретировать; их можно лишь
рассматривать как меру воздействия отдельных событий на систему.
1С,8. ИЗМЕНЕНИЕ ЗНАЧИМОСТИ СО ВРЕМЕНЕМ
Все параметры значимости зависят от времени, поскольку они
связаны с вероятностью того, насколько элемент является
критичным для функционирования системы в данный момент и (или) для
поведения в прошлом. Возможно, что для хорошо
резервированных систем в течение коротких временных интервалов большую
значимость имеют более надежные элементы, а после
продолжительной работы более важными станут менее надежные элементы.
Для систем последовательного типа справедлива обратная карти-
* В выражении (ЗЛО) в документе UCRL 51829 дифференциал равен dwj(t),
а не Wj(t)dty как в выражении (10.19), однако программа IMPORTANCE
вычисляет Wj(t)dt.
405

на, но то же самое может возникнуть и в сложных системах
(качество на риске покупателя).
Теперь рассмотрим некоторые параметры, используемые для
анализа аварийных сочетаний, хотя оценка аварийных сочетаний
по значимости с инженерной точки зрения имеет гораздо меньшее
значение, чем оценка отдельных элементов. Трудно рассматривать
аварийные сочетания как некоторые дискретные единицы, когда
исходные события повторяются в разных аварийных сочетаниях.
10.8.1. Значимость аварийных сочетаний
по Фусселю — Везели Ii*FV
Это простое и удобное выражение уже встречалось выше
[формула (10.15)]:
О* (t)
/*/V(/)=-HLbr· (10·20>
В примере 4 были получены оценки значимости аварийных
сочетаний для невосстанавливаемых систем голосования с
использованием приближенных значений Qi, Qi* и Qs.
Для аварийного сочетания 1
rFV(20)— QlQ2 =(!'98013х Ю~2)(3,92106 χ 10-2) _t 88зз4хЮ-1
1 К } Qs 4,12258χ10~3
Аналогичным образом,
Γ/ν(20) = -QlQ± =5,53888 Χ ΙΟ-1;
Qs
/:^(20)=-^L=2,79713 X 10-1.
3 Qs
Полученные оценки соответствуют ожидаемым. Элементы в
аварийном сочетании 2 имеют СНДО, равные 500 и 333 ч, в
аварийное сочетание 3 входят элементы, средняя наработка до отказа у
которых равна 1000 и 333 ч, а для аварийного сочетания 1 СНДО
равны 1000 и 500 ч.
10.8.2. Значимость аварийных сочетаний
по Барлоу — Прошану /,-*вр
Значимость ι-го аварийного сочетания по Барлоу — Прошану
определяется как вероятность того, что оно вызывает отказ
системы. Это означает, что какое-то исходное событие в аварийном
сочетании должно произойти, при этом все другие события
произошли раньше. Формализованное выражение имеет вид
Sj'fl-sioy, l'~{;)> QC))] Π Qk{t)wj(t)dt
I*BP{t) = — Ш , (I0.21)i
vs \Ч
1 В оригинале Wj(t)dt записано как dwj(t), но оценивается как Wj(t)dt.
406

где V-tK означает, что Qi равно единице для каждого исходного
события при ΙΦί, содержащегося в /-м аварийном сочетании.
Численный пример поможет проиллюстрировать значения
членов в этом выражении.
Пример 8. Получить /^5Рдля трехэлементной системы голосования за время,
равное 20 ч.
Решение. В соответствии с формулами (10.21) и (10.16)
20
/JBP (20)= J [1 — {0 X I + IXQ3+Q3XO-2XOXI XQ^]Q2Wldt/Qs +
о
20
+ [ [1-{1 Х0 + 0Х Q3 + Q3X 1-2 χ 1 X0xQ3}]QiW2dt/Qs.
о
Подставляя значения Q и w из предыдущих примеров и интегрируя,
получаем
1\ВР (20)- 1,80995 χ 10—ι.
Для двух других аварийных сочетаний с помощью вычислительной машины
получаются следующие результаты:
/*яр(20) = 5,466СЗх 10-1; l\ВР (20) = 2,72401 X 10-1.
Таким образом, оценка аварийных сочетаний для системы типа
«два из трех» такова, как и можно было предполагать. Для
системы последовательного типа формула (10.21) дает величины,
которые сводятся к значениям, соответствующим отдельным
элементам. Интересная особенность метода Барлоу — Прошана была
отмечена Ламбертом. Если все элементы имеют равные вероятности
отказов, значимость аварийных сочетаний должна быть обратно
пропорциональна порядку аварийного сочетания, т. е. числу
исходных событий, составляющих данное сочетание. К сожалению, этот
результат не всегда достигается.
Существует еще один вариант параметров /г*БР и hBP,
называемый коэффициентом простоя по Барлоу — Прошану для
ограниченно установившихся состояний и относящийся только к
восстанавливаемым системам. Этот параметр можно получить из
уравнения (10.21) или (10.18) при допущении, что
/->оо λι + μ/
Данный параметр также можно получить с помощью
подпрограммы в программе IMPORTANCE, однако здесь он не описан,
поскольку получаемые значения равны величинам, определяемым
по формулам (10.18) и (10.21) при больших значениях t.
10.9. ВОССТАНАВЛИВАЕМЫЕ СИСТЕМЫ
Каждая мера значимости, кроме функции модернизирования,
относится как к восстанавливаемым, так и к невосстанавливаемым
элементам и их сочетаниям. В табл. Ю.З приведены данные, полу-
407

sz
u<
*H
*2
1-
Si
η cd
2 °
CO Q.
iS
s о
Η С
s 3
S =
w у
я £*
= 2
О) С
=Г
О
со
о
1Ч1В1Ч1гЛеэс1
Э1ЧИ19В1ГИЖО
о
ачим<
я
со
1 *
1 к
>> СО
ООН
с So
*£
йС
|
25
о ^5
с$2
£и
>ιμΜ
Φ
Λ s«
°HS
R CJ Я
<L> О Н
Ч Ж О
Ο ς <υ
е <υ r=[
_ Η П
о со ο
с д я
I >.
по
)лоу -
ошан
«£■
«С
|
qS
по
•уссел!
Вез ел
•9
я
н
о
о
Λ Я
н
я
о.
>>
S
^
go
α
к
из
«и
я
я
СО
а или сочет
ΪΞ
си
S
я
(J
О!
1
1

οι
о
Χ<Ν
СО
со
со"
1
х<*
1 of
|
1 °
Х<*
<м
of
^
1
о
Х<м
О)
cq
σΓ
о
О
ϊ
о
тел
с*
последов^
1
н
г* К
3 <°
? s
2? L; «
Й ci б
,3 3
О к
I
I

οι
о
Х-
ι^
CD^
cd"
I
о
Х-
00
Г*-"
О
Х-
_*
00^
1ч."
_
I
о
Х-
^^
°1
σΓ
<м
н
ас
<υ
§
О)
ς
О)
(Μ
I
I
|
О
X(N
00
σ>
со"
ι
о
Χ-
04
Ο
со"
ο
Ο
Χ^
ο
~
ο
Ο
χ~<
ο
~
Μ
Ο
Χ-
σ>
ο
со"
ά
f-,
ο
ьног<
параллели
1
Η
Μ Ε
2 ν
4 %
Ъ φ
h *=5
§β·Λ.
Ο §
Ι
Ι
Ι
ο
χ-
04
Ο
CO"
Ι
ο
χ<Μ
00
С75
со"
ο
Ο
Χ —
ο
~
ο
Ο
Χ~4
ο
ο
Crj
ο
χ<Μ
σ>
ю
οο"
(Μ
Η
χ
<υ
2
Ο)
ς
ο)
со
ι
ι
Ι
ο
χοο
00
ΙΟ
~~*
ι
ο
Хсо
ο
Ю
οί
ο
χοο
со"
Ι
ο
χοο
\£
ο
со"
Ci
о
χ~
σ>
00
1^·"
βζ
3
голосован
1
«ν» Η
s? «
о
<м
ι
ι
Ι
Ο
χ<Μ
^^
00
со"
ι
ο
Χ(Ν
00
CD
со"
'Ζ
ο
χ<Μ
ο
οο"
ο
χ<Μ
ΟΟ
ο
ΟΟ"
|
Ο
Χ<Μ
ι^
ι^·
ю"
(Μ
Η
ас
<υ
S
<υ
ς
(η
Ι
ι
Ι
Ο
Χ^
-^
ю
-^"
ι
ο
χ~-
04
00
со"
Ι
Ο
Χ^
00
οο"
Ι
Ο

Χίο
г».
Οθ"
|
ο
Хсо
04
σ>
со"
со
Η
ас
<υ
S
<υ
ς
(Г)
СО
Ι
ι
ο
χοο
00
Ю
«
ι
ο
χοο
σ>
~
Ι
ι
ι
ι
ι
ά
CJ
—-Η
of <u
3 Я
а: ас
е сочета
эсования:
ое сочета
Из
ч ^
^
τ
ο

Χοο
00^
ιθ"
-.
ι
ο
χ-
ο
σι
CD"
Ι
ι
ι
ι
ι
(Μ
<υ
S
ас
ое сочета
ас
»s
s
ex
(Я
CQ
C3
o*
"2
1
о
Х<м
CD
сч"
-,
1
о
Χ (Ν
О*
°ι
Ι
Ι
Ι
Ι
ι
00
ο
я
χ
ое сочета
я
»Я
я
о·
а
со
са
408

ченные с помощью ЭВМ, для конфигураций, рассмотренных в
примерах 1—8; при этом использовались те же значения λ, что и выше
(Xj = 0,001; λ? = 0,002; λ3 = 0,003), при промежутке времени между
ремонтами, соответственно равном 1/4ιχι = 10; 1/μ2 = 40; 1/μ3 = 60.
В большинстве случаев наблюдаются те же особенности поведения
системы, что и выше. Необходимо отметить следующие моменты.
Значимость по Бирнбауму. Результаты оценки значимости за
период, равный 20 ч, для системы параллельного типа и системы
голосования противоречат интуитивным представлениям. Эту меру
значимости следует использовать с большой осторожностью.
Значимость по критичности. Как и в случае невосстанавливае-
мых систем, результаты несущественно отличаются от значений,
полученных для значимости по Фусселю — Везели. При больших
значениях t также возможны значительные отклонения.
Значимость по Фусселю — Везели. Это, вероятно, самая
обоснованная мера, обладающая к тому же дополнительным
преимуществом— легкостью вычисления. Результаты близки к оценкам,
получаемым с помощью функции модернизирования Ламберта, что не
обсуждалось в данной главе, но подробно описано в документе
UCRL 51829.
Значимость по Барлоу — Прошану. Этот метод дает такую же
оценку, как мера по Фусселю — Везели, за исключением систем
параллельного типа.
Значимость по последовательности воздействия. Если элементы
не появляются в одних и тех же аварийных сочетаниях, мера не
имеет смысла. Метод неприменим к системам последовательного
типа.
Задачи
10.1. Вычислить* значимость по Бирнбауму для системы последовательного
типа, состоящей из трех элементов, при / = 20, используя данные по отказам из
примера 1.
10.2. Вычислить значимость по Бирнбауму для системы параллельного типа,
состоящей из трех элементов, при / = 20, используя данные по отказам из
примера 1
10.3. Доказать, что
L\gi = (1 - Οι) · · · (1 - Qi-ι) (1—0/+ι) ... (1 —Οϋ)
дая систем последовательного типа, ссотоящих из η элементов,
Δ£/ = 0ι ... 0/-ιΟ/ + ι · .· Qn
для систем параллельного типа, состоящих из η элементов.
10.4. Вычислить значимость по критичности для трехэлементных систем
последовательного и параллельного типов из задач 10.1 и 10.2.
ίθ.5. Рассмотреть систему водяного охлаждения и очистки отходящего газа,
представленную на рис. 7.12. Принять, что частота λ=10-3 отказов в час для
каждого элемента. Вычислить значимость по критичности при / = 20 ч.
10.6. Доказать, что если все элементы имеют одну и ту же частоту отказов,
то оценки значимости элементов по Бирнбауму и по критичности совпадают.
10.7. Вычислить значимость элементов по Фусселю — Везели при / = 20 для
системы голосования типа «два из четырех», используя следующие частоты
отказов (ч-1):
λι = 0,001; λ2 = 0,002; λ3 = 0,003; λ4 == 0,004.
409

Для вычисления g(Q) и gi(Q) использовать уравнение Эзэри и Прошана
(7.79) для верхней границы.
10.8. Вычислить значимость аварийного сочетания по Фусселю — Везели
при /=100 ч для системы из примера 4, используя точные значения Qlf Q&
и Qi*. Сравнить полученные результаты с результатами из примера 4.
10.9. Доказать, что функции модернизирования и значимости по критичности
дают одинаковую оценку элементов, если каждый элемент имеет одну и ту же
частоту отказов λ.
10.10. Определить значимость по Барлоу — Прошану для трехэлементной
системы параллельного типа при / = 20 в задаче 10 2.
10.11. Для трехэлементной системы параллельного типа из задачи 10.10
доказать, что
/f (0 --= Ιξ" (t) + Ιξρ (t), If (t) = /fp (0 +1*" (0;
/f = /f «)+/*"<*).
10.12. Получить l\ (2000) для системы голосования типа «два из трех»
из примера 3. Использовать формулы для точного вычисления Qif Qi* и Qs.
10.13. Выразить l-t через Q и w для системы голосования типа «три
из четырех», где аварийным сочетанием 1 является {1, 2, 3}.
10.14. Для двухэлементных систем последовательного типа доказать, что>
оценки значимости для установившегося состояния
а^! = ——^—; Δ£2: ^
λ2+μ2 λ1+μ1
1 λ^ -f λι\ι2 + λ2μι ' λ{Κ2 + λχμ2 + λ2μι
.FY h (h + μ2) jFV λ2(λ! + μι)
1 λι (h + μ·2) 4- λ2μι ' 2 * λ2 (Xt + μλ) -τ- Хьи2 *
СПИСОК ЛИТЕРАТУРЫ
1. Fussel В. J. How to Hand-Calculate System Reliability Characteristics,
IEEE Trans, on Reliability, R-24, No. 3, 1973.
2. Barlow R. E., Proschan F. Importance of System Components and Fault
Tree Analysis, Operations Research Centre, University of California, Report
ORC 74-3, 1974.

Глава 11
РЕЗЕРВУАРЫ, СИСТЕМЫ ЗАЩИТЫ,
НЕНАГРУЖЕННЫЙ РЕЗЕРВ
И СИСТЕМЫ ВЫБОРА
Метод дерева отказов и основанные на нем другие методы
анализа были разработаны для применения в аэрокосмической и
ядерной областях техники, в которых необходимо избежать
отказов любой ценой. В производящих отраслях промышленности
вообще и в химической в частности отказы оборудования
считаются более или менее обычным явлением, а резервуары, защитная
контрольно-измерительная аппаратура и средства резервирования
используются для сглаживания процесса производства, сведения
к минимуму времени простоя и уменьшения эффектов, связанных
с отказом оборудования. В этой главе выведены уравнения и
развиты специальные методы анализа риска для систем, используемых
при непрерывных производственных процессах.
11.1. РЕЗЕРВУАРЫ
11.1.1. Введение
Отказы не возникают мгновенно: всегда имеется конечный
промежуток времени между причиной и следствием, и отказ
возникает в гом случае, если эта причина не устранена за данный
промежуток времени. В символах дерева отказов эта идея
представлена на рис. 11.1.
Задержка может иметь механическое или электрическое
происхождение или может быть связана с наличием резервуара на
химическом заводе. Обычно задержки разъединяют отдельные блоки,
тем самым на какое-то время задерживая передачу информации
от блоков, расположенных выше по потоку, к блокам,
расположенным ниже по потоку. Например, если для системы, изображенной
на рис 11.2, расход выше по потоку (ВП) и расход ниже по потоку
(НП) постоянны и составляют приблизительно 100 л/ч и имеется
емкость объемом 100 л, то оборудование, расположенное ниже по
потоку (нижнее оборудование, НО), будет работать еще в
течение 1 ч после отказа оборудования, расположенного выше по
потоку (верхнее оборудование, ВО), при условии, что в нижнем
оборудовании не возникает отказа, а резервуар полный. На рис. 11.3
показано соответствующее этому случаю дерево отказов.
411

{ЗадержнаА ^Н
ВО
Г Ρ
но
Рис. 11.1. Логический знак за- Рис. 11.2. Система, состоящая из верхнего обо-
держки рудования (ВО), резервуара (Р) и нижнего
оборудования (НО)
Действующие на предприятии правила управления
производственным процессом в значительной степени зависят от наличия
резервуаров для хранения. Например, предположим, что
производительность верхнего и нижнего оборудования совершенно
одинакова и что работа начинается при полном резервуаре, а правило
работы А в случае отказа верхнего оборудования заключается в.
следующем.
Правило А:
1) продолжать эксплуатацию нижнего оборудования до
полного опорожнения резервуара или до устранения отказа в верхнем
оборудовании;
2) включить верхнее оборудование;
Нет потопа
к НО
Отказ ВО
ВО функционирует
ВО функционирует
ВО не работает
Ρ полный
Ρ полный.
э
**\ Р пустой г* >i
'д функционирует
нормально
НО функционирует»
нормально
НО не работает
Рис. 11.3. Резервуар: Рис. 11.4. Изменение во времени состояния
ВО — верхнее оборудование; НО— верхнего оборудования (ВО), резервуара (Р)
нижнее оборудование; Р— резер- и нижнего оборудования (НО)
вуар
412

3) заполнить резервуар;
4) включить нижнее оборудование;
5) продолжать работу до возникновения следующего отказа в
нижнем или верхнем оборудовании.
Это правило, например, используется на предприятиях, где
неожиданное нарушение подачи нижнему оборудованию создает
угрозу безопасности. Верхнее оборудование может снабжать
охлаждающей жидкостью, создавать инертный защитный слой,
подавать растворитель, и т. п. Чтобы справиться с отказом без
возникновения опасности, имеется интервал времени Т, соответствующиГ!
времени опорожнения резервуара. Хотя безопасность предприятия
возрастает, резервуар не оказывает влияния на коэффициент
готовности системы, поскольку время простоя верхнего
оборудования смещается к интервалу времени простоя нижнего
оборудования (рис. 11.4).
В качестве еще одного примера можно представить случай,
когда работа начинается при пустом резервуаре и согласованных
расходах верхнего и нижнего потоков и принимаются следующие
правила при отказе нижнего оборудования.
Правило Б:
1) продолжать эксплуатацию верхнего оборудования до
наполнения резервуара или до устранения отказа в нижнем
оборудовании;
2) включить нижнее оборудование;
3) опорожнить резервуар;
4) включить верхнее оборудование;
5) продолжать работу до возникновения следующего отказа в
нижнем или верхнем оборудовании.
Эти правила применяются на предприятиях, где трудно или
дорого производить отключение верхнего оборудования и (или)
необходимо справиться с переполнением, чтобы предотвратить
загрязнение окружающей среды. Наличие резервуара повышает
безопасность предприятия, но не влияет на коэффициент готовности
(рис. 11.5).
Прежде чем дать математическую трактовку этих и других
возможных правил работы, целесообразно рассмотреть
практические аспекты данной ситуации. Существует два основных типа
емкостей, используемых на химических заводах, однако емкости ни
одного типа не устанавливаются специально для того, чтобы
повысить надежность или коэффициент готовности.
1. Резервуары для готового продукта и сырья. Основными
переменными параметрами, определяющими размер и конфигурацию
системы, являются параметры, характеризующие снабжение
сырьем, погрузочные работы, доставку, график работ и
производительность.
2. Промежуточные резервуары. В этом случае размер,
конфигурация и правила работы зависят от того, для какой цели
предназначен данный резервуар. В табл. 11.1 приведены некоторые
типичные задачи, решаемые с помощью резервуаров. В соответст-
413

НО фунпциоНи.. jem
нормально
НО не работает
>^ι Ρ полный >ν
Ρ пустой / | | Ν. Ρ пустой
ВО функционирует ВО функционирует
нормально нормально
ВО не работает
Рис. 11.5. Изменение во времени состояния верхнего оборудования (ВО),
резервуара (Р) и нижнего оборудования (НО) для правила Б
вии с правилами 1, 2, 3 и 7 заполнение или опорожнение
резервуара производится сразу после пуска предприятия в действие, а
производительности верхнего и нижнего оборудования согласуются
между собой. Правила 4, 5, 6 обеспечивают повышение
коэффициента готовности при условии, что наполнение или опорожнение
резервуаров производится в периоды возникновения
неисправностей и обеспечивается возможность наполнять, опорожнять или
поддерживать резервуар заполненным наполовину во время
«нормальной» работы из-за чрезмерного расхода верхнего и нижнего
оборудования.
Табл. 11.1 ни в коей мере не охватывает всех причин,
обусловливающих применение резервуаров. На заводских площадках
появляются также емкости, предназначенные для сбора избыточных
продуктов в результате переливов при заполнении резервуаров
или других емкостей, материалов, не соответствующих техническим
условиям, или потоков из параллельно соединенных или
сгруппированных в один блок агрегатов, при этом для каждого
резервуара имеется своя особая оптимальная методика использования.
11.1.2. Резервуары, заполняемые в процессе работы:
временные задержки
Прежде всего рассмотрим случай 4, где верхнее оборудование
обладает избыточной производительностью, и предположим, что
резервуар может заполняться мгновенно в процессе работы. Таким
образом, при отказе верхнего оборудования резервуар будет всегда
заполненным, что соответствует чистой временной задержке.
Конечно, при отказе нижнего оборудования верхнее оборудование
должно останавливаться мгновенно. Дерево отказов для этой си-
НО фцннционируеп,
нормально
414

11.1. Правила использования резервуаров
Причина применения резервуара
Правило работы
1. Недостаточная подача в нижнее
оборудование создает угрозу безопасности
(верхнее оборудование может подавать
охлаждающий агент, создавать инертный
защитный слой, подавать растворитель
и т. п.)
2. Качество продукта, выходящего из
верхнего оборудования, может
изменяться, и продукт должен перемешиваться,
чтобы соответствовать техническим
условиям
3. Слишком трудно или дорого
останавливать нижнее оборудование
(образование трещин в печах, каталитические
реакции и т. π )
4. Верхнее оборудование обладает
избыточной производительностью, но менее
надежно, чем нижнее оборудование;
кроме того, желательно повысить
коэффициент готовности
5. Нижнее оборудование имеет
низкую надежность, а желательно повысить
его производительность и коэффициент
готовности
6. Нижнее и верхнее оборудование
имеет сбалансированные показатели
надежности, но желательно повысить их
производительность и коэффициенты
готовности
7. Останавливать верхнее оборудование
трудно или дорого;* требуется
справиться с возможностью переполнения, чтобы
предотвратить загрязнение окружающей
среды
1. Правило Л. По возможности
следует всегда держать резервуар
заполненным
2. Правило Л. По возможности
следует всегда держать резервуар
заполненным
3. Правило Л. По возможности
следует всегда держать резервуар
заполненным
4. Следует держать резервуар
заполненным. Заполнять резервуар в
процессе работы или при прекращении:
функционирования нижнего
оборудования
5. Следует держать резервуар
незаполненным. Опорожнять резервуар
в процессе работы или при
прекращении функционирования верхнего
оборудования
6. Следует держать резервуар
заполненным наполовину, производя
опорожнение или наполнение во время
останова
7. Правило Б. По возможности
следует держать резервуар пустым,
заполняя его при прекращении
функционирования нижнего оборудования
туации представлено на рис. 11.6. Конечным событием является
«отсутствие потока к нижнему оборудованию». Из рис. 11.6 видно,
что отказы верхнего и нижнего оборудования можно проработать
до более элементарных исходных событий.
11.1.3. Безусловная интенсивность отказов дотеМ
для «пустого резервуара»
При разработке теоретических зависимостей событием «отказ
резервуара» пренебрегают и принимают следующие условные
обозначения:
Τ — время, затрачиваемое на опорожнение резервуара; ште(0 —
ожидаемое число событий в единицу времени, при которых
резервуар опорожняется в момент t вследствие отказа верхнего обору-
415

Нет
потопа
из НО
Рис. 11.6. Дерево отказов для задержки
при хранении:
ВО — верхнее оборудование; НО — нижнее
оборудование

БОРИС. 11.7. Емкость резервуара Т:
верхнее оборудование; НО — нижнее
оборудование; Ρ—резервуар
Нет
потопа
η НО
От паз
НО
В Ρ нет
\тидкости
τ
α
ΓΖΧΖΊ
ι Дерево ,
отказов ,
Ι для НО
I 1
Отказ
ВО
1
Дерево
отказов
для ВО
/^3αδερ/κκά\
I лРи г)
\храненииТ/
дования в интервале времени
(t—Τ). Индекс ТЕ означает
«пустой резервуар».
Необходимо уяснить, что
резервуар опорожняется в
момент / только в том
случае, если возникает отказ
верхнего оборудования в
интервале времени (t—Т) и он
Отказ ВО
во
Ρ пуст
отремонтировано
\ \
—| ь**
не устранен к моменту времени t, а также, что WTv(t) не есть
параметр, характеризующий вероятность события «резервуар пуст».
Вводятся следующие определения:
Wsv(t)—ожидаемое число отказов в момент / в единицу
времени; Рг(Г)—вероятность того, что ремонт верхнего
оборудования не будет произведен за интервал времени Т.
Таким образом, с учетом схемы на рис. 11.7 и приведенных
выше определений имеем
WTE(t) = wsu(t-T)Pr(T). (11.1)
Следует заметить, что значение wsv можно получить с помощью
программы KITT для вычислительной машины, описанной в гл. 7.
Принимается экспоненциальное распределение ремонтов
верхнего оборудования; следовательно, вероятность того, что ремонт
верхнего оборудования не будет произведен за время Т,
К = Pr(T)=exp(-T/xS{j)9 (11.2)
где время ремонта верхнего оборудования tsu определяем с
помощью вычисления обратной величины условной интенсивности
ремонтов верхнего оборудования μ8υ(^—Τ). Из уравнений (11.1) и
(11.2) для установившегося состояния (t-+oo) получаем
wTE (cx))=e~r/TSU ze^su (oo) = /Cwsu (со). (11.3)
4is

11.1.4. Коэффициент простоя для жидкости,
поступающей из резервуара
Установив, что нижнее оборудование отказывает при пустом
резервуаре, определяем коэффициент простоя Qte(0 для
резервуара как вероятность того, что резервуар пуст в момент t. Тогда
имеем
t-T
QTE(t)= f ®8υ(/ι)ΡΓ(/-/ι)Λι. (11.4)
ό
Рис. 11.8 служит для пояснения этого уравнения. Верхнее
оборудование отказывает в момент tu но отказ не устраняется к
моменту t. Отказ верхнего оборудования в интервале между /—Τ и / не
влияет на событие «резервуар пуст в момент /».
На рис. 11.9 коэффициент простоя верхнего оборудования в
момент t описан зависимостью, подо0ной уравнению (11.4):
Qsv(t)=*$wsv(i2)Pr(t-t2)dt2. (11.5)
Поскольку обычно для постоянных значений
продолжительности ремонтов
Рг(/) = ехр
( *su J '
(11.6)
то в уравнении (11.4) можно заменить Pv(t—ί{), и, используя
уравнение (11.5), получаем формулу для Qte(0:
t-τ
Qrz(t)= \ wsu(*i)exp[ ~{ί~τ1~Τ + Τ ]^ι =
0
= exp
t-τ
(uf) J «su (/ι) exp I
-(t-T-to
usu
4
dU
=KQsv(*~T), (t>T).
(Π-7)
L
Отказало ВО
t-T
Ρ пуст
t
[^^^^^^
i-U
I
Отказало ВО
ВО В состоянии
отказа
t
ВО не отремонтировано^
к
t-to
Ί
Рис. П.8. Условные обозначения для Рис. 11.9. Условные обозначения для
интервала t—t{\ интервала t—t2:
ВО — верхнее оборудование; Ρ — резервуар ВО — верхнее оборудование
14—533 417

Это уравнение отражает то, что если верхнее оборудование
прекращает функционировать в момент t—Τ и оно не восстановлено
за интервал времени Т, то резервуар пуст в момент Т. Отказ
верхнего оборудования после момента t—Τ никак не связан с пустым
резервуаром в момент t, поскольку в резервуаре все еще остается
немного жидкости. Для установившегося состояния это уравнение
принимает вид
QTE(oo)=/CQsu(oo). (11.8)
Приведенные выше уравнения в сочетании с некоторыми
соотношениями, вытекающими из введенных определений, достаточны
для того, чтобы определить коэффициент готовности в
установившемся или неустановившемся состоянии для сложных систем,
которые содержат хранилища, действующие как чистая временная
задержка.
11.1.5. Другие параметры
Средняя продолжительность ремонта (СПР) верхнего
оборудования. Коэффициент простоя Qsu (О и безусловную интенсивность
отказов wsv(t) для приведенных выше уравнений можно получить
при помощи программы KITT для вычислительной машины. При
помощи этой программы вычисляются также условная
интенсивность отказов Asu, вероятность отказа верхнего оборудования,
возникающего в момент t в единицу времени, при условии, что отказ
верхнего оборудования не возникает в момент t. Если принять
экспоненциальное распределение сроков ремонтов для верхнего
оборудования, то условную интенсивность ремонтов μ$ν
определяем через Ι/tsu. В установившемся состоянии безусловная
интенсивность отказов wsv(t) равна безусловной интенсивности
ремонтов vsv(t). Уравнения (7.98) и (7.100) гл. 7 справедливы для
верхнего оборудования. Таким образом,
Л5и (со) [1 - Qsu (оо)]=—— Qsu (оо) (11.9)
Tsu
или
tsu = Cnpsu= У°°> . (НЛО)
Это уравнение позволяет определить tsu, т. е. среднюю
продолжительность ремонта для верхнего оборудования. Для достаточно
больших значений t можно получить приближенные значения tsu
при помощи следующего выражения:
^su(0 (ПЛ1)
A(*)[l-Qsu(')]
Среднее время наполнения резервуара. Резервуар продолжает
оставаться пустым только в том случае, если состояние отказа
верхнего оборудования продолжает сохраняться в течение интер-
418

вала времени, большего чем Т. Верхнее оборудование, которое
продолжает оставаться в состоянии отказа к концу интервала
времени Г, имеет экспоненциальное распределение
продолжительности ремонтов при среднем значении, равном tsu. Таким
образом, среднее время наполнения резервуара
*te = tSu. (1U2)
Среднее время опорожнения резервуара. В установившемся
состоянии [1—Qte(°°)]/Qte(oo) равно отношению ожидаемой
продолжительности исправного состояния к ожидаемому простою.
Таким образом,
СНДОте(оо)= 1~Qte(°°) СПРте= (И.13)
УТЕ(оо)
VsuV СПРте. (11.14)
/<Qsu(oo)
Уравнение (11.12) дает
СНДОТЕ(сю) = Vsu\ tsu. (П.15)
Аналогичным образом для верхнего оборудования имеем
СНД08и(оо)= 1~Qsu(o°) tsu. (11-16)
vSu(°°)
Из уравнений (11.15) и (11.16) получаем
[1 — ATQ ςίΤ(οο)Ί
СНДОтеМ= Ιη "*υ\ Ι СНД05и(оо) (11.17)
К [1 — QSu(°°)]
или, приближенно,
СНДОоП(оо)
СНДОге(оо)« ^ . (П.18)
Видно, что в установившемся состоянии СНДОте (средняя
наработка до отказа) больше СНДОзи в \/К раз.
Условная интенсивность отказов резервуара. Условные
интенсивности отказов Asu(0 И Лте(0 удовлетворяют уравнениям
419

Из уравнений (11.20) и (11.22) получаем
ATE(t)^KASv{t-T). (11.23)
Для установившегося состояния имеем
Ate(oo)S/CASu(co). (11.24)
С помощью уравнений (11.23) и (11.24) вычисляем условную
интенсивность отказов резервуара.
До сих пор не рассматривался отказ нижнего оборудования,
схематично представленного на рис. 11.6. Параметры,
характеризующие конечное событие — «отсутствие потока из нижнего
оборудования», можно ограничить следующим образом (индекс S
относится к системе, состоящей из верхнего оборудования, резервуара
и нижнего оборудования):
• Q5(0<Qte(0+QsdW; |
ws{t)<WTE(f) + wSO{t); (П.25)
A5(/)<Ate(0 + AsdW- J
Теперь применим эти уравнения для следующих примеров.
Пример 1. Определить СНДОте и Qte для недублированного верхнего
оборудования при λ8и = 0,001, tsu = 10 при наличии резервуара для хранения в
единицу времени (ч). Рассмотреть установившееся состояние системы.
Решение. Для установившегося состояния из уравнений (4.109) и (4.103)
имеем
-A-su Tsu , ч А;
з) = ■ , , л—:—; ™su(
su
Подставляя результат в уравнение (11.8)*, имеем
QTE(oo) = KQS{] (oo) = ехр f — J Qsu (oo).
Объединяя это уравнение с (11.15), получаем
i-a:qsu(oo)
СНДОТЕ (oo) = xsu =
ехр ("%Г/(1 + Asu tsu)~~Asu Tsu
Asu
Табл. 11.2 составлена для As и = 0,001 и tsu = 10. Для восстанавливаемой
системы с резервуаром, который можно держать заполненным, коэффициент
готовности и СНДОте («>) для системы существенно возрастают с увеличением
размера резервуара, как это следует из табл. 11.1.
Пример 2. Для дерева отказов, представленного на рис. 11.10,
характеристики элементов имеют следующие значения:
* Эта форма уравнения для установившегося состояния была выведена
независимо Дж. Фусселем, У. Джонсоном и авторами.
420

Отказ
верхней
системы
Рис. 11.10. Дерево отказов для
верхнего оборудования в примере 2
Рис. 11.11. Отказ верхнего
оборудования (ВО) у включая резервуар
(пример 2):
НО — нижнее оборудование
11.2. Параметры, характеризующие надежность, для примера 1
Г
0
10
20
40
г^и
0
1
2
4
(
(
(
К
1
0,36788
0,13534
0,01832
АТЕхЮз
1
0,36557
0,13417
0,01814
СНДОх10~3(ч)
1
2,73546
7,45295
55,13413
Отказы/ч
1) 1X10-3
2) 2X10^3
3) ЗХЮ-з

Продолжительность ремонта, ч
10
40
60
QTEX10»
._*-> ** Шал
9,90099
3,64236
1,34121
0,18151
Имея в виду продолжительность ремонтов, ожидаем, что
установившееся состояние наступает при t>200 ч. Параметры верхней
системы, получаемые с помощью программы KITT, приведены в
графах 2, 3 и 4 табл. 11.3, при этом tsu вычислено по формуле
421

(11.11).Проанализируем эффект введения резервуаров 1 и 2,
представляя временные задержки, соответственно равные 3,72 и 111,6ч
(рис. 11.11). Согласно уравнению (11.2) это соответствует К\ =
= 0,90485 и /С2 = 0,04979. Результаты вычислений на ЭВМ,
включенные в табл. 11.4, получены с использованием логического
знака запрета в качестве элемента, учитывающего запаздывания, и
коэффициентов ΛΊ и /G. Эти результаты соответствуют ожиданию
того, что эффект введения резервуаров состоит в увеличении
коэффициента готовности и уменьшении числа отказов системы.
11.3. Параметры характеризующие надежность, для примера 2
/
20
40
400
<?5ихю>
3,9756
7,79010
7,54726
wS{Jxio>
2,00639
1,98378
2,02806
λ5υχΐ0»
2,08946
2,15139
2,19362
τ5ϋ
19,8147
39,2735
37,21421
11.4. Параметры, характеризующие надежность, для примера 2
/
20
40
400
К
0,90485
0,04979
0,90485
0,04979
0,90485
0,04979
QTExio*
3,59755
1,98041 X Ю-1
7,05043
3,88295 x1ο-1
6,83011
3,76285X10-*
wTE Χ ΙΟ»
1,81548
9,98922Х10-2
1,79502
9,87665Х10-2
1,83509
1,00971x1ο-1
λΤΕ χ юз
1,88232
ι,οοοθοχιο-1
1,931184
9,91515x10-2
1,96962
1,013523x10-2
τΤΕ
19,39589
19,92547
39,27772
39,31444
37,2195
37,2665
Почти идентичные результаты будут получены в том случае,
если верхнее оборудование, представленное на рис. 11.11, заменить
одним элементом с параметрами Asu (400) и tsu (400) из табл.
11.3. Следует обратить внимание на то, что значения t в табл. 11.4
в действительности равны (t—Г).
11.1.6. Приближенные вычисления в примере 2
Если верхняя система состоит из нескольких элементов, ее
отказ является конечным событием для соответствующего дерева
отказов. Это событие не подчиняется экспоненциальному
распределению ремонтов, как принималось в примере 2. Таким образом,
выведенные теоретические зависимости здесь справедливы только
приближенно. Однако уравнение (11.7) справедливо для верхнего
оборудования, поскольку резервуар пуст в момент t, только в том
случае, если верхнее оборудование прекращает функционировать
в момент t—Τ и не отремонтировано в интервале времени Г.
Таким образом, имеем
QTE(t)=K(t-T)Qsu(t-n (П.26)
где K(t—Τ) —вероятность того, что ремонт верхнего оборудования
422

Рис. 11.12. Точная и приближенная
зависимости /С(оо) для верхнего
оборудования в примере 2
ПМ
Точные значение
Приближенные
значения
не произведен в интервале
времени Tf начинающемся в момент
t—Т. Можно оценить величину
K(t—Г), решая марковские
дифференциальные уравнения, как это
сделано в гл. 9, или используя
методы Монте-Карло,
рассмотренные в гл. 12. На рис. 11.12
показаны точные значения /С(оо),
полученные с помощью марковских
и экспоненциальных
приближений. Видно хорошее совпадение
результатов.
Аналогичным образом уравне«
ние (Н.1) можно распространить
на случай неэкспоненциального распределения ремонтов:
wTE(t)=K (t-T)wsv(t-T).
Далее, для более надежных систем коэффициент простоя Q
имеет небольшое значение, а условная интенсивность отказов Л
приблизительно равна безусловной интенсивности отказов w.
Таким образом, уравнение (11.23) также остается справедливым, а из
уравнения (11.27) получаем
• ATE(t)^K(t-T)Asv(t-T). (11.28)
О 1 234-56769 ID
Время опорожнения резердуара ,10 ч
(11.27)
11.1.7. Опорожнение резервуара в процессе работы
Рассмотрим случаи, когда нижнее оборудование имеет низкую
надежность, но избыточную производительность, и желательно
повысить коэффициент готовности верхнего оборудования. Для
этой цели используем правило 5 из табл. 11.1: резервуар пуст в
процессе работы и заполняется при отказе нижнего оборудования.
Пусть индекс ТЕ соответствует полному резервуару, а
вероятность К определяется по формуле К=ехр(—Γ/tsd). Подобно
случаю, соответствующему правилу 4, имеем
wT? (t)=KwSD (t-T); QTF (t)=KQsD (t-T);
QsD(oq)
tSD=CnPsD =
л8о(°°)П — QSd(°°)]
ttf=tsd;
СНДОтр(со)=
1-/C0sd(°°)
K[l-QSD(oo)]
ATf (oo) ж К ASd (oo)
CHД05о (со) ж /С"1 СНД050 (со);
423

11.1.8. Другие правила, применяемые к резервуарам
Теперь рассмотрим, к каким последствиям может привести
попытка держать резервуар заполненным, заполнять его только при
ремонте нижнего оборудования и допускать точно согласованную
величину производительности верхнего и нижнего оборудования.
Делается допущение об установившемся состоянии и постоянстве
частоты отказов и частоты ремонтов. Конечным событием
является «отсутствие потока к нижнему оборудованию».
Случай 1. Коэффициент готовности верхнего оборудования
больше коэффициента готовности нижнего оборудования. Система,
представленная на рис. 11.13, имеет коэффициент готовности Aso
нижнего оборудования, равный 20/23 = 0,87, а коэффициент готовности
Asu верхнего оборудования, равный 10/11=0,91. Хорошим
приближением для коэффициента готовности системы As без резервуара
для хранения является величина, определяемая по формуле
As = AsoAsv= (0,87) (0.91) =0,79. Однако поскольку имеется
определенная избыточность коэффициента готовности верхнего
оборудования, а средняя продолжительность ремонта CIlPsu невелика при
сравнительно больших размерах резервуара, то коэффициент
готовности практически равен 0,87 (Л8б:=:0,87), так как нижнее
оборудование редко выключается из-за отсутствия подачи. Следует
заметить, что для системы последовательного типа в первом
приближении коэффициент готовности системы As всегда ограничен
следующим неравенством:
^sd^su<^5<^sd. (11.29)
Случай 2. Коэффициент готовности нижнего оборудования
больше коэффициента готовности верхнего оборудования. Вполне
очевидно, что в этом случае резервуар практически бесполезен, так
как он будет оставаться пустым большую часть времени.
Следовательно, коэффициент готовности системы является просто
нижней границей значений ASy AsoAsv-
Случай 3. Равные коэффициенты готовности верхнего и нижнего
оборудования. Крайние значения коэффициента готовности
системы определяются неравенством (11.29). Один простой способ
получения точного значения для этого практически нереального
случая заключается в следующем: строится график изменения
поведения системы во времени с определением периодов
функционирования и отключения, который дает, таким образом, величину
коэффициента готовности.
Случай 4. Существуют ограничения в производительности.
Пусть Csu и Csd — производительности верхнего и нижнего обо-
СΗ ДО = 10
СЛР = 1
во
СИД0=20
СЛР=3
Рис. 11.13. Коэффициент готовности
верхнего оборудования (ВО) больше
коэффициента готовности нижнего обо-
тллппяния 1НП\
424

рудования, представленного на· рис. 11.2. Принимается, что
Csu>Csd, a ^su<^4sd. При этом подразумевается, что избыточная
производительность верхнего оборудования может быть
использована для пополнения резервуара, содержимое которого
израсходуется вследствие более длительного простоя верхнего
оборудования по сравнению с нижним оборудованием. В промежуток
времени At могут существовать следующие четыре комбинации рабочего
состояния верхнего и нижнего оборудования:
Верхнее
оборудование
Работает
Простаивает
Работает
Простаивает
Нижнее
оборудование
Работает
Работает
Простаивает
Простаивает
Скорость
наполнения бака
CsU — CsD
— CsD
+ Csu
0
Время
0-Qsu)(l-QsDM'
Qsu(1-<?sd)a<
(I-Qsu)QsdA'
QsuQsd^
Пусть Μ(ί)—ожидаемая величина массы содержимого
резервуара за время t. При / = 0 имеем
Λί(0) = Λί0. (11.30)
Баланс массы дает
M(t+M) = M(t) + (Csu-CsD)(l-Qsv)(l-QsD)At-
-CSD Qsu (1 -Qsd) A/ + Csu (1 -Qsu) Qsd Δ/. (11.31)
Чтобы сохранить содержимое резервуара Л10 при всех значениях
/, необходимо обеспечить
M{t + M) = M{t) (11.32)
или
(Csu -CSD) (1 -Qsu) (1 -Qsd) A/-CsdQsu (1 -Qsd) Δ/ +
+ Csu(1-Qsu)QsdA/ = 0, (11.33)
что сводится к выражению
^SU ^ ~QsD АЬЭ /i-. ол\
^SO * ~Qs[J ^SU
Это означает, что, для того чтобы значение М0 для резервуара
было постоянным, производительности Csu и Csd должны
удовлетворять соотношению
Csu = HsdMsu)CSd. (П.35)
425

11.2. АНАЛИЗ ОПАСНОСТИ С УЧЕТОМ СИСТЕМ ЗАЩИТЫ
11.2.1. Введение
На каждом заводе имеется контрольно-измерительная
аппаратура, единственным назначением которой является защита
предприятия и обслуживающего персонала от различных опасностей,
обусловленных неисправностью оборудования, авариями или
какими-либо другими причинами. Пожарная сигнализация, сприн-
клерные устройства, системы быстрого выключения реактора,
системы тушения огня, разрывные мембраны и предохранительные
клапаны являются примерами таких систем защиты.
Предполагается, что пока система защиты работает, значительных
опасностей не может возникнуть.
Рассмотрим, например, гипотетический технологический
процесс, схема которого представлена на рис. 11.14. Процесс
заключается в хлорировании газообразных углеводородов в реакторе со
стеклянной футеровкой. Возможность выхода из-под контроля
экзотермической реакции возникает всякий раз, когда отношение
СЬ/газообразные углеводороды становится слишком большим; в
этом случае возникает детонация, поскольку всегда имеется
источник воспламенения [1].
Дерево отказов для этого процесса приведено на рис. 11.15.
Вероятности исходных событий, таких как «высокое давление в
испарителе», которые, как принято считать, происходят 12 раз в
год, были получены на основании данных по работе предприятия.
Газообразные
угледодороды
Φ
I
I
ί
ΊΠΓΒ
Φ
I
I
i
К лор из
испарителя
Ψ$?
έ—τ
<2ШЖПБ?
/f следующему
этапу
Рис. 11.14. Принципиальная схема процесса хлорирования:
1 — кран для отбора проб
426

Рис. 11.15. Дерево отказов^ для
установки, представленной на
рис. 11.14:
Л — засорение газопровода; Б -*
отказ управляющего клапана газового
потока в закрытом положении; В —
низкое давление подачи газа; Г —
образование трещин в газопроводе;
я — не открывается управляющий
клапан потока хлора; Е~ высокое
давление в испарителе; Ж —
сильный поток хлора; 3 — детонация;
И — слабый поток газа
Эти вероятности
выражаются через частоты
отказов. Таким образом,
частота отказов на
предприятии без защитных
приборов есть /5=13,21/365=
= 0,036 сут-1. Показатель
надежности после одного
года работы
J3,Hr
СШСХ
/?(365)= е-<°>озе> 065)= 1,96 х ю-6,
(11.36)
что является чрезвычайно низкой величиной.
Естественный путь к уменьшению вероятности взрыва состоит
в использовании системы защиты с требуемым отношением
расходов, которая отключает подачу хлора всякий раз, когда
обнаруживается высокое отношение хлора к газу. До тех пор пока
функционирует система защиты, опасности не существует. Упрощенную
картину процесса можно представить следующим образом: если
система защиты простаивает в течение 27,6 дня, то детонация
будет возникать 1 раз в год (13,21) (27,6/365) = 1. По существу
число 13,21 есть «частота запроса» системы защиты, а 27,6/365 —
относительное время простоя системы защиты. Таким образом,
U7 = 040—частота запроса X относительное время простоя
Контрольно-измерительная система защиты, подобно любому
другому оборудованию, имеет определенную частоту отказов λ,
Было бы, однако, неправильно рассматривать системы
безопасности в виде логического знака «И», поскольку относительное время
простоя является функцией не только λ, но также зависит от
того, насколько быстро обнаруживается отказ. Это, в свою
очередь, зависит от Τ (промежуток времени между испытаниями) и
от D (частота запроса), так как запрос также является
испытанием. Принимается, что после испытания система защиты
работает как новая.
427

11.2.2. Определение переменных параметров
1) U — продолжительность существования завода в единицах
времени, U — случайная переменная величина, a U = t
соответствует тому, что опасность катастрофы возникает в момент t\
2) S — продолжительность существования системы защиты в
единицах времени, S — случайная переменная величина;
3) Τ — интервал между проверками системы защиты в
единицах времени;
4) №(0, Т)—ожидаемое число опасностей катастрофы в
интервале времени от 0 до Г;
5) D — частота запроса системы защиты (время-1);
6) w(t)—ожидаемое число опасностей катастрофы в момент
/ в единицу времени (время-1);
7) A(ty t+di] — событие, заключающееся в том, что опасность
катастрофы возникает в интервале (/, t + dt]\ другими словами,
t<U^t+dt.
11.2.3. Допущения
1. Система защиты состоит из соединенных между собой при-
боров с η-мерным резервированием. Продолжительность
существования этих приборов взаимонезависима и подчиняется
экспоненциальному распределению с частотой отказов λ. Следовательно,
для данного t^O
Pr{S<O = (l-e-x0". (11.37)
2. Распределение вероятности для параметра U зависит от вы-
боронного значения S:
если *</г; (11.38)
если t>u. (11.39)
Уравнение (11.38) означает, что до тех пор, пока
функционирует система защиты, детонация не возникает, в то время как
уравнение (11.39) показывает, что после отказа системы защиты
возникновение опасности катастрофы подчиняется
экспоненциальному распределению с частотой отказов D.
3). Вывод формул для частоты возникновения опасностей до.
Справедливы следующие равенства:
w(f)dt=Pr{A(t, t + di\); (11.40)
τ
W(0y T)=^w(t)dt. (11.41)
6
Правую часть равенства (11.40) можно записать в виде
Pr{A(t,t+dt]}=Pr[t<U <Ct + dt}= (11.42)
= Pr {^<i/ <* + tf/, S </} + Pr {/<ί/ </ + Λ, /<5 </ + <#} +
+ Pr{/<i/</ + rf/f t+dt<S). (11.43)
428
Pr [U ^t\S=u}={ °
1 ^ 1 i-_e-D <'-*>,

Порядок второго члена равенства (11.43) соответствует (dt)2,
а третий член в соответствии с формулой (11.38) равен нулю:
Pv[A(t, Λ])=ΡΓ{/<ί/</ + Λ, S^t}= (11.44)
t
= JPr{/<i/</ + *#, «<5<a + rfa}.
о
Введем функцию плотности вероятности p(U=ty S = u),
деляемую как
p(U = t, S = U) = hm — ———-— J .
Тогда выражение (11.45) можно записать в виде
t
Pr{A(t, t + dt]}=dttp(U=t9 S=u)du.
δ
Плотность вероятности, определяемая выражением (
удовлетворяет равенству
p((J=t, S=u) = p(U=t\S=u) p(S=u),
где плотности p(U=t\S = u) и p(S = u) определяем как
пт iic ч ι· Pr{^<i/ <* + Δ} S=u
ρ (U=t\S=и) =hm i--^ -1—' ;
Δ-* 0 Δ
д->0 Δ
Из формул (11.38), (11.39) и (11.49) имеем
p((J=t\S=u) = —PT[U^t\S=u} =
dt
О , если t <; и;
Z)e-° <'-">, если />и.
Далее, из выражений (11.37) и (11.50) получаем
p(S=u)=— Рг{5<н) =
=«λβ-λ0 (1—е-*0)"-1.
Уравнения (11.48), (11.52) и (11.54) дают
p(U=*t, 5= ) = ί °» если '
\ D е-° <'-"> л λ e-Xu (1 — е-λ")"-!, если /
Таким образом, из уравнения (11.47) имеем
t
Рг{Л(/, /+rf/|}=<«D/iX Ce-oc-^e-^il-e-^)"-1^.
11.45)
опре-
11.46)
11.47)
1.46),
11.48)
11.49)
11.50)
11.51)
11.52)
11.53)
11.54)
11.55)
11.56)
429

Уравнения (11.40), (11.41) и (11.56) дают
t
w (ί)=ϋη λ e~Dt f e^-x)»(1 - е-*")*-* du; (11.57)
г t
U7(0, T) = unl fe-D/ f e<D-x)»(l—е-^-^аЛ. (11.58)
6 о
Правая часть уравнения (11.58) получена в прил. 1. В результате
имеем
п-\
W(04 Л=1+Vf*""1^- 1)' 2 X
= о
X
(Хе--0<-^7П )· _ (1L59>
Средняя частота возникновения опасных ситуаций w дается вы·
ражением
w=W^T) . (11.60)
11.2.4. Некоторые свойства параметра W (0, Т)
В прил. 11.2 выведены следующие уравнения:
1) пусть λΓ<1, a DT<^\\ тогда
Г(0, Τ)^ϋλ"Τ»+ι/(η+1); (11.61)
этот результат совпадает с формулой, выведенной Р. Дж. Бридли.
из отделения «Петрокемикал» (Petrochemical) фирмы «Империая
кемикал индастриз» (Imperial Chemical Industries);
2) HmU7(0, Г) = (1—егХ7)л; (11.62)
D->oo
llmW(0, T)=P; (11.63)
выражение (11.62) означает, что когда DT велико, установка
имеет те же характеристики отказа, что и система защиты;
3) limU7(0, r)=l-e-Dr; (11.64)
λ->οο
НтГ(0, T)=0. (11.65>
λ-*0
Ниже данные уравнения применены при решении нескольких
практических задач.
Пример 3. Процесс, схема которого представлена на рис. 11.14,
контролируется одним оператором процесса, который из общего числа своих 2200
рабочих часов в год, 55 ч проводит вблизи реактора. Остальное время оператор
находится вне опасной зоны. Если оператор находится около установки во время:
детонации, то его шанс погибнуть составляет 0,1.
430

Выбрать из табл 11.5 наиболее подходящий датчик расхода, который
уменьшит для оператора опасность до значения ЧНСС (частота несчастных случаев со
смертельным исходом), равного 1,25 (за 108 ч).
Решение. Частота несчастных случаев со смертельным исходом
ЧНСС = wP (108),
где w — средняя частота возникновения опасных ситуаций из уравнения (11.60);
ρ — вероятность возникновения опасных ситуаций, приводящих к смертельному
исходу.
Для того чтобы получить значение Р, умножим вероятность смертельного
исхода 0,1 на 55/2200 и получим Я =(0,1) (55/2200) =0,0025.
Используя уравнение (11.60), принимаем интервал между испытаниями,
равный 1 мес, и при £>= 13,21 (см. рис. 11.15) получаем
1,25>ЧНСС =
(0,0025)(1Q8)
1
(8760)
1/12
1
X Ue"
2("7')<-'>'β-τ7ττ»*
i+ 1
Теперь подставим значения η и λ для различных типов устройств,
перечисленных в табл. 11.5, и выберем из них тот, который наилучшим образом
удовлетворяет заданным требованиям. Для датчика отношения расходов (класса II)
л = 2, а λ = 0,6, так что
(0,0025)(108) ( / 2
ЧНСС =0,2312 - ν '\—- 12 1 +
(8760)
13,21-0,6
(0,6 е"<13'21/12>-
— 13,21е
-(0,6/12)
) 2 f0^-(i3,2i/i2)_ 13,21 е-(*>(°^М\\ т
} 13,21-(2) (0,6) \· 2 ))]
Это устройство стоимостью 2350 долл. с избытком отвечает заданным
требованиям.
11.5. Характеристика защитных устройств
Функция
Заслонка: отключает подачу хлора
при обнаружении большого расхода
хлора
Заслонка: отключает подачу хлора
при обнаружении малого расхода
хлора
Датчик отношения расходов:
отключает подачу хлора при обнаружении
большого отношения расхода хлора
к газу
Класс
I
II
III
I
II
III
1 I
II
III
Опасная частота
отказов в год 1
0,45; 0,45
0,6; 0,6
0,24
0,45; 0,45
0,6; 0,6
0,24
0,45; 0,45
0,65; 0,65
0,24
Стоимость,
долл.
10 000
1250
250
10 000
1250
250
24 000
2 350
450
1 В случае использования системы отключения с двумя резервированными каналами
приведены два значения частоты отказов.
431

Нормальный
потоп
Рис. 11.16. Система перекачки:
/ — заборная емкость; 2 — обратный клапан
Пример 4. Назначение обратного клапана (ОК) в системе наполнения
резервуара, представленной на рис. 11.16, состоит в том, чтобы защищать насос от
воздействия обратного потока жидкости, находящейся в резервуаре Л, в случае
отсоединения или отказа насоса. Принять, что частота запросов обратного
клапана— 10 раз в год, что клапан проверяется каждый год и имеет частоту
отказов, равную 0,003 год-1. Вычислить среднюю частоту возникновения опасной
ситуации w, обусловленную повреждением насоса.
Решение. Частота возникновения опасной ситуации для £)=10, λ=
= 0,003 год-1, Т=\ год, л=1
W(0, Τ) = 1 + l/(D-X)(Xe~Dr-De-xr)=0,0027.
Таким образом, опасность возникает через каждые 370 лет. Следует
заметить, что это соответствует предельному случаю при D->- oo [уравнение (11.62)],.
когда установка имеет характеристики системы защиты (наработка до отказа
для этой системы составляет 333 года).
11.3. НАГРУЖЕННЫЙ И НЕНАГРУЖЕННЫЙ РЕЗЕРВЫ,
СИСТЕМЫ ВЫБОРА
11.3.1. Нагруженный резерв
Если два или несколько блоков находятся в нагруженном резерве
и справедливо предположение равномерного изнашивания
независимо от того, находятся они в эксплуатации или нет, можно
применять программу KITT для вычислительной машины и
соответствующую технику. Нагруженный резерв обычно применяется в
атомной промышленности и авиационно-космической технике, а также
в области энергетики, где отказы, связанные с невключением,
создают трудности или опасные ситуации.
Если блоки нагруженного резерва являются частью системы,
построенной по принципу выбора, где г из N блоков должны
функционировать, для того чтобы система функционировала в целом,
то, как это показано в гл. 7, справедливо условие
Q
TV"
1
Σ-
k = r
N\
\(N — k)\
{\-Q)kQN~\
(11.66)
где N — полное число параллельно соединенных блоков; г — числа
432

z--(r-lna}
Рис. 11.17. Эффективность
резервирования при ненагруженном резерве
блоков, требуемых для
функционирования системы, 0<r<N;
Q*N — коэффициент простоя
параллельно соединенных
блоков (считаются аварийным
сочетанием) ; Q — коэффициент
простоя отдельного блока.
Заметим, что эта резервная
конфигурация соответствует
системе, построенной по
принципу «(jV—r+1) из N» (см.
гл. 7).
11.3.2. Недогруженный резерв
В химической и других отраслях промышленности резервные
(или запасные) блоки часто составляют ненагруженный резерв.
Иными словами, они не включаются в работу до возникновения
отказа основных блоков. Хотя для вычисления точных значений
параметров, характеризующих надежность систем, включающих
блоки в ненагруженном резерве, можно использовать марковские
методы или методы Монте-Карло, привлекательной альтернативой
является применение обычных методов теории кинетики дерева.
Они дают возможность вычислить параметры, которые
характеризуют надежность систем, включающих блоки ненагруженного
резерва.
Для системы, построенной по принципу выбора и состоящей
из идентичных, параллельно соединенных блоков ненагруженного
резерва [2], имеем
N-r
(11.67)
блоков; г — число
коэффициент готов-
где N— полное число имеющихся в наличии
блоков, требуемых для работы, 0<r<N\
Лености сочетания из N резервных блоков; а —коэффициент готов
ности отдельных элементов.
Результаты, полученные с помощью уравнения (11.67),
представлены в виде графиков на рис. 11.17, где величина ζ=·— г In α,
отложенная по ординате, построена в зависимости от Qc=l— Ac.
Уравнение (11.68) является альтернативной формой уравнения
(11.67), при этом блоки ненагруженного резерва
рассматриваются как аварийные сочетания
Q;=l_exP
"Στ
; = 0
(11.68)
433

11.3.3. Ожидаемое число отказов систем, построенных
по принципу выбора
Имеется система, состоящая из N идентичных, резервируемых
элементов. Чтобы система не отказала, должны функционировать
г элементов. Для расчета частоты отказов необходимо
использовать общую формулу для частоты отказов. Для г—\ при помощи
уравнения (7.97) имеем
Ν Ν
ю;=да*=2^П<г*> О1·69)
7-1 1-1
где wc* — безусловная интенсивность отказов для системы,
построенной по принципу выбора; w* — безусловная интенсивность
отказов для аварийного сочетания {1, 2, ..., N}.
Таким образом, получаем
w^wAQe + WsQiQe + wAQ» (N=21);
К = WAQ3Q4 + w2QiQsQi + W4Q1Q2Q3 (N=4).
Следует заметить, что
w: = ^iXlVh (11.70)
где Хг — произведение коэффициентов простоя для (М—г)
отказавших элементов, при этом отказ одного из г оставшихся
элементов является критическим для данного аварийного сочетания; У г—
безусловная интенсивность отказов, возникающих вследствие
отказа любого элемента; 5 — общее число критических состояний,
когда отказы аварийных сочетаний возникают вследствие отказа
отдельного элемента.
В качестве примера рассмотрим случай, когда r = 2, jV = 4.
Тогда имеются следующие аварийные сочетания:
{1, 2, 3}, {1, 2, 4}, {1, 3, 4}, {2, 3, 4}.
Критическими состояниями являются
{1, 2), {1, 3), (1, 4), {2, 3), (2, 4}, {3, 4),
а произведения
{*«·) = [QiQi, QiQa, QiQ4. Q2Q3, Q2Q4, Q3Q4}. (11.71)
Число критических состояний
S=f N WH = ^—= = 6- (Π·72)
\N—rj \r) r\(N-r)\ 2! (4-2)!
434

Следовательно, если Qi = Q2 = Q3 = Q4 = 0; Υι = Υ2=Υ3=Υα = 0, то
χ. =Q"-r = Q2K
s
®;=KW-'=r(V-'. (И.73)
Рассмотрим теперь способ вычисления Υ. Из уравнения (7.70)
видно, что для каждого ί-го критического состояния Уг —
безусловная интенсивность отказов для системы последовательного
типа, состоящей из г идентичных элементов.
Таким образом, как это следует из разд. 7.7.3, Уг· можно
вычислить по значению ws(l):
YtxwW = rw9 (И.74)
где w — безусловная интенсивность отказов для каждого элемента.
Объединяя уравнения (11.73) и (11.74), получаем
w*=rw(n\Q"-'. (11.75)
Уравнения (11.75), (11.66) и (11.68) пригодны для включения в
программу KITT в виде отдельных подпрограмм. Это было
осуществлено Дж. Онгом [3], а применение модифицированной
программы KITT в виде К1ТТ = 1Т продемонстрировано на примере
задачи, решаемой в гл. 13.
Приложение 11.1. Вывод уравнения (11.59)
Применяя разложение, имеем
(l-e-^-1^ VV^Mi-iye-N». (1)
Подстановка формулы (1) в уравнение (11.58) дает
г (о, г)=2Г7')(-»'^^тг^--^^) +
1-0
(2)
+2!(Г)<-»^· «ο
/=1
Можно показать, что второй член в правой части уравнения (3)
равен единице, откуда получаем уравнение (11.59).
Приложение 11.2. Вывод асимптотических свойств
1. Вывод уравнения (11.61). Справедливо следующее
приближение:
435

e-Dt&D-»u(l--e-lu)n-l^[l-Dt\[l + {D-l)u]ln-1un-1^ (1)
~X*-iii«-i. j2)
Подстановка выражения (2) в уравнение (11.58) дает уравнение
(11.61).
2. Вывод уравнений (11.62) и (11.63). Из уравнения (11.59)
имеем
п—1
limW(0, D=l_V(n"71)(-l)/—-—e-v+W= (3)
D-*
ί-0
*-;λΓ_
=.+SG)<-·)'-
С другой стороны,
/-о
= (1-е-хг)л.
л-1
imU7(0f Г)=1- Vin~^ — 1>*—^—— 1 — 1 =
>-►<) jfaj \ i■ / I + 1
(4)
(5)
(6)
0. (7)
3. Вывод уравнений (11.64) и (11.65):
я-1
limW(0, Г)=1-V(" . 'V-l)' —— t-DT=i_t-DT. (8)
λ->-οο Jmm \ ' / i -\~ I
/ = 0
n-\
iU7(0, 7,)=1-Viil,-M(-1)/ —^—=1— 1 = 0. (9)
0 Jwmi \ i I i + 1
i = 0
lim
Задачи
11.1. Применить следующие значения параметров, характеризующих
надежность, к системе из задачи 3.2:
Оборудование
1. Реактор
3. Компрессор I
4. Компрессор II
5. Насос
2. Сушильный аппарат
6. Десорбционная секция
Средняя наработка
до отказа, дни
1 1800
450
210
915
810
370
Средняя
продолжительность ремонта,
Дни
180
75
75
65
72
72
а. Получить для установившегося состояния параметры Qs, Ws, Xs и СНДО
(средняя наработка до отказа), используя верхние пределы приближенных
значений.
436

б. Исследовать эффект, получаемый в результате установки резервуара для
хранения между десорбционной секцией и реактором. Принять вместимость
резервуара, обеспечивающую работу в течение 50 дней.
11.2. Для системы реактора из предыдущей задачи считать, что вместимость
резервуара для хранения жидкости, поступающей из сушильного аппарата и
десорбционной секции, рассчитана на 50 дней работы. Оценить величину As,
считая потоки согласованными.
11.3. Рассмотреть систему, представленную на рис. 11.18. Определить
производительность верхнего оборудования, исключающего опорожнение резервуара
в течение большей части времени.
Рис. 11.18.
\ASU=0,5
\C5U
РезерВуар
ASD=0,9 ;
CSB-1G0 ί
11.4. а. Обобщить уравнение (11.59) для случая, когда установка
восстанавливается для работы после выключения через среднее значение
продолжительности зосстановления, равное τ=1/μ.
б. Подтвердить уравнение (11.59), приняв, что μ2>02.
в. Получить уравнение (11.59) для случая μ = 0.
11.5. Для системы реактора из задачи 11.1 принять, что конечное событие
есть взрыв. Если оператор все время находится на рабочем месте, а вероятность
для оператора погибнуть в случае аварии составляет 10%, выбрать из табл. 11.5
устройство защиты, которое уменьшит ЧНСС до 1,25, считая, что аппаратура
соответствует требованиям и ежемесячно проводится контрольное испытание
системы.
J 1.6. Рассмотреть систему выключения, представленную на рис. 11.19.
Считая, что приборы в секциях измерения и контроля имеют одну и ту же частоту
отказов λ:
Секция измерения
._1 I I
Секция управления
Рис. 11.19. Автоматическая система выключения:
А, Б — отношение расходов; В — установка; Г, Д — анализ газа; Е, Ж — запорный клапан
437

а) преобразовать выражение (11.37) для параметра Pr{S^/};
б) доказать, что
IF (О, Т) = W4 (О, T) + W2(09 T)-Wa(0, Г), (I)
где W(0, Τ)—ОЧО для установки, представленной на рис. 11.19, Wn (О, Т) —
ОЧО для установки, содержащей «-резервных, соединенных между собой,
устройств защиты с частотой отказов λ.
11.7. Вычислить коэффициент простоя Лс для системы выключения,
состоящей из идентичных, параллельно соединенных резервных блоков с ненагружен-
ным резервом, принимая, что в уравнении (11.67) N = 3; г = 2; а = 0,98.
11.8. Получить выражение для параметра wc* из разд. 11.3.3, принимая, что
r=3, a N = 5.
СПИСОК ЛИТЕРАТУРЫ
1. Kumamoto Нм Henley Ε. J. Protective Systems Hazards Analysis, IncL
Engr. Chem., 13, N. 4, pp. 274—276, 1978.
2. Benning C. J. Reliability Prediction Formulas for Standby Redundant
Structures, IEEE Trans, on Reliability, R-16, pp. 136—137, 1967.
3. Ong J. MS Thesis, Department of Chemical Engineering, University of
Houston, June, 1978. Also Henley EM Ong J. Reliability Parameters for Chemical
Process Systems. — In: Synthesis and Analysis Methods for Risk, Safety, and
Reliability Studies, Apostolakis G., Garriba S., Volta G., (eds.), Plenum Press, N. Y.,
1980.

Глава 12
ИСПОЛЬЗОВАНИЕ МЕТОДОВ МОНТЕ-КАРЛО
ДЛЯ КОЛИЧЕСТВЕННОЙ ОЦЕНКИ СИСТЕМЫ
12.1. ВВЕДЕНИЕ
До разработки теории кинетики дерева для анализа дерева
отказов и структурных схем широко использовались методы Монте-
Карло. Этот метод состоит в построении (обычно в виде
программы ЭВМ) вероятностной модели исследуемой системы. Пробное
испытание этой модели проводится неоднократно, и каждый раз
регистрируется работа построенной системы. Например,
предположим, что нас интересует надежность многоэлементной системы
за период ее работы 5000 ч. Можно разработать модель системы и
испытать ее 100 раз. Каждый прогон системы независим и
по существу моделирует работу системы заново. Если 75 таких
систем проработало более 5000 ч, а 25 отказали раньше этого
срока, можно сделать вывод о том, что показатель надежности
системы 5000 ч равен приблизительно 0,75. Обычно моделирование по
методу Монте-Карло проводить просто, и он применяется для
систем, которые слишком сложны или слишком громоздки, чтобы
использовать для их анализа детерминированные методы. Как
показано ниже в этой главе, характер проблем надежности таков, что
методы непосредственной выборки требуют слишком большого
машинного времени, поэтому здесь разрабатываются новые методы,
такие, как ограниченная выборка и кинжальная выборка.
12.2. ГЕНЕРАТОР РАВНОМЕРНО РАСПРЕДЕЛЕННЫХ
СЛУЧАЙНЫХ ЧИСЕЛ
Моделирование при помощи метода Монте-Карло включает
использование случайных отклонений, свойственных большинству проблем
реальной действительности; отсюда и название Монте-Карло.
Прибор, используемый для создания таких отклонений при испытании
моделей на цифровой ЭВМ, есть генератор случайных чисел. Этот
генератор обычно представляет собой подпрограмму, которая
выбирает значения из равномерного распределения в интервале от
0,0 до 1,0. На рис. 12.1 приведен листинг простой подпрограммы
генератора случайных чисел, называемой RAN (NSEED),
составленной на языке ФОРТРАН. Единственный исходный параметр
NSEED является «затравкой» для генератора. Это значение
первоначально задается пользователем и определяет
последовательность величин, которые будут генерироваться. Однако пользова-
439

FUNCTION RAN(NSEED)
NSEED = IABS (NSEED»655393)
RAN = FLOAT (MOD (NSEED,33554432)) /FLOAT (3355443i2)
RETURN
END
Рис. 12.1. Генератор случайных чисел RAN (NSEED)
тель не может выбирать параметр NSEED произвольно. Например,
NSEED = 0 дает последовательность нулей. Подпрограмма имеет
несколько рекомендуемых значений параметра NSEED, например
773311. Поэтому, если пользователь хочет провести различные
серии экспериментов, лучше применить несколько
последовательностей из подпрограммы при NSEED=773311, чем использовать
просто другие значения NSEED.
На рис. 12.2 представлена программа, составленная на языке
ФОРТРАН, которая вызывает программу RAN (NSEED) 10 раз,
и каждый раз печатается выбранное значение. Показан также
результат выполнения программы.
На рис. 12.3 представлена гистограмма, построенная по тысяче
значений, полученных при помощи подпрограммы RAN (NSEED).
Как и следовало ожидать, каждый из десяти интервалов содержит
NSEED = 773311
DO 100 1 = 1,10
T = RAN(NSEED)
WRITE (6,200) Τ
FORMAT (F 12.5)
CONTINUE
STOP
END
o)
0.4910020
0.3085365
0.3378267
0.2928143
0.5675969
0.3361816
0.9255381
0.1872883
0.5499539
0.7460365
6)
Рис. 12.2. Программа RAN (NSEED) (а) и результат вычислений (б)
■ WOU
ta I
5 50Y-
о o,i о,г о,з o^ o,5 ο,β o,7 ο,β o,9 ι,ο
Значен ил
Рис. 12.3. Гистограмма значений, полученных при помощи программы RAN
(NSEED)
440

FUNCTION RAND(L)
DOUBLE PRECISION X1,X2,UU,VV
IF (L.GT.l)GO TO 80
XI =0.3785682200000000
X2 = 0.0768029600000000
UU = Xl*X2*-10E + 8
X1=X2
VV=1,0
X2 = DMOD(UU,VV)
L = L+1
RAND=X2
RETURN
6)
0.41833
0.49172
0.45318
0.21663
0.42376
0.78475
0.32545
0.08142
0.21155
0.79538
e)
L=l
DO 100 1 = 1, 10
T = RAND(L)
WRITE(6,200)T
200 FORMAT (F 12.5)
100 CONTINUE 80
STOP
END
a)
Рис. 12.4. Программа (α), функция RAND(L) (б) и результаты вычислений (в)
приблизительно одинаковое число значений. Выполнение
программы RAN (NSEED) не зависит от типа машины. Она может
выполняться на любой цифровой ЭВМ с размером слова, позволяющим
хранить десятичные целые числа, большие либо равные 225.
На рис. 12.4 показан пример использования еще одной
подпрограммы генератора равномерно распределенных случайных чисел —
подпрограммы RAND (L). На рисунке показана программа,
которая вызывает подпрограмму RAND (L) 10 раз и каждый раз
печатает выбранные значения. Показаны также результаты
выполнения этой программы. Подпрограмма RAND (L) дает хорошее
равномерное распределение [1].
12.3. ГЕНЕРАТОРЫ ДЛЯ РАЗЛИЧНЫХ РАСПРЕДЕЛЕНИЙ
Существуют алгоритмы для вычисления случайных переменных
величин из различных распределений путем преобразования одной
или нескольких величин, полученных при помощи генератора
равномерно распределенных случайных чисел.
12.3.1. Нормальное распределение
На рис. 12.5 представлен листинг программы FUNCTION
ANORM (EX,SD,NSEED), который выбирает случайную величину
из нормального распределения с ожидаемым значением ЕХ и
стандартны^ отклонением SD. Этот метод основан на центральной
предельной теореме [2], при этом генератор равномерно
распределенных случайных чисел вызывается 12 раз для получения одного
значения из заданного нормального распределения.
FUNCTION ANORM(EX,SD,NSEED)
SUM = 0.0
DO 100 1 = 1, 12
SUM = SUM+RAN (NSEED)
100 CONTINUE
Рис. 12.5. Функция, составлен- ANORM= (SUM=6.0)*SD + EX
ная на языке ФОРТРАН для RETURN
нормального распределения END
441

FUNCTION EXPO(AV,NSEED) Рис. 12.6. Функция, составлен-
EXPO=—AV*ALOG (RAN (NSEED)) ная на языке ФОРТРАН для
RETURN экспоненциального распреде-
END ления
12.3.2. Экспоненциальное распределение
На рис. 12.6 дается листинг программы FUNCTION EXPO (AV,
NSEED), который выбирает значение случайной переменной из
экспоненциального распределения с ожидаемым значением AV.
Этот алгоритм основан на инверсии накопленного распределения
[2].
12.3.3. Бинарная случайная переменная
Функция BINARY (Q, L), приведенная на рис. 12.7, выбирает
нуль или единицу с вероятностью, соответственно равной Q и 1—
—Q. Здесь программа RAND (L) используется для выбора
равномерно распределенных случайных чисел. Если случайное число из
равномерного распределения попадает в интервал [О, Q],
появляется нулевое значение. В противном случае вырабатывается
значение, равное единице. Функция BINARY (Q, L) реализует
появление отказов элементов, возникающих с вероятностью Q.
12.4. МЕТОД ПРЯМОГО МОДЕЛИРОВАНИЯ
Цифровая модель переходит из одного определенного состояния в
другое. Состояние модели в любой момент времени
представляется набором переменных параметров. Отдельные события при
моделировании вызывают изменения состояний модели, так что
всякий раз, когда происходит событие, один или несколько
переменных параметров, определяющих эту модель, изменяются.
Большинство моделей запрограммированы так, что моделируемое время
изменяется от одного события к следующему. Например,
предположим, что нужно найти время простоя (в %) для вычислительной
системы. Было установлено, что время между отказами
вычислительной машины распределено по экспоненциальному закону с
ожидаемым значением, равным 320 ч. Время ремонта
распределено по нормальному закону с ожидаемым значением, равным 25 ч,
и стандартным отклонением1, равным 5 ч. Моделирование заклю-
FUNCTION BINARY(Q,L)
IF(Q.GT.RAND(L)) GO TO 100
BINARY=1,0
RETURN Рис. 12.7. Функция, составлен-
100 BINARY=0.0 ная на языке ФОРТРАН для
RETURN бинарной случайной перемен-
END ной
ι Следует заметить, что если бы наработка до отказа и продолжительность
ремонта распределились экспоненциально, процент простоя составлял бы (25) (100)/
(320+25) =7,25. Приняв нормальное распределение для продолжительности
ремонта, данную проблему значительно усложним, однако ответ в сущности
получим тот же самый —7,25% по сравнению с 7,39% (см. столбец 3, рис. 12.9).
442

с
Начало
3
/=/
тТ
Установить
временно и механизм
моделирования
на нуль
CLh=0,0
Установить
единицу счета
времени
простоя на нуль
T0TIBL=0,0
ΪΖ
Перевести временной
механизм на время
следующего от па за
CLn=CLH + EXPO (320, NSEEB)
От паз произошел.
Найти
продолтитель ность
ремонта
Т2 =AN0RM(25., 5., NSEEB)
Увеличить
Время простоя
TDTIDL=TOTIDL + TZ
Перевести временной
механизм на время
завершения
ремонта
CLn = CLn+T2
Вычислить
процентную
Величину простоя
Записать
CLH,T0TI1)L, PER
Рис. 12.8. Структурная схема определения среднего времени простоя ЭВМ

чается в том, что исследуются 30 независимых периодов работы по
5000 ч каждый и каждый раз фиксируется время простоя (в %).
Структурная схема модели представлена на рис. 12.8. Содержание
модели и ее выходные данные приведены на рис. 12.9.
Единственными двумя событиями, фиксируемыми данной моделью, являются
отказ системы и завершение ремонта. Время при моделировании,
представленное переменным параметром CLK, применяется
последовательно от одного из этих событий к другому. Всякий раз,
когда параметр (в %) CLK становится равным или больше 5000,
печатается время простоя (в %), и модель снова подвергается
прогонке, причем параметру CLK заново присваивается нулевое
значение.
В описанной простой модели рассматривались только два типа
событий, и при моделировании эти события попеременно менялись.
В более сложных моделях обычно существует большое число типов
событий, и последовательность событий совершенно нерегулярна.
Основные усилия по программированию при разработке таких
более сложных моделей затрачиваются на то, чтобы сохранить
необходимый хронологический порядок событий и правильно
чередовать события в модели. Рис. 12.10 представляет собой листинг трех
подпрограмм на языке ФОРТРАН, которые полезны при
составлении графика событий. Подпрограммами являются SCHED (INCOD,
TMIN), RMV (NCODE, TMOUT) и CLEAR. При использовании
программы SCHED пользователь вводит код тех событий, которые
должны происходить (INCOD), и время появления этих событий
(TMIN). Эта информация хранится в программе SCHED. Когда
вызывается подпрограмма RMV, устанавливается первый параметр
NCODE в соответствии с кодом события, которое имеет самое
раннее время появления. Второй параметр TMOUT соответствует
времени появления этого события. Место, которое было занято самым
NSEED= 1234567
DO 50 1 = 1.3
CLK = 0.0
TOTIDL=0.0
С ADVANCE CLOCK TO TIME OF NEXT FAILURE.
5 CLK=CLK+EXPO(320 . , NSEED)
IF (CLK.GE.5000.0) GO TO 20
С FIND REPAIR TIME.
T2 = ANORM(25 .. 5 ., NSEED)
С UPDATE DOWNTIME SUM.
TOTIDL = TOTIDL-f-T2
С ADVANCE CLOCK TO REPAIR COMPLETION.
CLK = CLK+T2
IF (CLK.GE.5000.0) GO TO 20
GO TO 5
С CALCULATE PERCENT OF DOWNTIME.
20 PER = TOTIDL/CLK400.
WRITE (6,21) CLK,TOTIDL,PER
21 FORMAT(lH,3F, 12.2)
50 CONTINUE
STOP
END
Рис. 12.9. Модель и результаты вычислений для примера 1

Полное время
простоя
367.49
255.76
437.96
326.51
297.01
389.70
336.61
316.67
564.51
281.29
431.19
301.18
421.92
179.90
367.49
454.44
365.07
377.40
403.49
571.60
359.92
377.87
375.23
333.89
476.79
535.01
339.36
449.69
412.44
400.22
Время
простоя, %
7.10
4.77
8.58
6.01
5.64
7.77
6.28
6.21
11.12
5.47
7.49
6.01
8.13
3.34
7.35
8.71
7.22
7.55
8.05
11.33
6.75
7.48
6.98
5.93
7.46
10.68
6.65
8.45
8.73
7.91
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
60
5175.90
5356.74
5103.91
5433.17
5263.39
5815.60
5363.89
5102.45
5475.78
5144.19
5759.50
5614.82
5127.52
5383.94
5600.68
5219.16
5759.46
5541.68
5914.13
5345.09
5330.34
5753.90
5877.18
5629.43
5449.64
5009.07
5104.13
5320.43
5138.72
5057.95
Рис. 12.9. Продолжение
SUBROUTINE SCHED(INCODJMIN)
COMMON/SCBLK/KODE (500) ,ΤΜ (500) ,ΝΧ (500) ,JP (500,JST,NEN,NCEL,LWC,
1 NUMIN
IF(NUMIN.EQ.NCEL) GO TO 5
NUMIN = NUMIN+1
J = LWC + 1
4 IF(J.GT.NCEL) J = l
IF(KODE(J).EQ.O) GO TO 10
J = J+1
GO TO 4
5 WRITE (6, 7)
7 FORMAT (SCHEDULE FILLED')
STOP
10 TM(J)=TMIN
KODE(J) = INCOD
IF(JST.EQ.O) GO TO 12
IF(TMIN.GE.TM(NEN)) GO TO 15
IF(JP(NEN).EQ.O) GO TO 18
GO TO 25
12 JST=J
13 NEN = J
14 LWC=J
RETURN
15 NX(NEN)=J
Рис. 12.10. Подпрограммы SCHED, RMV и CLEAR
445

JP(J)==NEN
GO TO 13
18 JP(NEN)=J
NX(J)=NEN
19 JST = J
GO TO 14
25 K = JP(NEN)
26 IF(TMIN. GE.TM(K)) GO TO 30
IF(K.EQJST) GOTO 27
K = JP(K)
GO TO 26
27 NX(J) = K
JP(K)=J
GO TO 19
30 JP(J)=K
L = NX(K)
JP(L)=J
NX(J)=NX(K)
NX(K)=J
GO TO 14
END
SUBROUTINE RMV(NCODEJMOUT)
COMMON/SCBLK/KODE (500) ,TM (500) ,NX (500) ,JP (500), JST.NEN^CE^LWC,
I NUMIN
IF(NUMIN.EQ.O) GO TO 10
NUMIN = NUMIN-1
NCODE = KODE(JST)
TMOUT = TM(JST)
JX = JST
JST = NX(JST)
NX(JX)=0
JP(JX)=0
KODE(JX)=0
IF(JST.NE.0)JP(JST)=0
RETURN
10 WRITE(6,U)
II FORMAT ('SCHEDULE ΕΜΡΤΥ0
RETURN
END
SUBROUTINE CLEAR
COMMON/SCBLK/KODE (500) ,TM (500) ,NX (500) ,JP (500) ,JST,NEN,NCEL,LWC,
1 NUMIN
DO 15 1 = 1,500
KODE(I)=0
NX(I)=0
JP(I)=0
15 CONTINUE
JST = 0
NEN = 0
NCEL = 500
LWC = 0
NUMIN = 0
RETURN
END
Рис. 12.10. Продолжение

Рис. 12.11. Структурная схема
для анализа надежности
системы из четырех элементов
ранним событием, освобождается для последующего
использования. Подпрограмма CLEAR применяется для установки в исходное
состояние, поэтому она должна вызываться до начала нового
моделирования.
Чтобы проиллюстрировать использование этих подпрограмм,
рассмотрим систему, представленную на рис. 12.11.
Продолжительность срока службы элемента А имеет экспоненциальное
распределение с ожидаемым значением, равным 48 единицам времени.
Элемент В является резервным для элемента Л, и его
продолжительность срока службы имеет нормальное распределение с
ожидаемым значением, равным 20 единицам времени, и стандартным
отклонением, равным 4 единицам. Элемент В начнет
функционировать только после того, как отказывает элемент А.
Продолжительность срока службы элемента С имеет экспоненциальное
распределение с ожидаемым значением, равным 60 единицам. Он имеет
резервный элемент D, которому соответствует нормальное
распределение продолжительности срока службы с ожидаемым
значением, равным 15 единицам и стандартным отклонением, равным 3
единицам. Элемент D снова начинает функционировать только
после того, как отказывает элемент С. При помощи программы,
представленной на рис. 12.12, моделируется система, а структурная
схема модели показана на рис. 12.13.
При этом моделировании имеется четыре типа событий. Код I
указывает на то, что элемент А отказал; код 2 указывает на отказ
элемента В; код 3 — на отказ элемента С, а код 4 — на отказ
элемента D. Результаты вычислений при помощи этой программы
показаны на рис. 12.14.
Эти примеры иллюстрируют метод Монте-Карло
применительно к проблемам надежности, при этом используются программы,
написанные на языке ФОРТРАН. Функции и подпрограммы,
примененные для этих примеров, являются достаточно общими и
используются для решения любой подобной задачи моделирования
надежности. Существуют другие машинные языки,
предназначенные специально для цифрового моделирования. На этих языках
программы составления временных последовательностей событий
обычно менее понятны пользователю. В одном из языков GPSS
(система моделирования общего назначения) [3, 4] делается упор
на применение структурной схемы. Используя специальные
символы программы GPSS, сначала составляют структурную схему
модели. После того как составлена структурная схема модели,
записывается программа, причем каждый символ структурной схемы
эквивалентен одному оператору программы. Пользователь может
447

NSEED=7654321
SUM=00
SUMSQ=0.0
DO 100 1 = 1,50
CALL CLEAR
С SCHEDULE COMPONENT A FAILURE.
T = EXPO(48.0,NSEED)
CALL SCHED(IJ)
С SCHEDULE COMPONENT С FAILURE.
T = EXPO(60.0,NSEED)
CALL SCHED(3,T)
€ REMOVE EARLIEST EVENT IN SCHEDULE.
2 CALL RMV(K,CLK)
С BRANCH ACCORDING TO EVENT CODE.
GO TO (10,20,30,40),K.
€ EVENT IS COMPONENT A FAILURE, SCHEDULE В FAILURE.
10 T = ANORM(20.0,4.0,NSEED) +CLK
CALL SCHED(2,T)
GO TO 2
С EVENT IS COMPONENT В FAILURE, SYSTEM FAILS.
20 WRITE(6,21) CLK
21 F0RMAT(1H,F12.2,2H B)
SUM = SUM+CLK
SUMSQ = SUMSQ+CLK*CLK
GO TO 100
С EVENT IS COMPONENT С FAILURE, SCHEDULE D FAILURE.
30 T = ANORM(15.0,3.0,NSEED) +CLK
CALL SCHED(4,T)
GO TO 2
С EVENT IS COMPONENT D FAILURE, SYSTEM FAILS.
40 WRITE(6.41) CLK
41 F0RMAT(1H,F12.2,2H D)
SUM = SUM + CLK
SUMSQ = SUMSQ+CLK*CLK
100 CONTINUE
С CALCULATE MEAN AND VARIANCE FOR MODEL.
AVG = SUM/50.0
VAR = SUMSQ/50.0-AVG*AVG
WRITE(6,101) AVG/VAR
101 FORMAT (//,2F 16.2)
STOP
END
Рис. 12.12. Программа для четырехэлементной модели
быстро освоить основы языка GPSS и приступить к составлению
структурной схемы и программированию простых моделей после
часового или двухчасового инструктажа. Акцент на структурную
схему способствует более четкому и быстрому пониманию моделей
и процесса моделирования. В структурных схемах используют
более 50 символов, но большинство моделей включает не более 12
различных типов символов.
Другим широко используемым языком для моделирования
является GASP (программа моделирования общего характера
деятельности) [5]. GASP — это набор подпрограмм на языке
ФОРТРАН, которые могут прогоняться почти на любой
вычислительной машине. Во многих отношениях они подобны набору
программ на языке ФОРТРАН, описанных в данной главе. Однако
448

Начало
Установить сумму и
квадрат сумма man,
чтобы производить
считывание
SUM = 0,0
SUMSQ=0,0
Τ
1
1=1
I
Установить в исходное
состояние подпрограмму
составления
последовательности
CALL CLEAR
Составить
последовательности
при отнаэе элемента А
Г=£ХРО (ЩО, NSEED)
CALL SCHEDdJ)
Составить
последовательности
при отнаэе элемента С
T=EKP0(60,0,NSEED)
CALLSCHEB(dJ)
€Н
Исключить из
последовательности
самое раннее событие
CALL f\MY(n,CLH)
П = 1
Отказ элемента А
К=2
Отказ элемента В
rt=3 Κ = ϊ
От паз элемента С Отказ элемента Ό
Составить
последова тель но cm и
при отказе элемента В
т=*а тпм (го., ч., nseed)+cli\
CALLSCHED(ZJ)
I
Составить
последователь ноет и
при отказе элемента Л
Т=А NORM(15,3 , NSEED)
CALL SCHED(tJ)
Отказ системы
SUM=SUM-hCLh
SUMSQ = SUMSQ +CLH**2
Отказ системы
SUM=SUM+CLH
SUMSQ =SUMSQ +CL /i**2
Вычислить среднее
значение и дисперсию
AVE = SUMI50,0
VAR = SUMSQ/50-AVS**Z
15—533
Рис. 12.13. Структурная схема для четь!рехэлементной модели
449

12,83 В
200,67 В
47,25 D
60,83 D
21,37 В
27,62 D
81,67 В
86,96 В
22,28 D
39,82 D
42,16 В
25,08 D
23,18 D
18,65 D
27,36 В
22,15 В
30,19 D
39,12 D
48,05 D
22,42 В
77,66 D
48,40 D
56,14 D
30,09 В
16,54 D
65,57 В
9,96 D
70,02 D
30,25 В
29,76 В
35,62 В
49,90 D
32,97 В
21,39 В
85,04 В
46,94 В
28,48 В
£4,87 D
38,56 D
57,51 D
25,97 D
33,92 В
52,85 D
31,53 D
27,14 D
56,29 D
38,28 В
39,68 D
21,23 В
24,84 В
Рис. 12.14.
лений на
41,94 874,52
Результаты вычис-
четырехэлементной
модели
GASP содержит большее число подпрограмм. Последний
вариант— GASP IV объединяет пакет программ для непрерывного и
дискретного моделирования.
Существует множество других языков для цифрового
моделирования, таких как SIMSCRIPT [6], SIMULA [7], DYNAMO [8],
CSMP [9]. У каждого из них есть свои сторонники и противники.
Для анализа проблем надежности можно использовать любой из
этих языков. Однако модели с использованием языков GPSS>
450

GASP или ФОРТРАН применяют чаще к задачам надежности.
До разработки теории кинетики дерева моделирование с
применением метода Монте-Карло использовалось в качестве
стандартного приема для получения вероятностей конечных событий в
деревьях отказов. В настоящее время оно используется главным
образом для задач надежности, когда исследуемая система
слишком сложная или слишком большая, чтобы получить для нее
достаточно приемлемое решение каким-либо другим способом.
Примерами процессов, в которых методы Монте-Карло обеспечивают
практически единственный подход к анализу надежности, являются
электроэнергетические системы. В последнее время было
опубликовано несколько статей на данную тему [10, 11, 12]. Эти системы
имеют широкую сеть, узлы которой включают работающие и
резервные генераторы. Осмотр оборудования может проводиться
одновременно или в шахматном порядке. Система может иметь
скрытые или явные отказы элементов. Выключение может быть
запланированным или незапланированным, а продолжительность
ремонтов может изменяться в зависимости от типа элементов, вида
отказов и наличия персонала для выполнения ремонта. Ясно, что любая
попытка получить параметры, характеризующие надежность, для
подобного рода задач детерминированными методами по существу
оказывается невозможной.
Другим преимуществом метода Монте-Карло является легкость,
с которой можно изменить число и характеристики элементов. Ви-
довский [13] показывает, как можно варьировать число членов
экипажа и продолжительность ремонтов при космических полетах, для
того чтобы рассчитать вероятность успешного выполнения
программы полета. Используя метод Монте-Карло, можно быстро
определить критические элементы и факторы в системе. Большинство
детерминированных решений дает результаты только в виде
ожидаемых значений, например ожидаемое время между отказами.
Используя методы Монте-Карло, можно получить распределения этих
значений. Такое распределение обычно представляется в виде
гистограммы, но в большинстве случаев этого бывает достаточно; при
подгонке классических типов распределений улучшить результаты
обычно не удается.
Еще об одном трудно уловимом преимуществе метода Монте-
Карло упоминается в работе Нофери и др. [11]. Разработка и
применение моделей с использованием метода Монте-Карло
позволяют ^инженерам, занимающимся планированием, приобрести
некоторый «опыт работ» с системой, а также способствуют более
глубокому пониманию ее структуры и поведения. Часто это имеет
большее значение, чем сами результаты вычислений, полученные на
детерминированной модели, поскольку упрощающие предположения,
которые требуются для построения детерминированной модели,
таковы, что редко воспринимается подлинная сложность большой
системы.
Недостатком метода Монте-Карло являются большие затраты
времени и расходы, связанные с разработкой модели и процессом
451

моделирования. Чтобы иметь приемлемую степень уверенности в
результатах моделирования, требуется большое число итераций,
что, в свою очередь, требует значительного машинного времени.
12.5. МОДЕЛИРОВАНИЕ МЕТОДАМИ МОНТЕ-КАРЛО
РАСПРОСТРАНЕНИЯ ОШИБОК ПРИ ПОМОЩИ ДЕРЕВЬЕВ ОТКАЗОВ
12.5.1. Введение
Для того чтобы облегчить количественный анализ деревьев
отказов, удобно представить деревья отказов в математической форме,
а структурные функции, описанные в гл. 7, являются для этого
подходящей формой. Коэффициент простоя Qs(t) системы можно
получить такими методами, как полное разложение или частичное
опорное разложение структурной функции. Для больших и
сложных деревьев отказов можно использовать принцип включения —
исключения при получении приближенных значений Qs(t). На
рис. 12.15 представлены логические схемы «И» и «ИЛИ»,
определяющие конечное событие Д, и приведены соответствующие
структурные функции ψ и коэффициент простоя Qs(t) системы.
Логический
знак "И"
В
ЯдЪйческий
знак "ИЛИ"
в
ψ-Υ1ΥζΥ3
ilr=1-[1-Y7][1-YzW-Y3]
Qs'l-ll-QiM-QzHl-Qsl
Рис. 12.15. Схематическое представление дерева отказов
Рис. 12.16. Характеристики логарифмически-нормального распределения:
Функция плотности вероятности
(In'Q —μ,)2
2σ2
Тип (наиболее вероятное значение)
^=yWexpl·
Q>o
Медиана
Qo=e*
Медиана (выраженная через верхнюю и нижнюю границы)
Qo=V QuQl =V {QoK) (Qo/K)
Среднее значение
+0,5σ«
V =e^+- [(e·' —1)1
Дисперсия
452

В тех случаях, когда для частоты отказов и других измеряемых
параметров используются фиксированные значения, говорят, что
коэффициент простоя системы имеет точечное значение. Однако из-
за отсутствия полной уверенности и наличия отклонений в частоте
отказов и других измеряемых параметров эти величины
рассматриваются как случайные переменные, и поскольку коэффициент
простоя Qs(t) системы является функцией этих случайных переменных,
то он сам является случайной переменной. Термин
распространение ошибок относится к процессу определения вида распределения
коэффициентов простоя системы по распределениям отдельных
параметров. Случайную переменную можно рассматривать как
переменную, которая имеет диапазон возможных значений,
возникающий в результате ряда неопределенностей и отклонений в данной
совокупности. Поэтому некоторое распределение вероятностей,
например логарифмически-нормальное, можно связать с этим
диапазоном, для того чтобы получить правдоподобие в появлении
любого конкретного значения.
Если отклонение измеряемых параметров характеризуется при
помощи коэффициентов или процентов,
логарифмически-нормальное распределение является подходящим распределением,
адекватным имеющимся данным. Например, если Q — случайный
переменный параметр, который имеет диапазон изменения от Ql = Qo!K до
Qu=Qo/K, где Q0 — исходное среднее значение, т. е. медиана, а
К — постоянный коэффициент ошибки, больший единицы, то выбор
логарифмически-нормального распределения является
естественным. Если Q попадает в диапазон [Qo/K, QoK] с 100
(1—2α)-процентной достоверностью, то логрифмически-нормальное
распределение имеет параметры μ = 1ο§(3ο и σ= (log/()/L, где L—100(1—
—α)-процентное нормальное распределение со средним значением,
равным нулю, и дисперсией, равной единице. На рис. 12.16
приведены характеристики логарифмически-нормального распределения,
где μ и σ соответственно являются параметром формы и
масштабным параметром, a QL и Qu — соответственно 100а%-ные и 100(1—
—а) %-ные пределы.
Когда установлено и выбрано логарифмически-нормальное
распределение, последнее можно распространить на систему и
определить его параметры и диапазон изменения. Распространение
ошибок удобно проводить с помощью метода Монте-Карло, пользуясь
вычислительной техникой. В результате применения этого метода
получают вероятностные характеристики (случайной выборкой из
соответствующим образом определенного
логарифмически-нормального распределения) для коэффициента простоя системы,
показателя ненадежности и т. п. Затем эти вероятностные
характеристики используют для вычисления точечного значения вероятности
конечного события.
12.5.2. Программа SAMPLE
В программе [14] используется выборка по методу Монте-Карло
для получения среднего значения стандартного отклонения, диа-
453

газона изменения вероятности и параметров распределения для
функции Y=f (Χι, Χ2, ..., Хп). Эта функция, например, может быть
коэффициентом простоя Qs системы, выраженным через
коэффициенты простоя элементов Qu Q2, ..., Qn. Функция f может также
быть показателем надежности Rs системы, выраженным через
частоты отказов и ремонтов отдельных элементов.
Если даны функция Y=f (Xu Хг, ·, Хп), значения параметров
формы и дисперсии независимых переменных и конкретное
распределение входных величин, то при помощи программы SAMPLE и
зная распределения входных переменных, получают выборку хи
*2, ···> Хп по методу Монте-Карло и оценивают соответствующую
функцию y = f(x\, *2, ···> *п). Выборку повторяют N (входной
параметр) раз, и результирующие оценки для У располагают по
возрастающим значениям: у\<у2< — <Уп, чтобы получить границы
в процентах для распределения У. В настоящее время программа
имеет варианты входов для трех видов распределений:
нормального, логарифмически-нормального и логарифмически равномерного.
Программа составлена так, чтобы во время одного и того же
прогона можно было использовать различные функции с
различным описанием входных данных. Это осуществляется при помощи
составляемой пользователем функции для программы SAMPLE,
описанной в следующем разделе.
Программа FUNCTION, составляемая пользователем, может
содержать одну или несколько отдельных функций или алгоритмов
для вычисления У. Для одной и той же функции или различных
функций можно использовать несколько совокупностей данных. Эта
процедура управляется машинной подпрограммой GOTO.
Пример 1. Программа SAMPLE. Чтобы проиллюстрировать применение
программы SAMPLE и метода распространения ошибок, рассмотрим систему,
структурная схема надежности и дерево отказов которой представлены на рис. 12.17.
Ниже приводятся данные с учетом их неопределенности для этой системы:
Элемент
/
2
3
Среднее
значение
коэффициента простоя
Qo
9,90Х10-3
7,41Х10-2
Ι,δβχίΟ"1
' 90%-ный
коэффициент
ошибки К
3
3
3
Параметр
μ=1οβ Qo
—4,615
—2,602
—1,877
L при
вероятности 95%
1,605
1,605
1,605
Параметр
σ= (log K)/L
0,6845
0,6845
0,6845
Коэффициент простоя Qs системы можно приблизительно определить как
Qs = Q2+QiXQz. Операторы ввода программы SAMPLE для этой системы на
языке ФОРТРАН имеют следующий вид:
454

FUNCTION SAMPLE (Q,IFLAG, NPROB)
DIMENSION Q(3)
SAMPLE = Q(2)+Q(1)*Q(3)
RETURN
END
J 2 1—ч
HZb
> i
—π* ι—
s
тонёчноё
I событие
1
©Θ
Рис. 12.17. Структурная схема анализа надежности и дерево отказов для
примера 1
Основные результаты вычислений определяются через доверительные
пределы вероятностей; результаты вычислений приведены ниже:
OUTPUT EVALUATIONS.SAMPLE SIZE=1200
ACCURACY ON 95 PER CENT CONFIDENCE INTERVALS.OPERCENT
DISTRIBUTION PARAMETERS- MEAN = 9.4798—02 STANDARD
DEVIATION = 6.7285—02
Достоверность
0,5
1,0
2,0
5,0
10,0
20,0
25,0
30,0
40,0
50,0
Доверительные пределы распределения
Значение функции
1,7662 — 02
1,8778 — 02
2,2137 — 02
2,6577 — 02 !
3,3447 — 02
4,4740—02 J
5,1134 — 02
5,6889 — 02
6,6473 — 02
7,6723 — 02
Достоверность
60,0
70,0
75,0
80,0
90,0
95,0
97,5
99,0
99,5
Значение функции
9,2312 — 02
1,0876 — 01
1,4929 — 01
1,3114 — 01
1,7735 — 01
2,2169 — 01
2,5573 — 01
1 3,1517 — 01
3,9093 — 01
Значения функций являются верхними границами указанных доверительных
пределов. 50%-ное значение является медианой распределения, а 95%-ное и 5%-ное
значения являются соответственно верхней и нижней границами интервалов
У0%-ной вероятности.
455

Рис. 12.18. Доверительные
пределы для конечного события
Программа SAMPLE
генерирует также функции
распределения частоты в
виде гистограммы,
представленной на рис. 12.18, где
показаны значение медианы и
90%-ный доверительный
интервал.
12.6. ОЦЕНКА КОЭФФИЦИЕНТА
ПРОСТОЯ СИСТЕМЫ
ПО МЕТОДУ МОНТЕ-КАРЛО
С ОГРАНИЧЕННОЙ ВЫБОРКОЙ
12.6.1. Введение
В работах [15—21]
приводятся дополнительные примеры
применения методов Монте-Карло к проблемам надежности. В
некоторых из них используются методы с непосредственной
выборкой, описанные в предыдущих разделах, в других используются
более сложные методы. В случаях с непосредственной выборкой
требуется большое число попыток, чтобы получить оценки
коэффициента простоя с приемлемой точностью. Если, например, точное
значение коэффициента простоя системы равно 1Х10-5, то 1000 00О
попыток дали бы около 10 отказов системы, в то время как 10 000
попыток могли бы не дать ни одного отказа системы, и можно
было бы сделать вывод, что система вполне надежна. В среднем
требуется по крайней мере 100 000 попыток, чтобы возник один отказ,
и около 10 000 000 попыток, чтобы получить оценки по методу
Монте-Карло с одной.злачащей цифрой.
В этом разделе при помощи методов уменьшения дисперсии
разрабатывается усовершенствованный метод Монте-Карло [22].
Начнем с того, что обозначим прямоугольником D (рис. 12.19)
область, откуда осуществляется непосредственная выборка по
методу Монте-Карло. Принимается, что площадь D равна единице.
Круг S образует область, в которой в результате ряда попыток
реализуются отказы системы. Площадь круга 5 соответствует
коэффициенту простоя Qs-системы. Следует отметить, что лишь
несколько попыток реализуются в виде отказов системы, т. е. данная
схема не нуждается в пересчете.
Круг S включает различные виды отказов системы.
Предположим, что можно аналитически вычислить вклад коэффициента Ql.
в общий коэффициент простоя Qs-системы, при этом QL относится
к той части отказов системы, которая обозначена прямоугольником
L. Так как площадь прямоугольника L равна QLy вычисление
коэффициента простоя системы сводится к получению разности Qs—г
е
ζ»
10
Точна медианы
90%-ный
доВерительныа
I интервал
10~г 10~7 1У0
Коэффициент простоя системы
456

tipyeS*^·
-β
v 1
Прямоугольник L 1
Прямоугольник U
Прямоуголь huhD
I
ι
Рис. 12.19. Представление диаграммы Венна
QL, которая представлена
заштрихованной областью между окружностью
5 и прямоугольником L. Другими
словами, если Μ из N попыток попадает
на заштрихованную область,
коэффициент простоя системы
Qs = [Qs-Ql]+Ql~ (12.1)
Можно доказать, что эта оценка по
методу Монте-Карло имеет меньшую
дисперсию, чем обычная оценка по
методу Монте-Карло, поскольку составляющая коэффициента
простоя системы вычисляется аналитически. Данная методика,
основанная на вычитании QLy рассматривается как вариант применения
метода уменьшения дисперсии, называемого методом управляемых
случайных величин [23].
Рассмотрим теперь еще один прямоугольник ί/, который
включает круг S. Предположим, что площадь U можно вычислить
аналитически как параметр Qu. Ограничим попытки с использованием
метода Монте-Карло областью между прямоугольниками U и L.
Другими словами, эта область является универсальной
совокупностью. Предположим, что Μ из N попыток по методу Монте-Карло
попадает из этой области на заштрихованную область между
окружностью S и прямоугольником L. Тогда отношение [Qs—
—Ql]/[Qu—Ql] приближенно определяется по формуле
Ql
Qu-Ql
Таким образом, разность
Μ
N
(12.3)
Qs-Ql^IQu
ΟΛ-£-
(12.4)
а коэффициент простоя Qs системы из выражения (12.1)
Qs~[Qv-Qs]-%-+Ql-
(12.5)
Можно доказать, что оценка по методу Монте-Карло в правой
части уравнения (12.5) имеет меньшую дисперсию, чем в
выражении (12.2), поскольку дисперсия M/N сжимается за счет
коэффициента Qv—qLj который меньше единицы. В следующих разделах
приводится формализация метода Монте-Карло на основании этих
идей.
457

12.6.2. Постановка задачи
Допущения:
1) дерево отказов имеет К исходных событий, I,..., К\
2) исходные события статистически независимы;
3) известно несколько проходных и аварийных сочетаний.
Условные обозначения:
Χι — параметр состояния исходного события ι,
| I, если происходит событие г,
I 0 — в других случаях;
х= (хи ..., xk) —вектор состояния исходного события;
Ь=(6Ь ..., bk) —бинарный вектор;
ψ(χ)—бинарная функция, выражающая конечное событие
дерева отказов,
ί I, если происходит конечное событие;
I 0— в других случаях;
N— размер выборки по методу Монте-Карло.
Принимается, что существует вектор для каждого состояния,
т. е. для всех b справедливо неравенство
0<Рг(х=Ь) = ПРг(^ = */)<1· j||$
Теперь необходимо вычислить коэффициент простоя системы:
(?,^ΡΓ[ψ(χ)=1]= (12.8)
=2,иь)рг(х=ь)= (12·9)
ь
= £х(Ф(х)). (12.10)
Сначала рассмотрим, как это делается путем непосредственной
выборки, затем — путем ограниченной выборки.
12.6.3. Метод Монте-Карло с непосредственной выборкой
Начнем с генерации N статистически независимых выборок Ci,
,.., cN для вектора х. На рис. 12.20 иллюстрируется генерация 100
выборок для исходного события 1. В целом NXK независимых
равномерно распределенных случайных чисел используются для
генерации N выборок сь ..., cN. Каждый элемент вектора выборки
Су можно получить, используя функцию BINARY (Q, L) из рязд.
12.3.3. Далее оценивается значение Qs путем несмещенной
биномиальной оценки Qc, где индекс С означает «непосредственную
выборку»
Qc^N-^HQ- (12Л1)
458

Попытки Случайные числа (\) Бинарная
величина
ι
π
0,0 | ц1 1,0 С^О
г
0,0 *; | 7,0 C2 = t
1
з
0,0 Q1 I 1,0 C3=Q
I 9 J
1 '
I I I
Ι ι I
i
I—l·
ο,ο o1 1,0
wo I 1 1 cm=o
Рис. 12.20. Генерация 100 выборок для исходного события 1
Дисперсия коэффициента Qc равна сумме дисперсий для каждого
из значений ψ(ον), деленного на Ν2, и определяется выражением
var(§c) = N->Qs(\-Qs). (12.12)
12.6.4. Метод Монте-Карло с ограниченной выборкой
Пусть \pL и tyu — две бинарные функции, удовлетворяющие
выражениям (12.13) и (12.14)
Ф^(Ь)<Ф(Ь)<фс/(Ь); (12.13)
<МЬ)#0, <ЫЬ)#1. (12.14)
Для любого данного i, 0<ί<& определяем
Ql,/(*i.···, */) = 2 ♦^Ь)Рг(х = Ь); (12.15)
Qu,t(bu...y bi)= 2 «МЬ)Рг(х-Ь). (12.16)
Величины QL,i и QUyi используются для генерации случайных
уборок из области между прямоугольниками L и U на рис. 12.19.
Функции i|>L и ψί/ и величины QL, / и QUy i будут получены методом,
который приводится в разд. 12.6.5. Функции \|)L и ψσ являются
вспомогательными соответственно для прямоугольников L и ί/, а
кРУгу 5 соответствует вспомогательная функция ψ.
459

Величины Ql, о и Qu, о являются коэффициентами простоя для
деревьев отказов с конечными событиями ψχ, и ψ^ соответственно
и представлены параметрами Ql и Qc/. Справедливо следующее
неравенство:
0<QL<Qs<Qu <h (12.17)
Следует заметить, что QL и Qu есть площади прямоугольников
L и ί/, показанных на рис. 12.19.
Если равенство Qu=Ql справедливо, то Q=QL=Qu и задача
становится тривиальной: Q можно определить, не используя
метод Монте-Карло. Поэтому в последующем обсуждении
принимается, что
Qu-QL>0. (12.18)
Это означает, что прямоугольник L заключен в прямоугольнике СЛ
Применяя непосредственно метод управляемых случайных
величин к уравнению (12.9), имеем
Q,=2I*(b)-*t(b)ipr(x=b)+2*i(b)Pr(x=b)= (12л9)
b b
=2["Kb)-<Mb)lPr(x = b)+QI. (12.20)
b
Это выражение соответствует формуле (12.1).
Рассмотрим теперь генерацию случайных выборок с
вероятностями, отличными от Pr(x=b), в соответствии с методом
важности выборки. Определяем следующие множества:
* = {Ь|ф(Ь)-ф^(Ь)=1}; (12.21)
Г = {Ь|фс/(Ь)-ф,(Ь)=1). (12.22)
Множество X есть заштрихованная область на рис. 12.19, а
множество У — область между прямоугольниками U и L. Так как X<zzYy
то уравнение (12.20) преобразуем в вид
Qs-2 [+(b)-^(b)lPr(x=b)+Q^= (12·23>
ьех
= 2^(b)-^^lpr(x = b) + QL. (12.24)
beY
Затем введем новый случайный вектор у=(уи ..., yk) в множество
Υ и определим вероятность Pr(y = b), b^Y по формуле
Рг(у=Ь)= *<х = ь> . (12.25)
[Qu — Qu
Следует заметить, что эта вероятность соответствует области
между прямоугольниками U и L. Формулу (12.24) можно теперь
записать в виде
Qs=[Qu-QL]^mb)-^L(b)\PT(y=b)-\.QL. (12·26>
beY
460

Так как i|;i,(b)==0 для всех be У, то
Qi=[Q£/-QIl2*(b)Pr(y = b) + Q£= (12.27)
beY
= [Qu-QL\Ey(<Hy))+Qi.· (12.28)
Ожидаемое значение в уравнении (12.28) можно оценить с
помощью случайной выборки; таким образом, выражение (12.28)
является формализованным выражением метода Монте-Карло с
ограниченной выборкой. Чтобы показать зависимость между методом с
непосредственной выборкой и новым методом, рассмотрим N ста-
тистически независимых выборок Si, ..., Sn из у, которые
принадлежат к множеству У. Параметр Qs определяется в виде несмещенной
биномиальной оценки QR (индекс R означает «ограниченная
выборка»):
QR^[Qu-QL] Ν~ιΣ ψ(*,) + (?ι. (12.29)
Случайные выборки sb ..., sN можно легко генерировать при
помощи методов, которые приведены в разд. 12.6.6. Отметим, что
оценка (12.29) соответствует правой части выражения (12.5).
Следующая теорема показывает, что при помощи
модернизированного метода Монте-Карло с ограниченной выборкой
коэффициент простоя системы оценивается с меньшей дисперсией, чем
методом с непосредственной выборкой.
Теорема. Пусть \pL и ψι, удовлетворяют выражениям (12.13) и
(12.14). Предположим, что Qu—Ql>0, так же как в неравенстве
(12.18). Определяем QR в соответствии с формулой (12.29). Тогда
war (Q«)=N-i(Qa~Qs)(Qs-~QL); (12.30)
<var(Q^) = ^-1Q5(l-Q5). (12.31)
Сама теорема доказывается в работе [22].
12.6.5. Построение [\\)L, Ql,i) и [ψυ, Qu, i)
Возьмем, например, т аварийных сочетаний К\> ..., Km для
дерева отказов с конечным событием ψ. Рассмотрим новое дерево
отказов, состоящее из данных т аварийных сочетаний, и определим
ψι, как конечное событие этого дерева отказов. Тогда из формулы
(7.58) имеем
МЬ)=1-П
/-1
1-П*Л
/ К j J
(12.32)
Теперь покажем, что г|)ь(Ь) удовлетворяет выражениям (12.13)
и (12.14). Предположим, 4TOi|)L(b) = l. Тогда из выражения (12.32)
по крайней мере одно аварийное сочетание из Ки ···> Km реализу-
461

ется. Отсюда i|>(b) = l, что приводит к неравенству (12.13).
Выражения (12.14) удовлетворяются при помощи (12.32).
Параметр QLy i из выражения (12.15) можно вычислить,
используя частичное опорное разложение из разд. 7.5.3 переписав
формулу (12.32) в виде
т*
ФЛЬ) = 2^-(Ь) = МЬ), (12.33)
;-1
где каждое Lj(b) состоит из статистически независимых
множителей. Параметр QL,i можно получить при помощи выражения
QL.j(b» ... , *<) = Μ*ι. ... , ^)Pr(x/+1=l),...
.·· . Рт(хк=1)ЦРт(х1=Ь1). (12.34)
/-ι
Возьмем несколько, например л, проходных сочетаний РЬ...,РЛ
для первоначального дерева отказов ψ. Рассмотрим еще одно
дерево отказов, содержащее эти η проходных сочетаний. Тогда данное
дерево отказов имеет конечное событие i|)t/(b), определяемое
выражением
♦cA(b) = nfi-Π О-*/)]· (12·35>
Таким же путем можно показать, что \ри удовлетворяет
выражениям (12.12) и (12.14). Можно получить hu, как и hL, путем
частичных опорных разложений ψ^. Величину Quyi из уравнения (12.16),
таким образом, можно вычислить с помощью выражения
Qu,i(bi, -. · bi) = hu(bu ... , */), Рг(д:/+1=1),...
·■■ , Рг(**=1) Π Ρ'(*ι=*ι)· (12·36>
/-ι
Теперь на примере покажем, как применяется этот процесс
ограничения.
Пример 2. Система типа «два из трех». Рассмотрим систему типа «два из
трех», состоящую из элементов 1, 2 и 3. Система имеет аварийные сочетания
{1, 2}, {2, 3}, {1, 3} и проходные сочетания {1, 2}, {2, 3}, {1, 3}. Представим
аварийные сочетания {1, 2} и {2, 3} через параметры К\ и /C2(w = 2), а
проходные сочетания {1, 2} и {1, 3} через Р\ и Р2(п=2). Определить ψι,, ψι/, ^l, hu,
Qi.,«, Quti.
Решение.
<ЫЬ)=1-[1-М2]П-Мз];
Mb) = *2[i-(i-*i)0-Wl· 02·37>
Обозначим через Q< вероятность Рг(х, = 1). Тогда
Ql = Ql, 0 = Q2 [i — (i —Qi)(i —С?з)1;
Ql,iVi) = Q2 [1 — (I — ^0(1 — Q3)] Pr (xx = Ь{);
462

Ql,i (*i , *a) = h [I - (1 - b{, (I - Q3)] Pr (дгг = *χ) Pr (x2 = 62);
(?z^(*i. h. *з) =*2tl-(l-*i)(l-*s)] Pr(-«i=*i)Pr (^2= *2)Рг(-*з= ад-
Аналогичным образом,
Ψί/ib) = [1 - (1 - *ι)(1 - Щ [1 - (1 - *i) (1 - «a)];
A[/(b) = 61 + (i-*1)62*3;
Qy = Qi/,o = <?i + (ι - Qi) Q2Q3;
Ot/,i(*i) = t*i + (1 - 61) <?20з] Pr (Jfi = 61);
Qua (*i. *z) = [*i + (1 - 61) b2Qs] Pr (-*г = *i) Pr (x2 = b2);
Qt/,3(*i. h. h) = t*i + (1 - *i) *2*з] Pr (Xi = h) Pr (x2 = b2) Pr (Xi = *3).
Пример 3. Определить векторы состояния из множества Υ для ψι, и ψυ из
примера 1.
Решение:
Ьг
0
0
0
0
1
]
1
1
*а
0
0
1
1
0
0
1
1
Ъъ
0
1
0
1
0
1
0
1
«Υ/Ο
0
0
0
ψ£(*)
0
0
0
1
0
0
1
1
Нет
п
п
Да
Нет
»
Следовательно,
У={(1, 0, 0), (1,0, 1)}.
12.6.6. Генерация выборок su ..., sN
Вероятность Pr (y=b) можно представить (см. правило цепи
в разд. 4.12 гл. 4) как
Pr (у = Ь) = Рг[(У1 = Ьх) Ρΐ'№= Ь2\У1 = Ьг)х...
ХРг(Ук = Ьь1У1=Ь19..., ул_1 = ^_1). (12.38)
Это равенство показывает, что генерация вектора состояния
^= (5ι,ν, ..., Sk, v) сводится к последовательной генерации
составляющих sUV9 ..., 5i)V, ..., sh, v с вероятностями Pr(yi)\yl —
— s\,v, ..., ί//_ι = $;_!, ν), i= 1,..., k соответственно.
Предположим теперь, что первые (i— 1) элементов из sv уже
получены. Принимается также, что можно вычислить Pr(yi\yl = sUVt...
ΒίΝΔΡντ'7λντ чДЛЯ ^ί==1 И ^ = 0· Тогда> используя функцию
зом- элемент i, s ,v можно получить следующим обра-
463

s il, с вероятностью Pr(yi=\\yl = sl^ ... , ί/ί_1 = 5/_1,ν;
[О, с вероятностью Pr(yi = 0\ t/!=5lfV,... , ί/ί_1 = 5/_1,ν).
Для общего члена Pr(t/<=6/|t/i = &i, ..., yi-\ = bi-\) справедливо
следующее равенство:
Pr{yt=,bi\yi=bu ..., ^у,^'·;'' "' = у =
[Ψί/ (b) - ψ* (b)] Pr (У1 = bit..., yk - bk)
(12.39)*
»/ + !'"'»*
2 №|/(Ь)-Ф^(Ь)]Рг(^ = *!,..., у*=**)
ft,,.»·'*
Подставляя Pr(y = b) из выражения (12.25) в знаменатель и
числитель выражения (12.39) и используя формулы (12.15) и (12.16),
имеем
Q£/,/(^l fr)-Qbf(*l»---. *f)
Qt/,/-i(*i»· ··> */-i) — Qz:,/-i(^i,..., ^ί-ι)
Пример 4. Оценить уравнение (12.40) для ψ г, и ψυ из примера 2.
Решение. Из примера 2 вычислим Qu,i—Ql,i\ таким образом,
Ml-Qfe)Pr(*i = *i) ft1Pr(jc1 = ft1) ,
Pr(^i)==—ойт^—=—о;—'
(12.40)
(1—02)
Рг(г/з = *з Ι ί/1 = *ι. ί/2 = h) = Pr (*з = Аз)·
Отсюда имеем следующие значения вероятностей:
—Pr(г/г = 0) = 0; - рГ(у8 = 0|у1= I, у2 = 0) = 1-<?3;
'- Pr(i/1=l)=l U Pr (t/з = 1 ] г/г = 1, г/г = 0) = Q3;
-Pr(w=l|tfi=l)=0.
Видно, что любой вектор выборки принадлежит к множеству У={(1, 0, 0}
(1,0, 1)}.
Пример 5. Систему, подлежащую анализу, можно представить в виде
структурной схемы анализа надежности, показанной на рис. 12.21, поскольку
модернизированный метод Монте-Карло применим также к структурным схемам.
Коэффициенты простоя элементов Рг(хг = 1)=0,1 для всех i.
Решение. Рассмотрим аварийное сочетание (т=1) /С, = {1, 2, 3, 4, 5} и
проходные сочетания (/г = 6)
Pi = {2, 15}; Р2={3, 16}; Р3={4, 17};
Р4={1,6, 14}; Р5={5, И, 18}; Р6={1,7, 15}.
* Множество У, т. е. область между прямоугольниками L и £/,
соответствует вспомогательной функции ψ^φ) —'фь(Ь).
464

Рис. 12.21. Структурная схема анализа надежности для примера 5
Тогда
^L (Ь) = hL (b) = bfahbiH* О2·41)
Ψί/ (b) = [1 - (1 - b2)(\ - b15)] [I — (1 — *з>(1 — *ie)] X
X [1 —(I—*4)(1 — *i7)] [1 - (1 - *i) (1 - *б) О - Ml X
X [1 — (I — fe)(l — *n)(l — *18)1 CI — (I — *i)(l — *7)(1 — *is)l- (12.42)
Частичное опорное разложение уравнения (12.42) дает
*1/(Ь) = [1 - (1 - *з) О - Ml Π - (1 - ЬА){\ - bl7)] X
X [1 - (1 - *5) О - *п)0 - Ь1Ъ)] {Ьх [1 - (1 - Ь2) (1 - *15)] +
+ (1 - h) [1 - (1 - *б) (1-М1Р15 + (1-WW). О2·43)
Из уравнений (12.41) и (12.43) получаем
QL= 10 χ 10-6; (12.44)
Qt/ = 368 Χ 10-6. (12.45)
Неравенство (12.17) гарантирует, что коэффициент простоя системы находится
в интервале [10X10-°, 368X10"6].
Коэффициент простоя Qs по формуле (12.9) есть сумма 218 = 262 144 членов.
Почленное вычисление дает точное значение коэффициента простоя системы
Qs = 29,1 X 10-6. (12.46)
Из выражений (12.12) и (12.30) видно, что оценки коэффициентов Qc и Qr при
N = 3000 имеют стандартные отклонения, соответственно равные 98,5х10-6
и 1,47 XI О-6. Стандартное отклонение для коэффициента QR намного меньше,
чем стандартное отклонение для коэффициента Qc, а также значительно меньше,
чем величина 358хЮ~6, при этом длина интервала [ΙΟΧΙΟ-6, 368Х10-6] для
коэффициента простоя определяется при помощи неравенства (12.17).
465

10
Метод Монтс-Нарло с непосредственной
Выборкой^
.^
; 10
I щ
WW
366
95% -ная Верхняя граница
Метод Монте-Карло с
ограниченной .Выборной
"очное значение Вероятности отказа
95%-нал нижняя граница
-L
7000 2000
Размер Выборки N
зооо
Рис. 12.22. Результаты, полученные методами Монте-Карло с ограниченной и
непосредственной выборками
На рис. 12.22 показаны результаты применения методов Монте-Карло с
ограниченной и непосредственной выборками. Для УУ=3000 имеем
<?Я = 27,9Х 10-6; QC==0,0.
(12.47)
Оценка Qc для коэффициента простоя равна нулю, так как все выборки ψ (с ) ,
ν=1, ..., 3000 имеют нулевые значения. На рис^ 12.22 приведены также 95%-
ные верхний и нижний доверительные пределы QN для различных значений N.
12.7. ОЦЕНКА КОЭФФИЦИЕНТА ПРОСТОЯ СИСТЕМЫ МЕТОДОМ
МОНТЕ-КАРЛО С КИНЖАЛЬНОЙ ВЫБОРКОЙ
12.7.1. Введение
Для анализа деревьев отказов из разд. 12.6 по методу
Монте-Карло с непосредственной выборкой требуется NXk равномерно
распределенных случайных чисел для генерации N состояний выборки
Сь ..., Cjy. Как показано в разд. 12.7.4, большая часть времени
вычисления для метода с непосредственной выборкой тратится на
генерацию равномерно распределенных случайных чисел. Здесь
представлен метод Монте-Карло, при применении которого значительно
сокращается объем генерации случайных чисел и, следовательно,
экономится время выполнения вычислений. В предлагаемом
варианте уменьшается также дисперсия оценки по методу
Монте-Карло для данного размера выборки N.
466

Попытки
1
г
ъ
100
100 интервалов
0,Ь15Б
1,0
Бинарна л
Величина
О
О
RANdlL}
Рис. 12.23. Генерация 100 бинарных величин для события 1
12.7.2. Кинжальная выборка
В качестве примера рассмотрим случай, когда каждое исходное
событие возникает с вероятностью 0,01. По предлагаемому методу
генерируется 100 выборок для события 1 так, как показано на рис.
12.23.
Для исходного события 1 вводится группа, состоящая из 100
интервалов между 0 и 1. i-и интервал используется для генерации
события 1 в ί-й попытке и содержит подинтервал [(i—1)Х0,01; iX
Х0,01), длина которого равна вероятности 0,01 возникновения
исходного события. Таким образом, первый интервал имеет
подинтервал (0,0,01), а последний интервал — [0,99; 1).
Для этой группы генерируется только одно случайное число из
равномерного распределения. Предположим, что случайное число
попадает в подинтервал i-ro интервала. Тогда принимается, что
исходное событие 1 происходит в i-й попытке и не происходит в
других 99 попытках. Например, случайное число 0,4256
соответствует тому, что событие 1 происходит в 43-й попытке и не происходит
в других 99 попытках. Очевидно, что в каждой попытке исходное
событие происходит с вероятностью 0,01.
Другие исходные события генерируются аналогичным образом,
при этом используем одно из случайных чисел равномерного
распределения для каждой группы, состоящей из 100 интервалов.
Путем независимых повторений, каждое из которых состоит из 100
генераций, можно получить выборку из любого числа векторов
состояния для данного события. Одно случайное число из равномерного
распределения пронизывает 100 интервалов и определяет 100 по-
467

пыток для исходного события: отсюда термин кинжальная
.выборка.
По предлагаемому методу генерируется mXlOO попыток с
использованием &Хт равномерно распределенных случайных чисел,
в то время как при применении метода с непосредственной
выборкой генерируется т попыток при помощи тех же kXm чисел.
Таким образом, здесь- требуется -лишь одна сотая случайных чисел,
необходимых для метода Монте-Карло с непосредственной
выборкой. Это означает, что при одних и тех же условиях,
затрачиваемых на вычисления по предлагаемому методу, можно генерировать
500 000 попыток, а по методу Монте-Карло с непосредственной
выборкой — лишь 5000 попыток. Кинжальную выборку, естественно,
можно распространить на случаи, когда исходные события имеют
разные вероятности появления.
12.7.3. Оценка, основанная на кинжальной выборке
Пусть zb ..., zN есть состояния N выборок, полученных
кинжальной выборкой. Коэффициент простоя Qs системы можно оценить,
применяя несмещенную биномиальную оценку QDy где индекс D
означает кинжальную выборку:
ν
QD = N-i^^(zv). (12.48)
v = l
Дисперсия Qd равна сумме дисперсий ψ(ζν) и ковариаций для
различных значений ψ(ζν), деленных на Ν2:
var(QD)=N~
2ν3Γ(ψ(ζ/)) + 2(:ον(Ψ(ζ/), ψ(ζ;))1. (12.49)
Первая сумма в правой части выражения (12.49) соответствует
дисперсии для прямой оценки по формуле (12.11), поскольку
var (ψ (ζ,·)) =var (ψ (cj) ). Таким образом,
var(QD) = var(Qc)+2C0V(+(z/)' ♦ (*/))· <12-50)
ΙΦΙ
При кинжальной выборке два вектора выборки ζ* и Zj не
являются независимыми, но они коррелированы, так как небольшое
число из равномерно распределенных случайных чисел определяет
ряд векторов выборки. Как видно из рис. 12.23, если исходное
событие происходит во время какой-то попытки, то это исходное
событие не происходит во время других попыток из той же группы.
Следовательно, корреляция двух векторов выборки ζ* и Zj
отрицательна до тех пор, пока векторы содержат некоторые элементы из
той же группы. Предположим, что конечное событие г|)(Ь)
является когерентной функцией от Ь. Тогда, поскольку ψ является
монотонно возрастающей функцией, отрицательная корреляция между
468

Рис. 12.24. Дерево отказов для примера 6
Zi и Zj применима также к ψ(ζ/) и i|)(zj), и из выражения (12.50)
имеем
var(QD)<var(Qc). (12.51)*
Как уже известно, метод Монте-Карло, основанный на кинжальной
выборке, требует-меньше случайных чисел, чем метод Монте-Карло
с непосредственной выборкой. Неравенство (12.51) указывает на
другую особенность этого метода. При размере выборки N он дает
более точную оценку для коэффициента простоя системы, чем
метод с непосредственной выборкой.
12.7.4. Вычисление ψ (вектора выборки)
Большая часть векторов состояния выборки включает
одновременное возникновение самое большее двух исходных событий. Для
таких векторов состояния можно вычислить значение ψ, обращаясь
к таблице
II, если вектор соответствует аварийному
сочетанию;
0 —в других случаях.
Формальное доказательство уравнения (12.51) возможно, хотя здесь оно
не представлено.
469

Рис. 12.25. Результат,
полученный методами Монте-Карло с
непосредственной и
кинжальной выборками
Для вектора выборки,
связанного с возникнове-
%Метлод Монте-Нарлё НИеМ Трех ИЛИ большего
С НеЛ°б1^ор^обйННОй ЧИСЛа ИСХОДНЫХ С06ЫТИЙ,
ψ вычисляют, моделируя
дерево отказов для этого
вектора состояния.
Вероятность возникновения
этих событий обычно
относительно небольшая, и
можно значительно
уменьшить объем расчетов,
необходимых для
вычисления ψ, так как в
большинстве случаев основной
объем вычислительной
работы связан с генерацией
равномерно
распределенных случайных чисел.
Пример 6. Рассмотрим дерево отказов, представленное на рис. 12.24, где
каждое исходное событие возникает с вероятностью 0,01. Почленное вычисление
по формуле (12.9) дает точное значение коэффициента простоя системы:
Q5=3,72x 10-3. (12.52)
На рис. 12.25 приведены результаты, полученные методами Монте-Карло с
кинжальной и непосредственной выборками. Видно, что при использовании
метода Монте-Карло с кинжальной выборкой получены хорошие оценки для
коэффициента простоя системы.
12.8. ОЦЕНКА ПОКАЗАТЕЛЯ НАДЕЖНОСТИ СИСТЕМЫ ПО МЕТОДУ
МОНТЕ-КАРЛО ДЛЯ ПЕРЕХОДОВ СОСТОЯНИЙ
1000 5000
Время Вычисления
12.8.1. Введение
В предыдущих разделах данной главы было продемонстрировано
применение методов Монте-Карло к ситуациям, когда
коэффициенты простоя элементов известны, а вероятности конечных событий
больших сложных систем требуется определять для конкретного
момента. Разработанные ранее методы с ограниченной и
кинжальной выборками применимы только для определения коэффициента
простоя; в данной главе рассматривается сравнительный метод,
применяемый к показателям ненадежности.
Как обсуждалось в гл. 9, показатель ненадежности
или,надежности системы можно вычислить, пользуясь дифференциальными
уравнениями, связанными с марковскими диаграммами переходов.
470

Однако порядок дифференциальных· уравнений экспоненциально
растет с увеличением числа исходных событий. В гл. 9 было
выведено удовлетворительное приближение, основанное на принципе
включения — исключения. В этом разделе разрабатывается метод
Монте-Карло для-получения более точных оценок коэффициента
ненадежности системы. Сначала описывается метод Монте-Карло с
непосредственной выборкой, а затем усовершенствованный метод.
12.8.2. Метод Монте-Карло с непосредственной выборкой
Если требуется построить график изменения показателей
ненадежности во времени, а λ и μ —постоянные, то можно осуществить
выборки для каждой временной точки, пользуясь программой,
составленной на языке ФОРТРАН; например, можно
воспользоваться программой, которая представлена на рис. 12.6 и при помощи
которой проводится равномерная выборка из экспоненциального
распределения, и, таким образом, применить метод Монте-Карло с
непосредственной выборкой.
12.8.2.1. Оценка по методу Монте-Карло с непосредственной
выборкой. Рассмотрим дерево отказов, включающее k исходных
событий, которые являются статистически зависимыми. Задача
состоит в том, чтобы вычислить коэффициент ненадежности системы,
определяемой по формуле
Fs(t) = Pr (конечное событие до момента t). (12.53)
Дереву отказов соответствует связанная с ним марковская
диаграмма переходов. Каждое состояние в диаграмме соответствует
^-размерному вектору состояния для k исходных событий.
Используя случайные числа, методом Монте-Карло с непосредственной
выборкой моделируем последовательности переходов для различных
состояний до момента времени t.
Принимаем, что Μ из N последовательностей приводит к
возникновению аварийного события. Тогда ненадежность Fs(t)
системы определяем по оценке Fc(t), полученной методом
Монте-Карло, следующим образом:
Fc(t) = M/N. (12.54)
12.8.2.2. Генерация переходов из одних состояний в другие.
Рассмотрим теперь генерацию переходов из данного состояния'А0 в
другие состояния. Предположим, что система мгновенно перешла
в состояние А0 в момент времени, равный нулю, и что переход
происходит в одно из т состояний: Аи ..., Ат. Обозначим через γ/
постоянную частоту перехода из состояния А0 в следующее состояние
Αι. Возможные ситуации изображены на рис. 12.26.
Дифференциальные уравнения для вероятностей различных
состояний на данной схеме имеют вид
^-(Ti + .-. + Yj/V Л>(0)=1; (12.55)
^/=Υ/Λ>, Λ(0) = 0, /Ц..../Я, (12.56)
471

RAND(L)
ι ι ι i ι ι
В пачег^Че следующего состояния Выбирае/г ■· ·ι,
Рис. 12.26. Переход из состоя- Рис. 12.27. Выбор следующего состояния из
ния А0 Аи А2, А3 или At
Эти уравнения имеют следующие решения:
Р0(Т)=ехр[-ТТ\; (12.57)
Я,.(7-) = ^Н1-ехр[-ГГ]), /=1,...,т, (12.58)
где параметр Г определяется как
Γ=Υι + ...|ΥΒ. (12.59)
Уравнение (12.58) показывает, что наработка до первого
перехода распределена по экспоненциальному закону с ожидаемым
значением 1/Г. Следует заметить, что это распределение определяется
исключительно частотами γ,. Как показано на рис. 12.26,
генерация времени Τ осуществляется в соответствии с формулой
r=~Tlog·· (12·60)
где ξ — равномерно распределенная случайная величина RAN
(NSEED) или RAND (L).
Уравнение (12.58) показывает, что переход в состояние Αι
происходит с вероятностью γ//Γ. Таким образом, если равномерно
распределенная случайная величина η попадает в интервал между
значениями [γι + ... + Υί-ι]/Γ и ίγι + ...+ViJ/r, то реализуется выборка
перехода в состояние Αι (рис. 12.27).
Так как вероятности γ//Γ, i=l, ..., т функционально не зависят
от времени до перехода Г, независимым является и то, в какое
состояние осуществляется переход. Следовательно, можно изменить
порядок генерации Τ и выбора состояния перехода A-t\ в
результате имеем следующий метод моделирования переходов из
состояния Ло:
Шаг 1. Выбирается состояние перехода из набора Аи ., Ат с
вероятностями, соответственно равными γι/Γ, ..., и ут/Г.
Выбранное состояние перехода обозначается через Во.
472

Рис. 12.28. Диаграмма перехо
дов для двухэлементной систе
.мы параллельного типа с об
щей причиной С
Шаг 2. Генерируется время Τ до перехода в состояние В0
согласно экспоненциальному распределению 1—ехр (—ГГ).
Предположим, что состояние В0 является непоглощающим
состоянием, и следовательно, имеется несколько возможных
вариантов для следующего перехода. Переход из состояния В0 можно
"Моделировать при помощи двух независимых случайных величин, как
это имеет место для состояния А0. Далее определяем следующее
состояние перехода из состояния В0 и время до этого перехода.
С другой стороны, если считать В0 поглощающим состоянием, то
в этом случае перехода из состояния В0 не происходит, и время
до перехода бесконечно.
Пример 7. Система параллельного типа. Рассмотрим диаграмму перехода,
представленную на рис. 12.28. Поглощающим состоянием служит (1, 1).
Параметры λι и λ2 являются частотами отказов для элементов 1 и 2, а частота с
соответствует отказам в системе с общей причиной С. Частоты ремонтов для
элементов 1 и 2 обозначаются соответственно через μι и μ2. Разработать метод
выборки для переходов из состояний (0, 0) и (1, 1).
Решение. 1. Переход из состояния (0, 0):
Λι = 0. 0), А2 = (0, 1), Л3 = (1, I);
r = X1-t-X2 + c, Υι = λχ, γ2 = λ2, γ3 = £.
Выбираем состояние (1, 0), или (0, 1), или (1, 1) с вероятностями,
соответственно равными γι/Γ, уг/Г, уз/Г. Генерируется время перехода в соответствии с
распределением 1 — ехр [—ТТ].
2. Переход из состояния (1, 1). Так как это состояние является
поглощающим, то перехода не происходит, и время до перехода бесконечно.
12.8.2.3. Новая формулировка метода Монте-Карло с
непосредственной выборкой. В шаге 1 разд. 12.8.2.2 имеется зависимость
только от существующих частот переходов γ; и она
функционально не зависит от предшествующего времени до перехода. Таким
образом, можно осуществить генерацию последовательности
состояний, независимых от соответствующих времен до переходов.
Поскольку с увеличением t показатель ненадежности Fs(t) системы
приближается к единице, любая выбранная последовательность
состояний достигает поглощающего состояния за конечное число
переходов. Обозначим через S=(S0, ···, Sn) любую из
последовательностей состояний, где 50= (0, ..., 0) —начальное состояние системы;
S\9 ..., Sn-i — непоглощающие состояния; 5П — поглощающее
состояние.
473

Отметим, что число переходов η до состояния Sn само по себе
есть случайная переменная.
Пусть Τι — время до перехода из состояния St-_i в состояние Si.
Обозначим через Т= (Ти ..., Тп) время перехода, соответствующее
состоянию S; при этом и S, и Τ — случайные переменные.
Если сумма времен, из которых складывается Т, меньше ί, то
пара (Т, S) вносит свой вклад в появление первого конечного
события до момента времени t. Таким образом, показатель
ненадежности Fs(t) системы
Λ(') = 2ι^(Τ, *)Pr(T, S)rfT, (12.61)
где
D(T; /) =
1, если 2^<';
I 0 —в других случаях.
(12.62)
Используя приведенные выше обозначения, можно представить
оценку по методу Монте-Карло по формуле (12.54) в следующем
виде:
Fc(t)=N-l2D(Tj t)9 (12.63)
v-l
где Τι, ..., ΎΝ есть N последовательностей времен переводов
выборки, соответственно связанных с N
последовательностями·-состояний Si, ..., Siv выборки. Последовательность Sv мож!но полечить
так же, как на шаге 1 в разд. 12.8.2.2, a Tv для этого Sv — так, как
на шаге 2.
12.8.3. Метод Монте-Карло для переходов состояний
Предположим, что для какого-то времени t Fs(t) = 10~5. В
среднем при прямой оценке требуется по крайней мере 105 попыток для
того, чтобы получить выборку для последовательности Tv и чтобы
при этом D (Tv; t) = \. Это означает, что по методу Монте-К^рло
с непосредственной выборкой требуется очень большое число
попыток для обычных систем, которые являются высоконадежными.
Таким образом, требуется такой метод Монте-Карло, который дает
лучшую оценку при меньшем числе попыток.
Уравнение (12.61) можно записать в виде
^w=2 LfD(T; /} P(T/S) dT\Pr (S)· (12·64)
s
Сумма в скобках является функцией от S. Обозначим через В (S;
t) следующую функцию:
B(S; /) = JD(T; t)p(T/S)dT. (12.65)
474

Выражение (12.64) можно записать в·виде
Fs(t)=^B(S;t)Pr(S)= (12.66)
S
= Es(B{S;i)). (12.67)
Из выражения (12.67) получаем следующую оценку по методу
Монте-Карло, где индекс jV указывает на «переход состояний»:
FN(t)=N-^B(S,;t). (12.68)*
v = l
Следует заметить, что здесь генерируются только
последовательности состояний Sv. Последовательности времен перехода
получаются аналитическим путем с помощью функции 5(SV; t).
С помощью следующей теоремы доказывается, что по методу
Монте-Карло для переходов состояний показатель ненадежности
системы оценивается с меньшей дисперсией, чем по методу
Монте-Карло с непосредственной выборкой.
Теорема. Рассмотрим систему, которая находится в
работоспособном состоянии (0, ..., 0) в начальный момент времени. Примем,
что *>0, а Ра(ОФ0. Тогда
var(FN(t))<var(Fc{t)). (12.69)
Эта теорема справедлива, так как при использовании метода
Монте-Карло для переходов состояний случайные отклонения за
счет последовательностей времен перехода равны нулю.
Формальное доказательство теоремы возможно, однако здесь оно не
приводится.
Метод Монте-Карло для переходов состояний требует
вычисления функции В (S; t) для последовательности выборок S. Пусть
Τι в Τ подчиняется экспоненциальному распределению 1—
—ехр[—Г/Г]. Выражение (12.62) показывает, что
B{^J)=Px(^Ti<Ci\s\ (12.70)
Вероятность в правой части формулы (12.70) представляет собой
распределение для суммы η независимых случайных переменных
Ти ..., Тп. Таким образом, функция В (S; t) определяется
интегралом свертки от функции плотности вероятности fAu) = Г,ехрХ
X(—TiU):
* Для практических расчетов максимальная длина последовательностей Sv
переходов состояний задается пользователем. Хотя некоторые последовательности
могут не заканчиваться поглощающим состоянием, а соответствующей функции
B(S; t) присваивается значение, равное нулю, результат процедуры
Монте-Карло изменится ненамного, поскольку значения B(S; t) очень малы для длинных
последовательностей.
475

B(S;t)=^ri/;. . .fndu, (12.71)
*
где символ * указывает на интеграл свертки.
Преобразование Лапласа для выражения (12.71) есть
L[B{S;t)]= Γι' ' · Тп , Г0е=0. (12.72)
Предположим, что параметры Г* определены. Тогда обратное
преобразование от выражения (12.72) есть
'Γι. . .Г„ /П[Гу- Г,]. (12.74)
B(S;t) = ^\Viexp[-Tit\; (12.73)
ίφί
Если некоторые величины Гг имеют одно и то же значение, можно
вычислить функцию В (S; /), подставляя незначительно
различающиеся значения в формулу (12.73) или применяя обратное
преобразование к выражению (12.72). Это преобразование выполняется
легко, но результат здесь не представлен.
Пример 8. Система из трех элементов параллельного типа. Рассмотрим
систему из примера 3 гл. 9. Предположим, что была сделана выборка для
последовательности 000-М00-М10-М11. Вычислить функцию B(S; t) для этой
последовательности.
Решение:
L'i =
1'2
Г4 =
1
= 1000
1
= 10
1
10
ΓιΓ2Γ
Г0 = 0;
9
1000
2
+ 4-
/000
1
+ +
40
3
1000 ~
3
ϊοοό
3
ϊοοο~
'3 = 8,064 X 10-5;
8,065x10
-5
6
1000'
105
1000'
128
1000'
0 (0,006 —0) (0,105 — 0) (0,128—0)
Г1= 8'°65Х1°-5 = -1,11295;
1 (0—0,006) (3,105 — 0,006) (3,128 —0,036)
8,065x10-5
^2 = : т-^ ; ™ ТГ = 0,3373277;
(0—0,105) (0,0Эб— 0,105) (0,128 — 0,105)
Г3 = 8'°65Х1°-5 = - 0,2245467;
(0 — 0,128) (0,006 — 0,128) (0,105 — 0,128)
£(S; t)= 1 — 1,11295 е~с'006/+ 0,3373277 е-0д05/ — 0,2245467 е-0'128'.
Пример 9. Система типа «два из трех». Рассмотрим систему из предыдущего
примера. Оценить показатель ненадежности Fs(t) системы методами
Монте-Карло для переходов состояний с непосредственной выборкой.
476

Ϊ$Γ
10
χ
Точное значение^
Метод Монте-Нарло
для перехода
состояний
Метод Монте-Карло
с непосредственной
выборной
100
ZOO
300
t (N = 1000)
Рис. 12.29. Результаты, полученные методами Монте-Карло для переходов
состояний и с непосредственной выборкой
Решение. Результаты при размере выборки N=1000 приведены на рис. 12.29.
Более точные результаты получены при использовании нового метода Монте-
Карло.
12.8.4. Вычисление коэффициента простоя методом
Монте-Карло для переходов состояний
Метод Монте-Карло для переходов состояний, разработанный
для вычисления показателя надежности, можно использовать при
вычислении коэффициента простоя системы. Исходные события
независимые. Установившееся значение коэффициента простоя для
ί-го исходного события определяем так:
Q/(oo) =
λ.
ι
\+Ъ
(12.75)
Пусть t — момент времени. Введем новую частоту отказов, γ/,
так что справедливо выражение
477

l-exp[-v/]=Q,(oo) (12.76)
или
Y/^pigH-Q/Ml. (12·77)
Рассмотрим новую невосстанавливаемую систему, имеющую
частоты отказов γ/. Тогда показатель ненадежности этой системы
совпадает с установившимся значением коэффициента простоя
первоначальной восстанавливаемой системы при условии, что они
когерентны. Вычисление коэффициента простоя сводится к
вычислению показателя ненадежности, и можно применить метод Мснте-
Карло для переходов состояний.
Пример 10. Система типа «два из трех». Рассмотрим систему голосования
типа «два из трех» из разд. 12.8.3. Построить новую невосстанавливаемую
систему, принимая t=\, и определить возможные переходы состояний по методу
Монте-Карло для переходов состояний.
Решение:
Λ2 = , Аз =
10ЭЭ 10J3 1ЭЭЭ
1 ,. _j 1
μι=~75~1· ^""io"· μ3=~6ο~:
<?(·(οο) = 0,009901; Q2(°°) = 0,074074; Q0(oo) =0,152542;
Vi = 0,00995; γ2 = 0,07696; γ3 = 0,16551.
,, (1,0,0) r-* (ί>ί>0)
(0,0,0)^.(0,1,0) L·- (0jIfl)
\θ,0,ΐ) 4- (1,0.1)
Частоты переходов таковы:
1) от (0, 0, 0) до (1, 0, 0): ^ =0,039418;
Y1+Y2+Y3
до (0, 1, 0 ): — = 0,334889;
Y1+Y2+Y3
до (0, 0, 1): - = 0,655693;
1Y1+Y2+Y3
γ?
2) от (1, 0, 0) до (1, 1, 0):—1£— = 0,317400;
Υ2+Υ3
до (0, 1, 1):-^—= 0,682600 и т. д.
Υ2 + Υ3
Поскольку новая система невосстанавливаемая, переходы
состояний Sv по методу Монте-Карло получают, вызывая отказы
новых элементов одного за другим. Таким образом, можно легко до-
478

стичь поглощающих состояний. Для системы голосования типа «два
из трех» поглощающего состояния, например, можно достичь за
два перехода. Далее, В (S; t) в выражении (12.71) можно
вычислить по формуле (12.73), так как параметры Г* определены.
Можно показать, что метод Монте-Карло для перехода состояний
совпадает с методом последовательного разрушения [24], когда каждое
исходное событие имеет одно и то же установившееся значение
коэффициента простоя.
Пример 11. Рассмотреть дерево отказов, представленное на рис. 12.24.
Результат, полученный методом Монте-Карло для переходов состояний, приведен
на рис. 12.30. Он не уступает результату при кинжальной выборке (3,72 —
точное значение).
Qs*10~'
I ι ι ι ι ι
1000 2000 3000 ¥000 5000
Размер Выборки N
Рис. 12.30. Коэффициент простоя системы, определяемый по методу
Монте-Карло для переходов состояний
Задачи
12.1. Определить пять точек из интервала {0ι^λ:<1; 0^г/^1}, используя
равномерно распределенные случайные числа на рис. 12.4.
12.2. Определить пять значений наработки до отказа для элемента со
средней наработкой до отказа, равной 100 ч, приняв экспоненциальное распределение.
Использовать равномерно распределенные случайные числа на рис. 12.2.
12.3. Предполагается, что элемент имеет коэффициент простоя, равный 0,3,
при /=Ю00 ч. Определить 10 бинарных значений вспомогательного параметра у
для этого элемента при /=1000 ч. Использовать случайные числа на рис. 12.4.
12.4. Рассмотреть систему, показанную на рис. 12.11. Распределения
продолжительности срока службы элементов Л и С при средней наработке до отказа
равны соответственно 50 и 75 дней. Элемент В является ненагруженным
резервом для А и имеет нормальное распределение продолжительности срока службы
при средней наработке до отказа, равной 20 дням, и стандартном отклонении,
равном 5 дням. Элемент С имеет нагруженный резерв D, распределение
продолжительности срока службы которого является нормальным при средней
наработке до отказа, равной 65 дням, и стандартном отклонении, равном 4 дням.
Определить пять значений наработки до отказа для системы и оценить для нее
среднюю наработку до отказа.
479

н/п
1
2
3
4
5
A
35,57
58,80
54,26
61,41
28,32
Наработка до
В
24,82
17,67
18,03
11,17
21,45
отказа элемента
С
81,76
5,80
125,63
44,84
21,97
! D
63,06
66,21
67,54
71,37
62,74
12.5. а. Определить пять случайных чисел из логарифмически-нормального
распределения при μ= —4,615 и σ=0,6845. Это распределение является
распределением для элемента 1 из примера 1 данной главы. Повторить аналогичную
процедуру для элементов 2 и 3. Использовать следующие нормальные числа при
среднем нулевом значении и стандартном отклонении, равном единице:
2,026
—0,350
—0,122
—0,464
—0,830
6
7
8
9
10
—0,811
0,763
—0,205
—0,422
—0,784
11
12
13
14
15
0,963
—0,465
—0,393
—1,766
0,290
б. Определить пять значений коэффициента простоя для системы,
представленной на рис. 12.17, используя коэффициенты простоя элементов, полученные
в задаче 12.5.а.
12.6. Рассмотреть систему голосования типа «два из трех» из примера 2 в
разд. 12.6.6. Принять, что
Ql = Q2 = Qs =—-
Выполнить пять попыток по методу Монте-Карло с непосредственной выборкой,
используя случайные числа, приведенные на рис. 12.2 и 12.4. Сравнить
полученный результат с точным значением коэффициента простоя системы.
12.7. Выполнить пять попыток по методу с ограниченной выборкой для
системы голосования из задачи 12.6, используя ψι, и ψυ из примера 2 в разд. 12.6.5.
Использовать случайные числа, приведенные на рис. 12.4.
12.8. Выполнить 15 попыток по методу Монте-Карло с кинжальной выборкой
для системы голосования из задачи 12.6, используя первые 15 случайных чисел,
приведенных на рис. 12.2 и 12.4.
12.9. Рассмотреть систему голосования типа «два из трех», состоящую из
элементов со следующими данными об отказах:
Xj = λ2= Хз =0,3 ξξ λ;
μΐ = μ-2 = μ3 =0,2 Ξ μ.
Определить последовательности переходов состояний, заканчивающиеся
поглощающим состоянием. Определить также соответствующие значения времени
переходов. Использовать случайные числа, представленные соответственно на
рис. 12.4 и 12.2, при выборках для переходов состояний и времени переходов.
Получить наработки до отказа системы и оценить показатель надежности системы.
12.10. В задаче 12.9 выборками для переходов состояний являются:
0,3 0,4
А:(0, 0, 0)^(3, 0, 1)-(1, 0, 1);
В:(0, 0, 0) + (1, 0, 0)-ί(1, 0, 1);
480

0,3 0,4 0,3
C:(0, 0, 0)-> О, 0, 1)->(0, 0, 0)-
0,3 0,4
-(ι, α, э)-(1, ι, о).
Вычислить В (S; t) для последовательностей А и В.
12.11. Вычислить B(S; t) для последовательности С из задачи 12.10.
Использовать отличные значения Г,·, равные
Υο = 0; Γ! = 0,3; Г2 = 0,4; Г3 = 0,300001; Г4 = 0,400001.
Определить В (S; t) при / = 5.
12.12. Вычислить точное значение B(S\ t) для последовательности С.
Следует заметить, что B(S; t) определяют по дифференциальным уравнениям:
Л=-ГЛ. Я1(Э)=1:
P2=TlP1~T2P2t Р2(0) = 0;
/>3 = Г.2Я2-Г3Яз, ^3(3) = ft
Л = ГзЯз-Г4Р4. ^4(0) = 0;
Ρ5=Γ4Ρ4, Я5(Э) = 0.
Вероятности состояний в этих уравнениях соответствуют марковской диаграмме
переходов (рис. 12.31), a B(S; t) из выражения (12.70) определяется по Р5 (О·
Рис. 12.31. Марковская диаграмма переходов
12.13. Оценить FN(t) методом Монте-Карло для переходов состояний на
основе последовательностей А, В, и С. Вычислить FN (t) при значениях t,
равных 0; 5 и 10.
12.14. а. Получить величину γ,- по методу Монте-Карло для переходов
состояний, с помощью которого вычисляется установившееся значение
коэффициента простоя для системы голосования из задачи 12.9. Принять t=\ в
выражении (12.77).
б. Определить три последовательности переходов состояний для системы
голосования, используя случайные числа, приведенные на рис. 12.4.
в. Вычислить коэффициент простоя на основании данных трех
последовательностей. Сравнить результат с точным значением коэффициента простоя.
СПИСОК ЛИТЕРАТУРЫ
1. Tsuda Т. The Numerical Analysis of Multivariable Problems by the Use of
Computers, Science Co., Ltd., Tokyo, 1973 (in Japanese).
2. Naylor Т. Н. et al. Computer Simulation Techniques, John Wiley & Sons,
Inc, New York, 1966.
3. Gordon G. System Simulation, 2-nd ed., Prentice-Hall, Inc. Englewood
Cliffs, N. J., 1978.
4. Schriber T. J. Simulation Using GPSS, John Wiley & Sons, Inc., New York,
1974 (опубликован перевод: Т. Дж. Шрайбер. Моделирование на GPSS.— М.:
Машиностроение, 1980, 592 с).
481

5. Pritsker A. A. The GASP IV Simulation Language, John Wiley & Sons,
Inc., New York, 1974.
6. Kiviat P. J., Villanueva R., Markowitz H. M. The SIMSCRIPT II
Programming Language, Prentice-Hall, Inc., Englewood Cliffs, N. J., 1969.
7. Dahl O. J., Nygkard K. SIMULA: A Language for Programming and
Description of DiscreteyEvent Systems: Introduction and User's Manual, Norwegian
Computation Centre,G)slo, Norway, 1967.
8. Pugh A. L. DYNAMO User's Manual, The Μ. Ι. Τ. Press, Cambridge,
Mass., 1963.
9. Gordon G. System Simulation, 2-nd ed., Prentice-Hall, Inc., Englewood
Cliffs, N. J., 1978.
10. Cadwallader G. J. et al. Nuclear Reliability/Availability Monte Carlo
Analysis, Proceedings 1975 Annual Reliability and Maintainability Symposium.
11. Noferi P. L., Paris L., Salvaderi L. Monte Carlo Methods for Power System
Reliability Evaluations in Transmission and Generation Planning, Proceedings
1975 Annual Reliability and Maintainability Symposium.
12. Henley E., Polk R. A Risk/Cost Assessment of Administrative Time
Restrictions on Nuclear Power Plants, Nuclear Systems Reliability Engineering and Risk
Assessment, Fussell J., Burdick J. (eds), SIAM, Philadelphia, pp. 495—518, 1977.
13. Widawsky W. H. Reliability and Maintainability Parameters Evaluated
with Simulation, IEEE Trans, on Reliability, R-20, N. 3, p. 158, 1971.
14. WASH-1400. Appendix II, 1, p. 104.
15. Kamat S. J., Riley M. W. Determination of Reliability Using Event-Based
Monte Carlo Simulation, IEEE Trans, on Reliability R-24, pp. 73—75, 1975.
16. Kamat S. J., Franzmeier W. E. Determination of Reliability Using Event-
Based Monte Carlo Simulation, Part II, IEEE Trans, on Reliability, R-25, pp. 254—
255 (1976).
17. Vesely W. E., Narum R. E. PREP and KITT: Computer Codes for the
Automatic Evaluation of a Fault Tree, IN-1349, 1970. (Available from National
Technical Information Service, Springfield, Va., 22161).
18. Becker P. W. Finding the Better of Two Similar Designs by Monte Carlo
Techniques, IEEE Trans, on Reliability, R-23, pp. 242—246, 1974.
19. Mazumdar M. Importance Sampling in Reliability Estimation, Reliability
and Fault Tree Analysis, SIAM, Philadelphia, pp. 153—163, 1975.
20. Van. Slyke R., Frank H. Network Reliability Analysis: Part I., Networks, 1,
pp. 279—290, 1972.
21. Van. Slyke R., Frank H., Kershenbaum A. Network Reliability Analysis:
Part II, Reliability and Fault Tree Analysis, Barlow R. E. et al. (eds.), SIAM,
Philadelphia, pp. 619—650, 1975.
22. Kumamoto H., Tanaka, K., Inoue K. Efficient Ewaluation of System
Reliability by Monte Carlo Method, IEEE Trans, on Reliability, R-26, N. 5, pp. 311—315, 1977.
23. Hammersley J. M., Handscomb D. C. Monte Carlo Method, Methuen and
Co,. Ltd., London, 1967.
24. Easton, Malcolm C, Wong С. К. The Sequential Destruction Method for
Monte Carlo Evaluation of System Reliability, Research Report of IBM, Thomas J.
Watson Research Center, Computer Science, RC 7337 (N. 31441), pp. 1—16, 1978.

Глава 13
АНАЛИЗ ХАРАКТЕРНЫХ СЛУЧАЕВ
И ПРИМЕНЕНИЕ РАЗЛИЧНЫХ МЕТОДОВ
(ПРИМЕРЫ ИЗ ПРАКТИКИ)
В этой главе приведен ряд не связанных друг с другом примеров из
практики, на которых демонстрируются методы оценки риска и надежности и их
применение. Многие из примеров разработаны проф. Дж. Б. Фусселем для
использования в качестве типовых задач на инженерных курсах. Примеры
располагаются не в «логическом» порядке и даже не в порядке сложности; таким
образом, эту главу можно читать, пользуясь «случайной выборкой». Ниже
приведена аннотация всех примеров с указанием на то, что предполагалось
проиллюстрировать.
Пример 1. Оценка риска с использованием метода причина — последствие (по
Фусселю)
Диаграммы причина — последствие (ПП), о которых говорилось в гл. 1,
представляют собой объединенные деревья событий и деревья отказов.
Последствия, полученные из деревьев событий, также включены в диаграмму ПП, и в
результате можно выделить метод оценки риска, ведущий к «кривой Фармера»
(вероятность возникновения повреждений в зависимости от последствий). В этом
примере инициирующим событием является пожар, вероятность которого
определяется из анализа дерева отказов, при этом различные последствия
(экономические потери) зависят от работоспособности различных противопожарных
устройств.
Диаграммы ПП были разработаны Национальной лабораторией RISO в
Дании, где большая группа, возглавляемая Р. Тейлором, в настоящее время
исследует свою систему автоматизированного анализа.
Пример 2. Анализ резервирования (по Фусселю)
Резервирование можно вводить на основе последовательного добавления
отдельных элементов или путем замены целых систем или подсистем. В этом
примере используются обе стратегии, и одновременно пример учит, что любое
введение дополнительного защитного выключающего устройства увеличивает
вероятность ложных (без надобности) остановок. Используются упрощенные методы
вычислений.
Пример. 3. Анализ системы безопасности химического реактора (по Браунингу)
\R. L. Browning, Hydrocarbon Processing, 253, Sept, 1975, и Chem. Engr. Prog.,
June, 1976].
Вопросы построения дерева отказов для этой системы обсуждались в гл. 2,
а само дерево показано на рис. 2.26. Здесь анализ продолжается для того, чтобы
продемонстрировать, как программы MOCUS (МОКУС), KITT (КИТТ) и
IMPORTANCE (ИМПОРТАНС) используются для вычисления параметров
надежности для аварийных сочетаний и конечных событий. В задачу включен
также отказ по вине оператора в качестве исходного события, и показано, как для
этого вычисления используется логический символ запрета. Данные об отказах
элементов взяты из документа WASH 1400; они являются несколько
заниженными для химических процессов, но основные принципы и тенденции
сохраняются.
Пример 4. Исследование оптимизации характеристик системы с использованием
упрощенных методов вычислений (по Фусселю)
Рассматриваемая система, которая была описана в гл. 2 (рис. 2.23), состоит
Из бака, насоса, таймера и оператора; задача состоит в том, чтобы предотвра-
483

тить разрушение бака из-за переполнения. Помимо демонстрации принципов
построения дерева отказов и определения системы, в этом примере объясняется:
1) как включить характеристики оператора в упрощенное вычисление;
2) что следует соблюдать чрезвычайную осторожность при выборе
критериев значимости;
3) что методы оценки надежности можно использовать для проведения
экономического анализа. В этом случае рассматриваются экономические аспекты
создания Средств для проведения ремонта.
Пример ψ Разрушение бака высокого давления
Эта/система была описана в гл. 2, а соответствующее дерево отказов
показано ηή рис. 2.27. Сфера анализа в данной главе расширяется, для того чтобы
продемонстрировать, как вычисляются параметры надежности для конечного
события с использованием информации по аварийным сочетаниям и программы
ΚΙΤΤ. Вычисляется полный спектр параметров значимости.
Пример 6. Пригодность модели с постоянной частотой отказов (по Буллочу и
Джибсону, фирма «Империал кэмиклз индастриз»)
При использовании практических данных по отказам для получения
характерных частот отказов следует дополнительно пользоваться общими
инженерными оценками и опытом. Слепое применение статистических методов,
изложенных в гл. 4, может привести к серьезным ошибкам и непосредственным выводам.
Этот конкретный пример показывает, что данные по отказам необязательно
случайны и необязательно демонстрируют простые характеристики износа:
Пример 7. Инвентаризация запасного оборудования (по Буллочу и Джибсону,
фирма «Империал кэмиклз индастриз»)
Поскольку выше в данной книге не обсуждалось дискретное распределение
Пуассона, то для полноты изложения включен и этот пример. ,
Пример 8. Анализ эксплуатационной готовности завода сланцевых, масел β Урйт-
Ривер (по Онгу, фирма «Тексако»)
Этот анализ, относящийся к отделению подготовки сырья завода сланцевых
масел в Уайт-Ривер, демонстрирует, как можно использовать методы Оценки
надежности для определения размеров оборудования, состоящего из параллельно
включенных элементов с ненагруженным резервом и средств для хранение при
этом задача состоит в том, чтобы достичь конкретной производствённой^цёли.
Вычисления выполнены при помощи модифицированной программы ΚΙΤΤ,
'которая позволяет анализировать возможности хранилища и ненагруженный резерв.
Пример 1. ОЦЕНКА РИСКА С ИСПОЛЬЗОВАНИЕМ МЕТОДА
ПРИЧИНА — ПОСЛЕДСТВИЕ
Здесь показано, как можно использовать диаграмму причина — последствие
для построения кривой Фармера вероятности события в зависимости от его
последствий.
Рассмотрим диаграмму причина — последствие, представленную на рис. 13.1.
Дереву отказов для конечного события «перегрев двигателя» соответствует
ожидаемое число отказов — 0,088 за 6 мес. работы (межремонтный период для*
двигателя). Вероятность того, что перегрев приведет к пожару, равна 0,02.
Последствиями пожара являются потери, обозначенные параметрами от С0 до С4; они
составят 1000 долл., если будет повреждено оборудование [с вероятностью
Р0(\—Pi], и 5Х10-7 долл., если сгорит завод (вероятность равна Р0Р1Р2РзРа)'
Потери от простоя оцениваются в 1000 долл. в 1 ч. Таким образом, общие
потери составляют
Сэ= 1000 долл. + (2) (1000 долл.) = 3)0Э долл.;
Сг = 15 000 долл. + 24 000 долл. = 39 000 долл. и т. д.
Зная следующие значения параметров, определим возможные последствия
для каждого события, затем результаты представим графически в зависимости
от вероятности его возникновения, показав на графике постоянную линию риска,
оцениваемого в 300 долл.
484

Обозначение
вероятности
события
Значение параметра
Ро
Л
Р2
Рг
Ра
Вероятность — 0,088/6 мес
Вероятность — 0,02
Отказ по вине оператора = 0,1
Система огнетушения, λ= ΙΟ-4, Τ (период испытания) =730
Управление системой огнетушения, λ=10-5, Γ=4380
Оборудование системы огнетушения, λ=10~5, Γ = 4380
Управление противопожарной сигнализацией, λ=5ΧΐΟ-5,
Г=2190
Аппаратура противопожарной сигнализации, λ=10-5, Γ = 2190
Решение.
Событие С0. Вероятность P0(l— Pi) = (0,088) (1—0,02) =0,086.
Сопутствующий риск составляет; (3000 долл.) (0,086) =258 долл. (см. табл. 13.1).
13.1. Вычисление риска
Событие
•
Последствие, долл.
Вероятность события
Риск, долл.
с,
С4
3000
39 000
1,744 x10е
2Х107
5 XI О7
< 0,086
1,53Х10-3
2,24 X Ю-4
1,03X10-»
6,69Х10-7
258
60
391
206
33
948/6 мес.=
= 1896/год
Событие С\. Вероятность Р2 есть коэффициент простоя для системы,
выделенной пунктиром в левом нижнем блоке на рис. 13.1. Полагая, что отказ
происходит в промежутках между испытаниями, для огнетушителя имеем Q = X(i) =
(73 Э\
— I . Поскольку имеется логический знак «ИЛИ», то с помощью
формулы (7.18) подсчитываем точное значение
(73 3\
—J(l —0,1) =0,133;
Pr {d} = Р0Рг (1 - Р2) = (0,088) (0,02) (1 — 0,133) = 1,53 χ Ю-з.
Событие С2. Вероятность Р3 есть
<?з=Яз=(.0-5)(^) + [.-(.0-5)(4-|-Э)][10-5(^)]=0(043;
Рг {С2} = Р0Р^2 (1 - Рз) - (0,088) (Э.Э2) (0,133) (0,957) =2,24 χ 10-».
485

cf
Ь / \ Сг / \ Уд
θ§θΦθ
ЪЪЪЪЪ

Рис. 13.1. Пример диаграммы причина — последствие для рассматриваемой
системы:
А — отказ по вине оператора; Б — отказ ручного огнетушителя; В — отказ управления огне-
тушением; Г — отказ аппарата огнетушения; Д — отказ управления противопожарной
сигнализации; Е — отказ аппарата противопожарной сигнализации; Ж — нет сигнала от
противопожарной сигнализации; 3 — десять человек из персонала завода ранены или убиты;
убыток из-за нанесенного персоналу ущерба составляет 5Х107 долл.; И — производство
прекращается на бесконечно долгий срок; заводу нанесен ущерб 107 долл.; К—производство
приостановлено на 1 мес; заводу нанесен ущерб 106 долл.; Л — процесс прерывается на 24 ч:
оборудованию причинен ущерб 15 000 долл.; Μ — процес прерывается на 2 ч;
оборудованию нанесен ущерб 1000 долл.; Η—противопожарная система здания не справляется с
пожаром; О — пожар распространяется на здание; Π — оператор не может погасить пожар;
Ρ — местный пожар в отсеке двигателя, С—перегрев двигателя достаточен, чтобы вызвать
пожар; Τ — перегрев двигателя; У — первичный отказ двигателя; Φ — чрезмерный ток к
двигателю; X — чрезмерный ток в цепи; Ц — не срабатывает предохранитель; '/ — первичный
отказ проводки; Ш — первичный отказ подачи энергии; Щ — первичный отказ
предохранителя
Событие С3. Р0Р1Р2Рг= (0,088) (0,02) (0,133) (0,043) = 1,03XIО"5.
(219Э\ Г /2190\1 Г
— м- 1 — (10~5)(~5~) К5 χ
X 10-5) р^У| = 0,065;
Рг{С4) = Р0^1/>2^з^4 = (1,03х 13-5) (0,065) =6,69 X 10-7.
На рис. 13.2 показана фармёровская кривая риска, в том числе нанесены
прямые, соответствующие 300-долларовому риску. Этот тип графика оказывается
полезным при определении расчетных критериев для аварийных событий при
известных последствиях и приемлемом уровне риска.
Пример 2. АНАЛИЗ РЕЗЕРВИРОВАНИЯ
В этом примере используются упрощенные методы 'вычисления, описанные
в разд. 7.7, дл4 сравнения двух стратегий повышения надежности системы за
счет введения резервирования.
Система выключения с регулирующими стержнями ядерного реактора состоит
из механизма освобождения, который срабатывает от радиационного
чувствительного элемен-га. Система показана на рис. 13.3. Данные по отказам элементов
приведены в табл. 13.2. Дерево отказов показано на рис. 13.4.
13.2, Данные об отказах элементов (см. рис. 13.3)
Элемент
/
2
3
4
Режим
Сигнал на
размыкание
Сигнал на
замыкание
Размыкание цепи
Замыкание цепи
Отключен
Пульсация
Размыкание
контактов
Ί
<<
10-4
Ю-з
13-4
ю-3
10-4
10-5
10-4
V
<->
10
10
10
10
24
24
10
Элемент
5
6
Режим
Замыкание
контактов
Обрыв обмотки
Отключен
Пульсация

Самопроизвольное освобождение
Отказ в
освобождении
Ί
V
<<
10~3
10-5
10-5
ю-6
ΙΟ"3
-0
сг
с
и
II
10
1Э
40
40
28
28
а. Вычислить количество часов в год, в течение которых система находится
в состоянии отказа.
487

1
иг'
If*
«··?
ш3
10s
ю»
м1
*>ν
%
ν*^
\
^^JIuhur постоянного риска
\ (300 dim.)
\
\
Приемлемый \
риск ^\
1 1 1 1...... ι,, ι
Ю3 Ю* Ю5 Ю6 Ю7 Ю8
Последствие, донн.
Рис. 13.2. Кривая
Фармера оценки риска
Рис. 13.3. Электрическая схема выключения реактора:
/ — чувствительный элемент; 2 — электронный блок управления; 3 — источник питания; 4 —■
реле; 5 — источник питания; 6 — механизм освобождения
б. Вычислить количество часов, в течение которых система остается в
состоянии отказа, если установлена еще одна дополнительная аналогичная система.
в. Повторить вычисление, предположив теперь, что вместо резервированной
системы используются резервные элементы.
г. Сколько самопроизвольных выключений реактора ожидается из-за отказа
элементов для первоначального варианта системы? Для системы с
резервированием?
д. Определить, как будет работать резервированная система, построенная по
принципу «два из трех», по сравнению с дублированной системой, приняв за
критерий оценки ожидаемое число отказов и самопроизвольных выключений?
Решение.
а. Имеется три аварийных сочетания из одного элемента. Таким образом, из
разд. 7.7.6 следует:
Аварийное сочетание
(см. рис. 13.3)
Реле 4 замкнуто
Блок 2 замыкает цепь
Датчик 1 неисправен
*;■ --1
13-3 1
Ю-з
Ю-з 1
τ, ч
η
и
и
<?*(V;)
10-2
1J—2
10-2
w* = λ'[ΐ _ ρ*]
9,9 Χ 10-4
9,9 χ 10~4
9,9 Χ П-4
488

Рис. 13.4. Дерево отказов для системы,
показанной на рис. 13.3:
А — чувствительный элемент / дает ложное за-
мыклние; Б — блок управления выдает команду
на- замыкание цепи; В — блок управления 2
отказывает в положении «замкнут>; Г — блок
управления не выдает команду на замыкание цепи;
Д — напряжение не снимается с реле, как это
требуется; Ε — реле 4 отказывает в замкнутом
положении; Ж — контакты реле не размыкаются,
как это требуется; 3 — самопроизвольная подача
напряжения на механизм 5;// —потеря
возможности выключения
Для этой системы
з
Qs = 2 Q*=3xl0-2;
3
х5=2 λ*=3χ 10_3>4_1;
ί = 1
3
^5-2 w*t =2'97 χ Ι3*"3·
ί=ι
Ожидаемое число wst~ (2,97 Χ Ю-3) X
Χ (8760) =26,17 отказов в год. Так как
средняя продолжительность ремонта
составляет 10 ч, то система простаивает 26,17Х
X 10 = 262 ч/год.
б. Теперь рассмотрим резервированную систему с теми же параметрами
отказов:
Q5=:(3x Ю-2) (ЗХ Ю-2) = 9Х 10-4, Qi==10-4, i = 1..... 9;
ю-3 io-з ι
- =2χ 10-5=*;, / = 2,...,9;
«-«[&+&1-Ч
10-2 10-2
WS=^\W* = 9X2X 10-5= 1,8 Χ 10-4;
ОЧО = (1,8 Χ 10-4) (8760) = 1,6 отказов в год.
Если принять постоянные частоты отказов и ремонтов для данной системы,
то с помощью упрощенного вычисления имеем
λ,+(!/*,
= ^Л
Таким образом,
tc ^
9Х 10-4
1,8 X 10-4
= 5 ч.
Теперь находим, что конечное событие имеет место в течение (1,6) (5) =8 ч/год.
в. Параметры системы в данном случае имеют следующие значения:
Qs^Q* = 3X10-4;
λ5=6χ 10-5 ч-i;
»,= [! — Q5]X5 = [1-3X 10-4] (6 X 10-5);
489

040 = (1 — 3 χ 10-4) (б X 10-5) (8763) = 0,53;
Qs 3X 10-4
Xs~ ls "6X 1Э-5 ~4·
Аварийное
сочетание
4,4'
2,2'
Ι,Γ
λ/
со со со
ι ι ι ι
о оо
со со со
τΊ
10, 10
10, 10
10, 10
Qt
13-2, 10-2
10-2, 10-2
10-2, 10-2
10-4
10-4
10-4
1 i = l
1 Χ 10-5
2 χ 10-5
2 χ 10-5
Конечное событие имеет место только в течение (5) (0,53) =2,6 ч/год. Хотя
вычисления говорят в пользу резервирования элементов, на практике предпочтение
оказывают резервированию систем в целом, так как в этом случае легче
проводить испытания и обслуживание, а оборудование меньше подвержено отказам с
общей причиной.
г. Самопроизвольное выключение может иметь место в любом из следующих
случаев:
Аварийные сочетания
(рис. 13.3)
Элемент 1 разомкнут
Элемент 2 разомкнут
Элемент 3 отключен
Элемент 4 разомкнут
Элемент 5 отключен
Элемент 6 освобожден
λ
10-4
10-4
10-4
13-4
10-5
10-з
t
10
10
24
10
43
28
λ5= 1,41 χ 10-3
Q=Q*
13-3
10-3
2,4 χ 13-3
13-3
4χ 10-4
2,8 Χ 10-2
ρ5=3,38χ ю-2
ws=(l— 3.38X П-2)(1,4Х П-3)(87бЗ)=11,6/год.
Средняя продолжительность ремонта для этой системы
_ „ 3,38 X 1Э-2 ол
τ,-<?«/>,- Μ1χ|0-, = Μ,.
Таким образом, время простоев реактора увеличивается до 278 ч/год. Если
используется резервированная система, то время простоя удваивается независимо
от того, является ли резервирование поэлементным или полным.
д. Для системы типа «два из трех», когда конечное событие есть отказ,
ведущий к случайному выключению, систему для случая (а) можно рассматривать
в виде отдельного элемента. Так как QA = QB = QC = 3X 10~2, а ХА = Кв = Кс =
= ЗХ10~3, то
490

Аварийные
сочетания
w*,
лв
АС
ВС
1,8 X 13-4
= QaQb[
λΛ_4 _λ
-]
l,8XI0-4=QAQc[^-+-^]
Qb
λ,
1,8 Χ ΙΟ-*
ws=5AX Ю-4
Следовательно, ожидаемое число отказов ОЧО ^ (5,4XI О-4) (8760) =4,7
отказов в год. Число самопроизвольных выключений находят, рассматривая
систему для случая (г) как отдельный. элемент
JAB
-1 =2(3,38 X 10-2) (^,41 χ 10-3)= 9,5 X Ю"5;
QA=QB^Qc =3,38 X 1Э-2 и ХЛ=Хя=Хс = 1,41 X 13~3;
ws=^w* = 2,85 Χ 10-4;
Q5 = 3(3,38 χ 10-2)2 =3,43 Χ ΙΟ"3;
Xstl-Qs] = *^=2,85 X 10-4;
_Q^ 3,43 X Ю-з
λ.
Тс =■
·= 12 ч;
„s 2,85x10-4
ОЧО = (2,85 Χ 10-4(8763) =2,5.
Время простоя реактора составляет (2,5) (12) =30 ч/год, откуда видно, что для
данной системы время простоя реактора из-за случайных выключений
уменьшается в 10 раз. Однако система с дублированием значительно меньше склонна
к отказам.
Пример 3. АНАЛИЗ СИСТЕМЫ БЕЗОПАСНОСТИ
ХИМИЧЕСКОГО РЕАКТОРА
На рис. 13.5, а показана реакторная система, в которой температура
повышается при увеличении скорости потока А с регулируемым расходом. Эта
система после изменения в соответствии с рис. 13.7 идентична системе, показанной на
рис. 2.25. Тепло отводится за счет циркуляции воды в водяном теплообменнике.
Нормальная температура реактора составляет 93° С (200° F), а катастрофический
выход из-под контроля начнется, когда температура достигнет 149° С (300° F).
С учетом такой ситуации:
1) температура реактора контролируется при помощи датчика (ТЕ/ТТ-714);
2) при повышении температуры до 107° С (225° F) подается
предупредительный сигнал («Сирена»);
3) затвор отключает поток А при температуре 121° С (250° F), прекращая
реакцию (SV-1);
4) оператор может включить затвор, нажав аварийный переключатель (НЗ).
а. Построить дерево отказов для этой системы.
491

PS-Z(HP)
<t <.J В
Рис. 13.5. Система реактора для примера 3:
- нормально замкнут; HP — нормально разомкнут; 1 — аварийный выключатель
2 —сирена; 3 — реактор, /=93° С; 4 — охлаждающая вода; 5 — насос с приводом
б. Получить аварийные сочетания, используя программу MOCUS, и
определить возможные пути модернизации системы на основании качественного
анализа.
в. Используя данные табл. 13.5, получить характеристики отказов системы.
г. Определить степени важности элементов и аварийных сочетаний.
Решение:
а. На рис. 13.6, а н б показано дерево отказов (построенное Браунингом)
с использованием ромбов для обозначения как неразработанных, так и
вторичных отказов, вызываемых внешними воздействиями. Прямоугольниками под
логическими знаками обычно представлены ошибочные команды, т. е. отказы, при
которых на элемент «подается команда», приводящая к отказу, в виде какого-то
сигнала, внутреннего для данной системы, принудительно или в результате
другого воздействия. Структура, которую пытался получить Браунинг, показана на
рис. 13.5, б.
б. Аварийные сочетания, определяемые с помощью программы MOCUS,
показаны в табл. 13.3. Два аварийных сочетания с единичным событием С3 и Е5
создают серьезную потенциальную проблему, которую нужно устранить. На
рис. J3.7 показана возможная рациональная модификация. Здесь перед клапаном
FICV-702 добавлен клапан XV-714 и изменено местоположение клапана SV-L
Таким образом, в результате введения клапана XV-714 (С2) образуется
аварийное сочетание с двумя событиями С3 и Е5. Клапан XV-714 соответствует клапану
на рис. 2.25 и 2.26, а С3 и Е5 — клапанам В и С.
Для модифицированного дерева отказов, показанного на рис. 13.7,
аварийные сочетания приведены в табл. 13.4.
в. Данные по отказам и ремонтам, приведенные в табл. 13.5, не следует
принимать как однозначные. В целом значения λ слишком низкие и более ти-
492

Рис. 13.6. Дерево отказов для системы реактора:
а: А—отказ измерительной аппаратуры; Б — отказ датчика в виде неправильного
измерения; В — FE/FT-702 выдает неправильный сигнал в FICV-702; Г—обходной контур
открывается; Д — отказ клапана; Е — FICV-702 размыкается или заедает в разомкнутом
положении; Ж —повышение TR до 149° С (300° F); 3 — вышедшая из-под контроля реакция TR>
>149°С (300° F); И — изменение не прекращается (FICV-702 не закрывается); К— отказ
клапана; Л — обходной контур открывается; Μ — не открывается SV-1; Η—первичный
отказ SV-1; О — цепь затвора не размыкается; Π — отказ в сети электропитания; Ρ —
первичный отказ двигателя; С —остановка двигателя насоса; Г—первичный отказ насоса; У —
потеря воды; Φ — отказ теплообменника; X — потеря давления в насосе; Ц — потеря
охлаждения реактора;
б: А' — первичный отказ PS-1; Б' — ТЕ/ТТ-714 выдает ложное (низкое) значение Т; В' — Р&-1
не выключается; Г' — аварийный переключатель не выключается; Д' — отказ переключателя;
Е' — оператор не нажимает кнопку; Ж — отказ по вине оператора; 3 — не срабатывает
сирена; И' — отказ сирены; К' — отказ сети электропитания; Л' — не включается PS-2; М'—
первичный отказ РС-2; Я' — ТЕ/ТТ-714 выдает ложное (низкое) значение Τ
пичны для ядерных, чем для химических процессов. Здесь делается
предположение, что вероятность отказов по вине оператора, вероятность отказов сирены
и аварийной кнопки постоянны и не зависят от времени. Это справедливо
применительно к оператору, но совсем необязательно для переключателя или сирены,
если только они не находятся вне производственных условий. Вероятность
отказа по вине оператора обычно составляет 0,01 для повседневных задач, 0,001 —
при вводе информации, связанной с опасностью, и 0,1 —при работе в аварийных
ситуациях. В табл. 13.6* приводятся блоки распечаток программы ΚΙΤΤ для Τ
от 0 до 100 ч. Приведены только характеристики наименее и наиболее надежных
элементов (Е\ = 7 и Е3 = 5) и ограничивающие условия. Для восстанавливаемых
* Q — коэффициент простоя, W — безусловная интенсивность отказов, L —
условная интенсивность отказов, WSUM — ожидаемое число отказов, FSUM —
показатель ненадежности.
493

Лоток\ JL πι
He закрыдается
XV-714-
Отказ
XV-714-
He закрывается
SV-1
Рис. 13.7. Модифицированная принципиальная схема и соответствующее дерево
отказов:
/ — клапан SV-I (изменение местоположения); 2 — дополнительный клапан ХУ-714
13.3. Аварийные сочетания для реактора
Аварийные сочетания с одним
элементом:
1)
С3
2) ЕВ
1)
2)
3)
4)
5)
6)
7)
8)
9)
Ю)
И)
12)
13)
14)
15)
1)
2)
Аварийные
сочетания
элементами:
с4
с7
Ει
с5
Е2
с6
Е3
Сю
с4
с7
Ει
с5
Е2
с6
Е4
с8
с8
с8
с8
Сь
с8
с8
Ез
Е4
Е4
Е4
Е4
Е4
Е4
Е3
с двумя
Аварийные сочетания
с тремя
С4
с7
элементами:
Сю
Сю
С14
Си
3)
4)
5)
6)
7)
8)
9)
10)
И)
12)
13)
14)
'?)
16)
17)
18)
19)
20)
21)
22)
23)
24)
Ει
с5
Е2
Се
с4
с4
с4
с7
с7
с7
Ει
Ει
Ει
Съ
С5
с5
Е2
Е2
Е2
Сщ
с6
с6
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Си
Си
Си
С\4
Си
С\2
Си
Си
С12
ζΐ3
Си
с12
с13
Си
С\2
С13
£»
Ci2
С13
£»
С12
СВ
Общее число найденных аварийных сочетаний равно 41. Определены все аварийные
сочетания. Размерность массива — 10 000 слов при точности real* 8.
494

13.4. Аварийные сочетания для модернизированной системы
Аварийные сочетания
с одним элементом:
Не существует.
1)
2)
3)
4)
5)
6)
7)
8)
9)
Ю)
И)
12)
13)
14)
15)
16)
17)
1«)
19)
20)
21)
22)
23)
24)
25)
26)
27)
28)
Аварийные сочетания
с двумя элементами:
Q
£«
с7
с?
С3
Сг
Еь
Е5
Ει
Ει
с5
с5
Е2
Е2
С0
с6
Ез
Еъ
Сю
с4
с7
Сг
Е5
Ει
■Съ
Е2
Сз
Е4
с2
с8
с2
с8
с2
С*
с2
с8
с2
с8
с2
с5
с2
с8
с2
с8
с2
с8
£3
£4
£4
Е4
Е4
Е4
£4
Е4
Е4
Ез
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
14)
15)
16)
17)
18)
19)
20)
21]
22)
23)
24)
25)
26)
27)
28)
29)
ЗЭ)
31)
32)
Аварийные сочетания
с тремя
с4
с7
Сз
Е5
Ει
с5
Е2
Св
с4
с4
с4
с7
с7
с7
Сз
С3
Сз
Е5
Е5
Е5
Ει
Ει
Ει
с5
с5
с5
Е2
Е2
Е2
св
с6
с6
элементами:.
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
Сю
W0
Сю
С ю
Сю
Сю
Сю
Сю
W0
Сю
Сю
Сю
Сю
Сю
Сю
Си
Си
Си
Си
Си
Си
Си
Си
Си
С \2
Си
Си
Ci2
Си
Си
Cl2
Си
Си
С\2
Си
Си
Cl2
Си
Си
С12
Си
Си
Ci2
Си
Си
Си
Си
Общее число найденных аварийных сочетаний равно 60.
Определены все аварийные сочетания.
Размерность массива U^ — 10 000 слов при точности real* 8.
элементов только параметр WSUM = 040 продолжает возрастать после
достижения установившегося состояния. Следует заметить, что для элемента 5 при
^=100 ч не достигается установившееся состояние. Некоторые варианты
аварийных сочетаний показаны в табл. 13.7.
Первые два сочетания (1 и 2) состоят из одиночных элементов. Видно, что
коэффициенты простоя для них на один — три порядка больше, чем
коэффициенты простоя наихудшего и наилучшего из сочетаний из двух событий (5 и 12),
при этом остальные 13 сочетаний из двух событий имеют промежуточные
значения и здесь не показаны. Сочетание 31 является наихудшим из 24 сочетаний из
трех событий и, как и следовало ожидать, включает оператора (элемент 9).
Оператор не появляется ни в одном из аварийных сочетаний, состоящих из двух
событий, что само по себе благоприятно. Параметры системы приведены в
табл. 13.8.
Средняя продолжительность ремонта системы получена при предположении
об установившемся состоянии и постоянной частоте отказов, т. е.
(!-<?*) =
1/λ5 + τ/
495

13.5. Случаи отказов и их вероятности
№ дщдек-
са на
ЭВМ
15
16
13
6
7
14
12
4
5 j
И
з, ι
2
10
9
8
Событие
Сз, С2
Е5
с5
с4
Ει
Е2
£6 -
с7
Ез
С6
£ιο
с14
£4
Си
Cl2
с«
Описание события
Первичный отказ
управляющего клапана (открыт)
Открытие перепускного
клапана
Отказ теплообменника
Первичный отказ
измерительных средств (передатчики,
регуляторы, самописцы и т. д.)
Отказ датчика (низкое
давление)
Нарушение водоснабжения
Первичный отказ насоса
Первичный отказ двигателя !
Отказ в сети энергопитания
Первичный отказ
переключателя
Отказ датчиков
PS-1, PS-2
ТЕ/ТТ-714 передает или
считывает низкую температуру
Отказ аварийной кнопки
(вероятность принимается
постоянной из-за ограниченного
использования)
Отказ по вине оператора
Отказ сирены (вероятность
принимается постоянной из-за
ограниченного использования)
λ, ч-1
7Х10-5
1X10-6
5Х10-5
5Х10-5
1,зхю-4
IX10-6
зхю-б
1X10-6
ЗХ 10-7
5Х10-5 |
4ХЮ-5 ι
4X10-5
ЗхЮ-4
Ю-з
ЗХЮ-4
1
f, ч
30
100
50
10
20
300
20
20
100
20
20
20
—
а Вероятность принимается постоянной, не зависящей от времени.
и составляет 31 ч. Таким образом, при /=100 ч почти достигается
установившееся состояние. Система безопасности простаивает в течение
Qst = (365) (2,2358 X 10~3) = 0,81 дней/год,
что можно проверить также по формуле
*(α;5)τ5 = (365)(7,17£9χ 10~5) (31) = 0,81 дней/год.
Эта величина, пожалуй, несколько оптимистична, так как здесь использовались
нижние значения λ. Заметим, что на практике для этой ситуации время простоя
из-за технического обслуживания будет, по всей вероятности, больше времени
простоя вследствие отказов. Здесь не были также проанализированы отказы
общего характера.
Для модифицированной системы (рис. 13.7) верхние пределы параметров,
системы приведены в табл. 13.9.
За счет исключения аварийных сочетаний с одним событием достигнуто
увеличение коэффициента готовности системы на два порядка.
г. Для первоначального дерева отказов можно ожидать, что наиболее
значимыми являются два элемента из аварийных сочетаний с одним событием. Со
ссылкой на таблицу аварийных сочетаний (табл. 13.3) заметим, что
упорядоченное расположение по структурной значимости, определенной на основе
числа появлений только в аварийных сочетаниях с одним и двумя событиями,
является таким, как это показано в табл. 13.10.
496

coco
о о
оо
ОЮСМ.
О05 00
005 05
о σ^σ^
о σ>σ>
ююю
о о о
ооо
ю ю ю ю ю
о оо о о
о о о о о
ioooooooocncoo
05CN ООС
ЮО5 00С
05 05 0>С
5 со оо — со ю
5 00 h- h- СО Ю
} 05 05 05 05 05
s^
05 05
θ5— -3*
05 05 05 05 05
θ5 θ5 θ5 θ5 θ5
1^ OC0 С0 05
ОСМ.Ю00 — —·*— CM CN CN CN
coco
оо
о о
I I
о юсос
оюсо
оюсч
о — со
С0С0С0С0С0СМСМСМ
ооос
о оо с
5 О О О О О
5 О О О ОО
I I
05f^C0
СМ ООЮ
coo5co
05 00 00
00 — ^
«—оо со—Ό
Ю СО 0>СмЮ
со со со oco
— l^COC0O5
COO^N l^-CO
oo i^cocoo5
f^ О О—'CM
O~CMC0i0C0f>-05—·—·~-
о о о
ооо
ооо
ооо
о о о оо о
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
оо о оо
оо о о о
о ооо о
о о о о о
о о о о о
о о о о о
о о о о о
ооо о о
оо оо о
05
3
3
α
cococococococooocococo
f^f^f^-f^-f^t^f^-Of^-f^f^
OOOOOOOOOOO
OOOOOOOOOOO
о о о оо
о — см со "*f
О 05 00 1^· СО
О 05 05 05 05
О 05 05 05 05
О 05 05 05 05
О 05 05 05 05
ооо
юсо ь-
ю ■* со
05 05 05
05 05 05
05 05 05
θ5 05 05
ооо
00 05 О
СМ ~ —
05 05 05
05 05 05
05 05 θ5
θ5 θ5 05
COCNCNCmCNCMCMCMCMCMCN
coco
оо
оо
союю
ооо
ооо
IQ Ю Ю Ю Ю
о ^ оо о
о оо о о
о ю о
OS Ю
005 05
о
о _ _
005 05
Ι Ι Ι Ι Μ Μ
осоюооо
юооо(
см — оосмюоо — ю
С0О500С~ ' -~
05 05 05С
05 05 05 С
05 05 05С
05~""^ t
;оо1^сосою
5 05 05 05 С5 05
5 05 05 05 05 05
5 05 05 θ5 05 θ5
1 S OC0C0 05
О (Ν Ю ОО « -' — СМ (М СМ СМ
оо о о
о о о о
ооо
ооо
ооо
ооо
+ + + + -Ы- + + + +
ооо
ооо
ооо
ооо
ооо
ооо
ооо
о о о оо
оо
оо
оо
оо
оо
о о
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
О—•C4C0TfiOCOf>-00O5~
^* ^* ^* ^*
о оо о
оо о о
о о оо ооо
ооо о о о о
Mill
OOOOOOOOOOO
о о оо
о о оо
ооо о
88Я§
ооо оооо
оо о оо о о
ооо о о о о
о о о о о о о
о о о onо о
со со со со со со со
й
05
3
3
*ы* *& ^^ ^^ ^^ ^7* ^^ ^7* ^^ ^^ ^7*
oooooooo
о о
о о
ЭОООООООО
—'Tt<f>.00000000000000
— тМ^ОО 000000 000000
— CMCNCNCNCMCNCNCNCN
сосососососососососо
оосососососососососо
05050505050505050505
ON Osl CN CM CN CN CN CN U м CM
со со со
ООО
ооо
со со со
ооо
ооо
со со со со
оооо
оооо
те О5 00
ю см со
05С0 ^
05 05 05
CNiOlO
со см ю
ю ю ю
CN CN CN
со со со
05 05 05
юююю
юююю
CN CN CN CN
со со со со
05 05 05 05
юююю
-CNCNCNCNCNCNCNCNCN
-—-~" — CN
5 О О О О
ю оо о
++++++++++
ооо
ооо
ооо
ооо
ооо
ооо
ооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
О — CNC0^<t0COf^00O5 —
о©
I I
t'oo
Sgg
ι о©
©я
оо©
«о о
oSS
°,о°
осх ex
ас . .
2oo
дХХ
uc*c*
ooo
ϊαα
πωω
t*fflffl
о
ffl
ss
^fflffl
woo
PQUU
я«
~fflffl
fflSS
E«
Sao·
<oo
a.
Ouu
txEw
Н4Ё
ESS
ωωω

D
ел
2
χ
rt< со со со
о о о о
оо оо
СО СО ГО
о<- о
оо о
со со со
о о о
о о о
<ою
оо
оо
ооо о _
оо о оо
ооо
ооо
I I I I I I I I I I
О5оо
о о
оо
I !
00 00 ОО
о о о
ооо
ocotoooi^-cococo^ioto
-ocoto
ί C0 05CN
5 ^ σ>ιο
-О 00 l^-
>σ>οο οο
зю см σ>
οοοοοοοο
о — о со об
oiocsj 05<м
OiQONW
coo> см t
oocoo5*
ON05t^tO
OOiWON
rt<co — с
05 05 05C
^ — 00 1
оо о
ою оо
о 05 05
о 05 05
oo>o>
ο 05 05
SS
ою о ю
. CN l^O) Ю
05 О5 00 00 N
05 05 05 05 θ5
θ5 θ5 θ5 θ5 θ5
θ5 θ5 θ5 θ5 θ5
ООО
ОЮ О
оо θ5 ο
05 05 05
θ5 θ5 05
θ5 θ5 θ5
О О) (Ν 00 СО СО
»ОЮ rt
ι —< оою
5 00 tO»C
505 05 05
1 — 1^- СО
00(Μι
О Ь- tO ι
о г^гм ·
О00 05С
О 05 05С
0 05 Ю -
OCO—'<М(МС0т*<т*<ЮСОСО
OOi-tNCO^iOCONOOO)
о о
оо
ооо
ооо
Ю Ю Ю ι
О О О С
о о ос
to to
о о
оо
to to to
ооо
ооо
to to to
ооо
ооо
to to to
ооо
ооо
I I I I
II I I I I I I I I t
о о оо о
ΙΟ
о о
о о
оо
_, о о
^ -О О
К О О
as
О)
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
t— t— t— t— t— f— ϊ^- ϊ"— i"—
3i
a*
о о
о о
о о
оо
о о
о о
оо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
о со — со "f to
О θ5 θ5 θ5 θ5
— οο οο
ο ο ο οο
ою -ι- οοο —<
ΟΟ t000505
^ Ο "* — t> ΟΟ GO
°* ОЮ ON tOCO
**Г О t"» 05 rr-, -n GO
^ О 05 05 0505 05
К О 05 LQ Ю Ю Ю
^3
Ϊ
о cos ^ — сооооо оооо оо S
юююююююююю
_оооооооооо
ооооооооооо
<Ъ OCNSlflCOOOOOOOO
*" ООО — (N см СО СО СО СО СО
о о — см со со со со со со со со
tOl^l^l^l^l^Nl^l^l^l^
ооооооооооо
ооооооооооо
оюоюююююююю
005050000000000000000
005050505050505050505
stototototototototocrT
ооо
ооо
ооо
О О5 00
О 05 05
005 05
О 05 05
ооо
ооо
N СОЮ
05 05 05
05 05 05
05 05 05
о о оо о
ооо о о
ооооо
rt<C0CN —' О
05 05 05 05 05
05 θ5 05 θ5 θ5
— θ5<
05 05 θ5 θ5 θ5
— 05050505050505050505
<=>t-— —
005
—< ο
ο ο
θ5 θ5 θ5
οοο
οοο
ί Ι Ι Ι Г
Ο Tf* rf
οο tO
ο ^ ~
ОЮ О
osa
005 θ5
0 05Ю
Ν О О
Ο θ5 θ5
Ν 00 СО
s toco
00 00 CO
Oi θ5 θ5
ι О Ю Ю^
соююю юююююю
оооооооооо
оооооооооо
о о ооо о о
о о ою ою о
О Ю Ю (Ν Ο Ν О
О t** 05 05 05 00 0О
О 05 05 05 05 05 05
О 05 05 05 05 05 05
О 05 05 05 05 05 05
θΓθ5 — <М Со'т^ Ю СО N 00 05
оооо
ю ою о
CNIONO
Ν СОЮ Ю
05 05 05 05
05 05 05 θ5
θ5 θ5 θ5 05
3
3
tj
§* 05
К О
ie о
s г
8- '
ί °-
^ оо
о оо
о —■
005
005
О 05
оо оо on οσ
оооо
оооо·
ми
О! Ю05 О
-rj* СЧ 00 05
-f Ю СО СО
со ОО to со
05 00 00 00
05 05 05 05
осо —« —« —■ —■
ооо
ооо
оооо
оооо
ооо
ооо
+ + + + + + Ч- + Ч- +
оо о
ооо
ооо
ооооо
ооооо
ооооо
ооооо
ооооо
ооооо
ооооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
оооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
о о
о о
++
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
ооо
+++
ооо
ооо
ооо
ооо
ооо
ооо
ооо
О—'CNC0rt<»OtOl^00O5—*
-(NC0Tt<iOtObO0O5—·
О — Ot СО *^f Ю
498

о о о о о
ооо о о
со <м -^ со сч
χ£) Ю СО СО О
<м о> —* о о>
^СЧ 05 05 00
(J5 ОЭ — t** СО
S5 Ю — СМ —
N СО СО Ю Ю Ю Ю Ю ΙΟ Ю
ОООООООООО
оооооооооо
ососо^^-ососоо^-^
О ~ — ОО СО ОО ^ —■ 00 "^ —
C~iC0-fLO—'"^'—00'^ — ОС
θ(Μΐ^-οοοοοοσ>σ>ο — —■
о—-^со^-сою^^сосм
0050500t^C005lO'—f>-CO
O^iO — l^-OCNlOOCOCO
Oa05050500XOOOOOO
— OOOOOOoOO
ОООООООООО
I I ! Ι Ι Ι Ι ι I I
ococo^t^t^ooococo —
O^tOOLOCNCOt^CMt^CM
OI^-CSJI^-COOO—<0005 0)
CWOOCM- 05 CM lO f^ О
OCOCOOCOCOCOTf —00CO
OOSt^NOCMOSCO-^iOiOCO
O-O-W(NO(MTt<C0 00
t- 05 —' — ~
СГ5 05 СГ5 C5 O)
CDO О О О
о о о о о
I I I I 1
1 1 1 1 1
05 05 05 С5 05
00 00 00 00 00
•со со со со со
ОС 00 00 ОС ОО
С75 θ5 σ> σ> 05
ю ю юю ю
05 о> о> Ci 05
о о о о о
о о о о о
1 1 1 1 1
1 1 1 1 1
о оо о о
оэ θ5 σ> θ5 σι
ОС 00 00 ОС г г.
to со со со со
00 00 00 ОС ОС
оэ θ5 σι θ5 05
ЮЮЮ1ЛЮ
00 00 00 00 00
о оо о о
о о о о о
1 1 1 1 1
1 1 1 1 1
оо о о о
оэ σι θ5 θ5 С5
■оо оооо ос оо
(СО СО СО СО СО
оо оооо оо ос
05 05 05 05 05
ююююю
о о о о о
о оо о о
+++++
о о о о о
о о о о о
о оо о о
о о о о о
о о о о о
оо о о о
о о о о о
^
■»*-i
**1
о*
1*'*'
5 (эле
щ
3
а?
й*
о
CJ
:и для
ктеристин
Хара
ОСОСМЮ^—'—'—"— СМСМ
f^t^f^f^f^f^f^f^f^f^-
оооооооооо
оооооооооо
1 1 1 ! 1 1 1 1 I I
1 1 1 1 1 1 1 1 1 1
о — ооюо^сососососо
ot^-co — —■ со со со со со со
O^ObiOf^f^f^f^f^f^f^-
осмо>смсососососососо
охм-^ооооо^
О θ5 θ5 θ5 θ5 θ5 θ5 θ5 θ5 Oi θ5
осчююююююююю
О — СМСМСМСМСМСМСМСМСМ
l^l^l^t^l^l^l^t^t^l^
ОООООООООО
оооооооооо
1 I ( I I I I I I 1
I I I I 1 II I I 1
осо—Όθ<Μΐ^-σ>σ5σ>σ>σ>
OCOO^tiQCOCOCO'-OCOCO
о^c^^hсосососососо со
ОСМ05СМСОСОСОСОСОСОСО
OOC(N-OO^OCOO
005050505050505050505
осмююююююююю
О — CMCMCMCMCMCMCMCNCN
^сососососососососо
ОООООООООО
оооооооооо
! 1 1 1 1 1 1 1 I I
ι 1 1 1 1 1 I I I 1
ООЗОСМЮЮ0505050505
осоююсососососососо
оюс, смсососососососо
О—'СООССОСОСОСОСОСОСО
о^ю — ооооооо
005050505050505050505
о^ююююююююю
OCOCMC>1CMCNCMCn<N<NCM
оооооооооо
оооооооооо
++++++++++
ооооооооооо
ооооооооооо
ооооооооооо
ооооооооооо
ооооооооооо
ооооооооооо
ооооооооооо
о>
с*э
кГ
U (эл<
^
3
Ϊ
с
^
соче
и для
жтик,
с».
е-*
><
оооооооооо
оооооооооо
I I I I I I I I I 1
I I I I I I I I I 1
О05С0С0^Ю1^1^1^1^1^
O^CO^COf^fxf^-f^f^fx
ONOOO^Tf^^Tf^Tf
О СО f>- CO 05050505050505
ооо-^сосмсмсмсмсмсмсм
OCOf^f^f^t-f^f^f^-f^f^
ООООООООООО
О—'CMCMCNCMCMCMCMCNCM
оооооооооо
оооооооооо
I I I I I I I I I 1
1 1 1 1 1 1 1 1 ! 1
OOiCOCO^iOf^f^f^f^f^
o^co-^-cofxl^f^f^f^f^
Ο^ΟΟΟ^^^^^^^
OCOl^-C005050505050505
ООО^СОСМСМСМСМСМСМСМ
ооооооооооо
О — CMCMCMCMCMCMCMCNCN
0050505050505050505
—OOOOOOOOO
оооооооооо
I I I I I I I I I I
1 1 1 1 1 1 1 1 1 1
OCOCOO—'"^l^-l^-l^-t^-l^·
CWNOOiONNNNbN
C0OCD(NTtrf ^TfTtTfTt
ОЮ"^0005050505050505
OlOCOCOCNCMCMCMCNCMCM
OONNNNbSNNN
o — ooooooooo
0>i50i<N(M(M<M(M(N(NCq
оооооооооо
оооооооооо
++++++++++
ооооооооооо
О О О О О О О О'О О О
ооооооооооо
ООООООООООО
ооооооооооо
ооооооооооо
ооооооооооо
^О 1^-00 05 —
о—'CNco^mcof^ooo)—■
О—CNCO^iOCOt^-OOO)—'
499

13.8. Информация по системе — верхние пределы
Т, ч
Q
W
L
Дифференциальные характеристики — верхние пределы
0,000 000 00
1,000 000 00 + 001
2,000 000 00 + 001
3,000 000 00 + 001
4,000 000 00 + 001
5,000 000 00 + 001
6,000 000 00 + 001
7,000 000 00 + 001
8,000 000 00 + 001
9,000 000 00 + 001
1,000 000 00 + 002
0,000 000 00
7,117 430 18—004
1,426 43144 — 003
2,136 205 08 — 003
2,146 003 18 — 003
2,156 17123 — 003
2,165 808 06 — 003
2,175 81120 — 003
2,185 814 52 — 003
2,195 818 02 — 003
2,205 821 39 — 003
Т, ч
7,100 000 00 — 005
7,137 475 16 — 005
7,170 394 07 — 005
7,170 084 78 — 005
7,174 69750 — 005
1 7,179 320 03 — 005
7,179 442 18 — 005
7,179 56176 — 005
7,179 684 16 — 005
7,179 809 37 — 005
7,179934 58 — 005
WSUM
7,100 000 00- 005
7,142 558 83 — 005
7,183 636 76 — 005
7,185 434 34 — 005
7,190 12754 — 005
7,194 833 33 — 005
7,195 025 23 — 005
7,19521720 — 005
7,195 412 00 — 005
7,195609 62 — 005
7,195807 24 — 005
FSUM ·
Интегральные характеристики — верхние пределы
1,000 000 00 + 001
2,000 000 00 + 001
3,000 000 00 + 001
4,000 000 00 + 001
5,000 000 00 +001
6,000 000 00 -hOOl
7,000 000 00 + 001
8,000 000 00 + 001
9,000 000 00 + 001
1,000 000 00 +002
7,118 73758 — 004
1,427 267 22 — 003
2,144 291 16-^003
2,861 530 28 — 003
3,579 231 15 — 003
4,297 169 2в —003
5,015 11946 — 003
5,733 08176 — 003
6,451056 43 —003
7,169 043 63 —ОСЗ
1 7,118 744 39 — 004
1,427 268 20 — 003
2,144 289 00 — 003
2,861268 12 — 003
3,578 200 34 — 003
4,294 860 93 — 003
5,011 025 17 — 003
5,726 693 54 — 003
6,441866 64 — 003
7,156 544 94 — 003
13.9. Информация по системе — верхние пределы
Т, ч
Q
w
L
Дифференциальные характеристики — верхние пределы
0,000 000 0
,000 000 00
,000 000 00
,000 000 00
,000 000 00
,000 000 00
,000 000 00
,000 000 00
,000 000 00
,000 000 00
000 000 00
+ 001
+ 001
+ 001
+ 001
+ 001
+ 001
+ 001
+ 001
+ 001
+ 002
0,000 000 0
4,900 041 51 -
1,799 068 35 -
2,666 870 31-
2,868 902 10-
3,071720 32-
3,080 124 55-
3,088 960 04-
3,09791683-
3,106 994 90-
3,116072 82-
-006
-005
-005
-005
-005
-005
-005
-005
-005
-005
,000 000 0
,797 944 68 -
,878 013 82-
,285 974 77-
,368 766 31-
,451925 68-
,455 403 39-
,459 051 ?8-
,462 748 90 -
,466 496 26-
,470 243 55 -
-005
-006
-006
-006
,0С6
-006
-006
-006
-006
-006
0,000
9,797
1,878
2,286
2,368
2,452
2,455
2,459
2,462
2,466
2,470
000 0
992 69 — 006
047 60 — 006
035 74 — 007
834 27 — 006
001 00 — 006
479 02 — 006
12724 — 006
825 20 — 006
572 89 — 006
320 52 — 0С6
500

Продолжение табл. 13.9
Т, ч
WSUM
TSUM
Интегральные характеристики — верхние пределы
1,000 000 00-г 001
2,000 000 00+001
3,000 000 00+001
4,000 000 00 + 001
5,000 000 00 + 001
6,000 000 00 + 001
7,000 000 00 + 001
8,000 000 00 +001
9,000 000 00 + 001
1,000 000 00 + 002
4,898 972 34-
1,918 801 38-
4,000 795 67-
6,328 166 21-
8,738 512 21-
Ы 19 21767-
1,364 940 41-
1,611 030 42-
1,857 492 68-
2,104 329 67-
-006
-005
-005
-005
-005
-004
-004
-004
-004
-004
4,898 984 35-
1,918 804 66-
4,000 784 71-
6,328 099 51-
8,738 33556-
1,11918311-
1,364 882 90-
1,610 943 90-
1,85737107-
2,104 16684-
-006
-005
-005
-ч005
-005
-004
-004
-004
-004
-004
13.10. Упорядоченное расположение элементов по структурной важности
Категория
структурной
важности
1
1
4
4
4
* 4
4
4
3
2
5
7
2
7
7
7
Число появлений в сочетаниях 14
Элемент
СЗ-15
£5-16
С5-13
С4-6
£1-7
£2-14
С6-12
С7-4
£3-5
С8-11
С10-3
С14-1
£4-2
С11-10
С12-9
С13-8
1
Одно событие
1
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
~2~
Два события
0
0
2
2
2
2
2
2
3
7
1
0
7
0
0
0
~зЬ
Три события
0
0
4
4
4
4
4
4
0
0
24
6
0
6
6
6
~72
Общая классификация, показанная в табл. 13.10, подтверждается почти
всеми мерами значимости, которые были вычислены. Параметры по Фусселю —
Везели, например, таковы, как приведено в табл. 13.11.
Интересно отметить, что программа IMPORTANCE, которая использовалась
для проведения этих расчетов, не классифицирует события, имеющие постоянные
вероятности. Эта классификация слабо зависит от времени. Например, элемент 7
более значим, чем элемент 11 после 100 ч работы, но он становится менее
значим через 200 ч.
Пример 4. ИССЛЕДОВАНИЕ ОПТИМИЗАЦИИ ХАРАКТЕРИСТИК СИСТЕМЫ
С ИСПОЛЬЗОВАНИЕМ УПРОЩЕННЫХ МЕТОДОВ ВЫЧИСЛЕНИЙ
В системе, представленной на рис. 13.8, бак наполняется за 10 мин, а
опорожняется за 50 мин; таким образом, продолжительность полного цикла состав-
501

13.11. Данные по важности элементов
ВЕРОЯТНОСТЬ КОНЕЧНОГО
СОБЫТИЯ -0,606—03
ПРОДОЛЖИТЕЛЬНОСТЬ РАБОТЫ —
0.100 + 02
ВЕРОЯТНОСТЬ КОНЕЧНОГО
СОБЫТИЯ - 0,209-02
ПРОДОЛЖИТЕЛЬНОСТЬ РАБОТЫ —
ОЛОО+03
ВЕРОЯТНОСТЬ КОНЕЧНОГО
СОБЫТИЯ -0.104-02
ПРОДОЛЖИТЕЛЬНОСТЬ РАБОТЫ —
0,200+02
Категория
_ 1
1
2
3
4
δ
6
7
8
9
10
Π
12
13
Исходное
событие —
элемент
15
16
7
11
2
13
6
12
14
4
5
3
i
Важность *
0,982+00*
0,157—01*
0,120—02"
0,119—02*
0,953—03*
0,530—СЗ*
0,370—03*
0,276—04*
0,115-04*
0,920—05*
0,482—05*
0,331—05*
0,300—06*
Категория
1
2
3
4
5
6
7
8
9
10
п
12
13
Исходное
событие —
элемент
15
16
11
7
2
13
6
12
14
4
5
3
1
Важность *
0,979+00*
0,174—01*
0,180—02*
0,179—02*
0,144—02*
0,899—03*
0,472-03*
0,414—04*
0,211—04*
0,138—04*
0,857—05*
0,567—05*
0,727—06*
Каюгория
1
2
3
4
5
6
7
8
9
10
11
12
13
Исходное
событие—
элемент
15
16
11
7
2
13
6
14
12
5
4
3
1
Важность*
0,965+00*
0,302—01*
0,257—02*
0,220—02*
0,205—02*
0,184—02*
0,427—03*
0,726—04*
0,509—04*
0,234—04*
0,170-04*
0,121—04*
0,16.3—05*
ляет 1 ч. После включения выключателя таймер устанавливается на размыкание
контактов через 10 мин. Если механизмы не срабатывают, оператор в
соответствии с инструкцией должен выключить выключатель, чтобы предотвратить
разрушение бака из-за переполнения.
Рис. 13.8. Принципиальная схема для примера 4 (определение системы;
конечное событие — разрушение бака; начальные условия — переключатель включен,
контакты замкнуты; недопустимые события — отказы кабеля, внешние
воздействия, нарушения слива из бака, повторное включение системы во время цикла
после начального включения):
- источник питания;
2 — переключатель; 3 — оператор; 4 — контакты; 5 — насос; 6 — бак;
7 — обмотка таймера
502

а. Пренебрегая вторичными отказами и· другими воздействиями, построить
дерево отказов и определить аварийные сочетания, при которых могло бы
произойти разрушение бака.
б. Данные об отказах и ремонтах сведены в табл. 13.12. Используя эти
данные, вычислить с помощью упрощенных методов ожидаемое число отказов в год,
связаных с разрушением бака, при этом предположить, что система
неремонтопригодна (или нет в наличии ремонтного оборудования).
13.12. Данные по надежности
Элемент
Бак
Выключатель
Обмотка и механизм
таймера
Контакты таймера
Источник питания
Насос
Вид отказа
Разрушение
Отказ в выключенном
положении
Переходит в выключенное
положение
Отказ во включенном
положении
Переходит во включенное
положение
Отказ
Сгорает
Отказ в разомкнутом
положении
Переходит в разомкнутое
положение
Отказ в замкнутом положении
Переходит в замкнутое
положение
Перенапряжение
Отключение
»
Перегрев
Короткое замыкание
λ, ч-ι
10-7
10-5
10-9
10-6
10-9
2χ10-5
10-4
10-4
10-9
10-5
10-9
10-6
10-3
Ю-з
10-4
10-4
Т, ч
500
10
10
10
10
10
10
20
20
20
20
50
50
30
30
40
Коэффициент простоя для оператора =10% =0,1.
в. Стоимость бака составляет 50 000 долл., а потери из-за простоя системы —
1200 долл. в 1 ч. Таким образом, расходы, связанные с каждым разрушением
50 000 долл.+ (1200 долл.) (500) = 650 000.
В настоящее время нет в наличии механика для проведения какого-либо
ремонта, а распределенная стоимость содержания ремонтных средств (механик и
необходимое оборудование) составляет 10 000 долл. в год. Целесообразно ли
иметь ремонтные средства?
г. Вычислить относительную значимость элементов по Фусселю — Везели.
д. Показать, что классификация чувствительности по Бирнбауму приводит
к ложному результату.
Решение.
а. Дерево отказов показано на рис. 13.9. Следует заметить, что здесь за
отказами элементов оборудования всегда следует логический элемент «ИЛИ», что
указывает на наличие первичных отказов и ошибочных команд. За отказами
типа «состояние системы», например «ЭДС через контакт таймера сохраняется
слишком долго», может следовать логический элемент «И». По сравнению с
503

Рис. 13.9. Дерево отказов:
А — контакты таймера не размыкаются; Б —
отказ обмотки таймера (в замкнутом
положении); В — контакты переключателя таймера
замкнуты слишком долго; Г — разрыв бака;
Д — разрушение бака высокого давления; Ε —
разрыв бака из-за избыточного давления;
Ж — электродвигатель работает слишком
долго; 3 — ЭДС в цепи сохраняется слишком
долго; И — ЭДС контакты таймера подается
слишком долго; К — вторичные отказы (не
разработаны); Л — ЭДС подается к контактам
таймера, когда контакты последнего
замкнуты, Μ — выключатель не выключается, когда
контакты таймера замкнуты; Я — оператор не
может выключить выключатель; О —
выключатель не выключается, когда оператор
пытается выключить его; Я — выключатель не
выключается
рис. 2.24 данное дерево отказов проще,
так как здесь не рассматриваются
отказы аварийной сигнализации.
Структурная функция, полученная
по виду дерева отказов, такова:
Ψ (У) = у ι V (Уз ν г4) ν (ν з V кб) V
ν(Κ2ν ГБ) v(K2v Г4).
Пятью аварийными сочетаниями
являются:
А-1
В-3
4
с-з
D-2
5
5
Е-2
4
Разрушение бака (РБ)
Отказ обмотки таймера во
включенном положении (ОВ)
Отказ оператора (О)
Отказ обмотки таймера во|
включенном положении (ОВ)
Отказ контактов таймера в|
замкнутом положении (К)
Отказ выключателя во
включенном положении (П)
Отказ выключателя во
включенном положении (П)
Отказ контактов таймера в|
замкнутом положении (К)
Отказ оператора (О)
λ, ч-1
10-7
2χ10-5
2χ10-5
2x10-5
10-6
10-6
10-5
tr ч
1 500
10
10
20
10
10
20
0,1
0,1
б. Так как элементы считаются невосстанавливаемыми, то ожидаемое число
отказов в год Qs=(8760 ч); Qi* — коэффициент простоя для аварийного соче-
п η
тания из η событий определяется по формуле Qt* = Π Qj ~ Π (λ;0>
а коэффициент простоя системы Qs = 2 Ql ·
i=l
Если рассматривать возможность ремонта для каждого элемента, то
η η
;=ι
7-1
504

Аварийное I
сочетание
A-1
В-3
4
C-3
5
D-2
5
E-2
4 ι
h
10-7
2χ10-5
2X10-5
10-6
10-5
10-6
10-5
ОЧО/год, №
8,76X10-*
(8760)(2χ10-5)(0,1)=
= 1,75x10-2
(2χ10-5)(10-6)(8760)2 =
= 1,53x10-3
(10—5)( 10—6)(8760)2 =
=7,67x10-4
(10—5)(8760)(0,1) =
=8,76x10-3
Σ<?1=2,94ХЮ-2
Qj-λτ
5x10-5
2x10-4
0,1
2χ10-4
10-5
2Χ10-4
10-5
2χΐ0-4
0,1
<?/*
5χ10-5
2Х10-5
2χ10-9
2χ10-9
2χ10-5
Σλ·=3,1)
W*^l, 4—!
10-7
2X10-6
4x10-10
3x10-10
10-6
Κ10-6
Из столбца З видно, что ожидаемое число отказов системы в год равно
2,94Χ 10-2; таким образом, если нет механика, то стоимость из-за отказов
оценивается в (2,94Х 10~2) (650 000 долл.) = 19 110 долл.
в. Если имеются ремонтные средства, нужно вычислить ожидаемое число
отказов для аварийных сочетаний по формуле
λ*.
Результаты этих вычислений даны в приведенной выше таблице в столбцах
4, 5 и 6. Для аварийного сочетания Л, например,
ί)-6 1Э-5
; = (2Х 1J-9)
/ 10-*
[ 13-S
1-
ЗХ 10-ю « λ*.
-5 ' 2 χ 10-4
Ожидаемое число отказов в год 8760λ*= (8760) (3,1 Х10"6) = 2,72х10"2 с
риском экономических потерь (2,72 X Ю-2) (650 000 долл.) = 17 655 долл.
Таким образом, за счет ремонтных средств экономится только 19 110 долл.—
17 655 долл. = 1455 долл. в год, а такая экономия неоправдана. Это объясняется
главным образом высокой частотой отказов по вине оператора при аварийных
сочетаниях В и Е, которые вносят наибольший вклад в ожидаемое число отказов.
г. Значимость элемента по Фусселю — Везели определяется как
gi (Q (0)
g (0 (0)
Таким образом,
hR =
8,76 X 10-4
hc =
2,94 χ 10-2
1,75 χ 10-2 + 1,53 χ ΙΟ-3
= 2,97 χ 10-2;
0,65;
/ο =
/.* = -
/с-
2,94 χ 10—2
1,75 Χ 13-2+ 8,76 Χ 1Э-3
2,94 χ 10-2
1,53 χ 13-3+7,67 Χ 1Э-4
2,94 χ 10-2
7,67 χ 13-4 + 8,76 Χ ΙΟ"3
2,94 Χ 13-2
= 0,89;
= 0,08;
= 0,32
Аэ > he > ^c > h > Itr >
0,89 > 0,65 > 0,32 > 0,08 > 0,03.
505

Самым слабым звеном является оператор, за которым следует обмотка
таймера. Разрушение бака, хотя оно находится в аварийном сочетании из одного
события, вносит наименьший вклад в вероятность отказа системы.
д. Значимость по Бирнбауму 6Qs/6Qi можно определить путем
дифференцирования
Qs = Qtr + QtcQo + QtcQs + QcQs + QcQo
(верхняя граница коэффициента простоя).
Для невосстанавливаемой системы
%Qtr
he = Qo + Qs = 0,01 +о,оэ87б = ο,ΐ;
Ό = QtC + Qc = 0,175 + 0,0876 = 0,26;
*s = Ore + Ос «0,175 + 0,0876 =0,26;
/c = 05 + 0o=0,175 + 0,1=0,275;
Itr > Ic > fo = As > ^rc·
Этот результат нелогичен. Очевидно, что разрушение бака не должно
предшествовать отказу по вине оператора по классификации в соответствии с
вносимым вкладом в отказ системы.
Пример 5. РАЗРУШЕНИЕ БАКА ВЫСОКОГО ДАВЛЕНИЯ
Система с баком высокого давления и дерево отказов (рис. 2.27) были
рассмотрены в гл. 2. На рис. 13.10 представлен сокращенный вариант этого дерева,
а относящиеся к нему данные по отказам приведены в табл. 13.13. Следует
заметить, что вторичные отказы бака или выключателя S1, показанные на
рис. 2.27, на рис. 13.10 могут быть двух различных видов.
а. Найти аварийные сочетания, используя программу MOCUS. Рассмотреть
возможные усовершенствования системы.
б. Вычислить параметры отказов системы, используя программу КПТ-1.
в. Используя программу IMPORTANCE, классифицировать элементы по
значимости их вклада в отказ системы за время, равное 20 или 1000 ч.
Решение.
а. Входные и выходные данные программы MOCUS таковы:
ЗАДАЧА ДЛЯ БАКА ВЫСОКОГО
ДАВЛЕНИЯ — ВХОДНЫЕ ДАННЫЕ
* DATA
7 BOTH PRINT
END
TOP
Οι
G2
G3
G4
G5
G6
G7
Gh
*TREE
OR
OR
OR
AND
OR
OR
OR
OR
OR
1
1
1
2
2
0
0
1
0
2
1
2
0
0'
3
3
2
3
Gi
G2
G3
Gi
G6
c6
c9
G8
Сц
Ci
c3
c4
G5
G-,
c7
£ц>
С12
Си
c2
C5
Cz
Си
С\з
Си
506

МИНИМАЛЬНЫЕ АВАРИЙНЫЕ СОЧЕТАНИЯ
ДЛЯ ВЕРХНЕЙ ЧАСТИ ЛОГИЧЕСКОЙ
СХЕМЫ. АВАРИЙНЫЕ СОЧЕТАНИЯ
С ОДНИМ ЭЛЕМЕНТОМ
1) Сх
2) С2
3) С3
4) С4
о) С5
АВАРИЙНЫЕ СОЧЕТАНИЯ ИЗ ДВУХ
ЭЛЕМЕНТОВ
1) С9 С6
2) С14 С6
3) С10 С6
4) Сп С6
δ) Cl2 C6
6) С13 С6
7) С15 Сб
8) С16 С6
9) Cq C7
Ю) С9 С8
11) С14 С7
12) С14 С8
13) С10 С7
14) С10 С8
15) Сп С7
16) Сп С8
17) С12 С7
18) С\2 Съ
19) С13 С7
20) С13 С8
21) С15 С7
22) С15 С8
23) С16 С7
24) С16 С8
ОБЩЕЕ ЧИСЛО НАЙДЕННЫХ АВАРИЙНЫХ
СОЧЕТАНИЙ —29
МИНИМАЛЬНЫЕ ПРОХОДНЫЕ СОЧЕТАНИЯ
ДЛЯ ВЕРХНЕЙ ЧАСТИ ЛОГИЧЕСКОЙ СХЕМЫ
ПРОХОДНЫЕ СОЧЕТАНИЯ ИЗ 8 ЭЛЕМЕНТОВ
1) С$ С ι C<i С3 С4 С5 С7 С8
ПРОХОДНЫЕ СОЧЕТАНИЯ ИЗ 13 ЭЛЕМЕНТОВ
1) ^9 ^1 ^2 ^3 ^4 ^5 ^14 ^10 ^11 ^12 ^13 ^15 ^16
ОБЩЕЕ ЧИСЛО НАЙДЕННЫХ ПРОХОДНЫХ СОЧЕТАНИЙ —2
При помощи программы было найдено 29 аварийных сочетаний, пять из
которых являются сочетаниями с одним элементом, а 24 — сочетаниями из двух
событий. Были найдены также проходные сочетания. Следует заметить, что они
намного длиннее и в определенном смысле содержат меньше полезной
информации.
Видно, что наряду с возможными видами отказов самого бака к отказу
системы может привести также первичный отказ контактов К2, что создает
507

6
6s
δ
Конечное
событие
6Ч
ж
Ж
I г I
ж
^>
^>
ь
Η
6s
<·>&<$>
<£> 0 <£> ® 1 6' 1 <&>
<»>
<*>
Рис. 13.10. Дерево событий для бака высокого давления
>08

13.13. Коды событий и данные по отказам
Исходное
событие i
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Описание исходного события
Отказ бака высокого давления
Вторичный отказ бака высокого
давления из-за неправильного выбора
Вторичный отказ бака высокого
давления из-за выхода условий за
допустимые пределы
Контакты реле К2 не размыкаются
Вторичный отказ реле К2
Вторичный отказ контактного
датчика давления
Контакты датчика давления не
размыкаются
Контактный датчик не срабатывает
при избыточном давлении
Вторичный отказ выключателя S1
Контакты выключателя S1 не
размыкаются
Внешняя сила сохраняется на
выключателе взведения S1
1 Контакты реле К1 не размыкаются
Вторичный отказ реле К1
Таймер не отсчитывает время из-за
неправильной установки
Контакты реле таймера не
размыкаются
Вторичный отказ реле таймера
λ, ч-'
ΙΟ"»
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
10-5
1, ч
50
50
50
50
50
50
50
50
50
50
50
50
50
50
50
очень трудную ситуацию. Следовало бы модифицировать конструкцию, введя по
крайней мере предохранительный клапан на баке высокого давления. Можно
также рассмотреть вопрос о включении контактов таймера в схему двигателя
насоса, исключив тем самым отказ системы с одним событием. Следует также
заметить, что предохранительные устройства должны непосредственно
контролировать сам процесс и не контролировать другие предохранительные устройства,
как это выполняет реле времени в данном примере.
б. Выходные данные (сокращенные) программы ΚΙΤΤ в виде верхних
пределов для системы при Г от 0 до 80 показаны в табл. 13.14.
Характеристики отказов для элементов 2—16 идентичны, так же как и
характеристики для аварийных сочетаний 2—5 (которые равны соответствующим
значениям для элементов) и сочетаний 6—29 (аварийные сочетания из двух
событий). Интересный аспект данной задачи заключается в том, что здесь имеют
место отказы как невосстанавливаемых (событие 1), так и восстанавливаемых
(все другие) элементов. Таким образом, можно ожидать значения Q для
установившегося состояния для аварийных сочетаний 2—29, но не для системы в
целом, или для аварийного сочетания 1 (элемент 1).
в. Данная проверка различных критериев значимости является интересной,
так как следует подтвердить некоторые результаты, основанные на «здравом
смысле»:
1) категория элемента 1 (единственного невосстанавливаемого) со временем
должна повыситься;
2) Поскольку все элементы, кроме 1, имеют идентичные значения τ и λ, то
совершенно ясно, что их начальные категории значимости располагаются по
порядку, приведенному в табл. 13.15 [элемент 1 при λ=10~8 должен занимать
промежуточное положение между аварийными сочетаниями с одним событием
{λ=10-5) и с двумя событиями (λ=10-10)].
509

13.14. Выход машинной программы KITT
Т, ч
W
WSUM
FSUM
0,000
2,0004-001
4,000+001
6,000+001
8,000+001
0,000
2,000 + 001
4,000+001
6,000+001
8,000+001
0,000
2,000+001
4,000+001
6,000+001
8,000+001
0,000
2,000 + 001
4,000 + 001
6,000+001
8,000+001
0,000
2,000+001
4,000+001
6,000+001
8,000+001
т, ч
Характеристики для элемента Л£ 1
0,000
2,000—007
4,000—007
6,000—007
8,000—007
1,000—008
1,000—0С8
1,000—0С8
1,000—008
1,000—008
1,000—0С8
1,000—008
1,000—008
1,000—008
1,000—0С8
0,000
2,000—007
4,000—007
6,000—007
8,000—007
Характеристики для элементов Л§ 2-+16
0,000
2,000—004
3,999-004
4,998—004
4,998—004
1,000—005
9,998—ОС 6
9,996—ОС 6
9,995—006
9,995—ОС 6
1,000—005
1,000-^005
1,000—005
1,000—005
1,005—005
0,000
2,000—004
3,999—004
5,998—004
7,997—004
Информация по минимальным сочетаниям
Характеристики для сочетания № 1
0,000
2,000—007
4,000—007
6,000—007
8,000—о07
1,000—008
1,000—008
1,000—008
1,000—008
1,000—008
1,000—008
1,000-008
1,000—008
1,000—008
1,000—008
0,000
2,000—007
4,000—007
6,000—007
8,000—007
Характеристики для сочетания Μ 2-+5
0,000
2,000—007
3,999-004
4,998—004
4,998—004
1,000—005
9,998—006
9,996-006
9,995—006
9,995—006
1,000—005
1,000—005
1,000—005
1,000—005
1,000—005
0,000
2,000—004
3,999-004
5,998—004
7,997—004
Характеристики для сочетания ЛЬ 6-+29
0,000
3,999—008
1,599—007
2,498—007
2,498-007
0,000
3,999—009
7,995-009
9,992-009
9,991—009
0,000
3,999—0:9
7,995-009
9,992—009
9,991—0С9
0,000
3,999—008
1,599—007
3,398—007
5,396—007
0,000
2,000—007
4,000—007
6,000-007
8,000—007
0,000
2,000—004
3,999—004
5,998—004
7,997—004
0,000
2,000-007
4,000—007
6,000—007
8,000—007
0,000
2,000—007
3,999—004
5,998-004
7,997—004
0,000
3,999—008
1,599—007
3,398—007
5,396—007
Информация по системе — верхние пределы
Дифференциальные характеристики — верхние пределы
Q . W L
0,000 000 00
2,000 000 00+001
4,000 000 00+001
6,000 000 00 + 001
8,000 000 00+001
0,000 000 00
8,008 189 32—004
1,602 922 27—003
2,004 134 52-003
2,004 383 14—003
4,001000 00—005
4,009 796 98—005
4,018 58847—005
4,022 978 11—005
4,022 978 11-005
4,001000 00-005
4,013 010 68—005
4,025 040 30-005
4,031 057 90—005
4,031057 90-005
т, ч
Интегральные характеристики — верхние пределы
WSUM FSUM
000 000 00+001
000 000 00+001
000 000 00+001
000 000 00+001
8,010 796 98-
1,603 918 24-
2,408 075 18-
3,212 671 07-
-004
-003
-003
-003
8,010 800 31—004
1,603 918 51-003
2,407 912 60-003
3,211859 07—003
КОНЕЦ ВЫВОДА ДАННЫХ ПРОГРАММЫ ΚΙΤΤ-1
510

13.15. Структурная значимость
Элемент
2, 3, 4, 5
1
6
7
8
•9
10
11
12
13
14
15
16
Появление в аварийных сочетаниях
с одним событием
1
1
—
—
—
-—
—
—
—
—
—
—
с двумя событиями
—
8
8
8
3
3
3
3
3
3
3
3
Категория
Равны— 1
Вторая
Третья
—
—
Четвертая
—
—
—
—
—
—
Исходя из полученных результатов, следует отметить, что требуется нечто
♦большее, чем «здравый смысл», чтобы интерпретировать классификацию,
приведенную в табл.· 13.16 и полученную из выходных данных различных машинных
.программ.
Пример 6. ПРИГОДНОСТЬ МОДЕЛИ С ПОСТОЯННОЙ ЧАСТОТОЙ
ОТКАЗОВ
• Рассмотрим ситуацию, когда большая химическая установка должна
останавливаться в случае отказа холодильного компрессора. По этой причине на
этапе проектирования установки было решено ввести два компрессора: один —
«рабочий, второй — запасной. В среднем, как ожидается, компрессор отказывает
1 раз в год, и требуется 30 дней на его ремонт и 5 дней на демонтаж и
повторную установку.
а. Вычислить коэффициент готовности установки для случая однократного
л двукратного резервирования компрессора, принимая: 1) распределение
Пуассона и 2) приближенные значения коэффициента готовности для
установившегося состояния.
б. Фактические данные по отказам установки приведены в табл. 13.17.
Сравнить фактические данные с расчетными значениями.
Решение.
а-1) Анализ по Пуассону. Предположим ситуацию, когда отказавшие
элементы один за другим заменяются новыми. Как показано в прил. 4.3, для
элементов с постоянной частотой отказов вероятность того, что произойдет Μ или
.меньше отказов за время t, в соответствии с распределением Пуассона
м
F(M) = 2
ί-0
■ exp ( — It).,
(13.1)
агде λ — постоянная частота отказов, т. е. условная интенсивность отказов.
Вероятность того, что произойдет именно Μ отказов за время t,
Pr (M отказов) =
(λθ
м
Ml
ехр( —λΟ,
(13.2)
&11

13.16. Выходные данные программы IMPORTANCE
к
Я
о.
о
<v
я
*
дное
тие
««
s8
Значимость *
Мера значимости исходных событий4
по Бирнбауму
Заданная наработка — 0,200+02*
1
4
2
3
5
1
6
8
7
9
10
11
12
13
14
15
16
0,100+01*
0,100+01*
0,100+01*
0,100+01*
0,999+00*
0,132—02*
0,132-02*
0,115-02*
0,659-03*
0,494—03*
0,494—03*
0,494—03*
0,494—03*
0,494—03*
0,494—03*
0,494—03*
Заданная наработка — 0,100+04*
1
1
1
1
2
3
3
4
5
6
6
6
6
6
6
6
4
2
3
5
1
6
8
7
9
10
11
12
13
14
15
16
0,998+00*
0,998+00*
0,998+00*
0,998+00*
0,998+00*
0,398+02*
0,398+02*
0,349+02*
0,199+02*
0,150+02*
0,150—02*
0,150—02*
0,150—02*
0,150-ч02*
0,150—02*
0,150—02*
Значимость исходных событий по
критичности
0,250+00*
0,?50+00*
0,250+03*
0,250+00*
0,329-03*
0,329—03*
0,303—03*
0,288—03*
0,165—03*
гория
<L>
я
X
6
6
6
6
6
6
6
дное
тие
S 2
з?
£8
10
11
12
13
14
15
16
Значимость *
0,123—03*
0,123—03*
0,123—03*
0,123—03*
0,123-03*
0,123-03*
0,123-03*
4
2
3
5
1
6
8
7
9
10
11
12
13
14
15
16
0,248+00*
0,248+00*
0,248+00*
0,248+00*
0,496—02*
0,989—03*
0,989—33*
0,865-03*
0,495—03*
0,371—03*
0,371—03*
0,371—03*
0,371—03*
0,371—03*
0,371—03*
0,371—03*
1
1
1
1
2
3
3
4
5
б
6
6
6
6
6
Мера значимости исходных событии
по Фусселю— Везели
Заданная наработка — 0,200+02*
1
1
1
1
2
2
3
4
5
6
6
6
6
6
6
6
4
2
3
о
8
6
1
7
9
10
11
12
13
14
15
16
0,250+00*
0,250+00*
0,250+00*
0,250+00*
0,329—03*
0,329—03*
0,303-03*
0,288—03*
0,165—03*
0,123-03*
0,123--03*
0,123—03*
0,123-03*
0,123—СЗ*
0,123-03*
0,123-03*
512

Продолжение табл. 13.16
Значимость *
Заданная наработка — 0,100+04*
0,248+00*
0,248+00*
0,248+00*
0,248+00*
0,497—02*
0,992—03*
0,992—03*
0,868—03*
0,496—03*
0,372—03*
0,372—03*
0,372—03*
0,372—03*
0,372—03*
0,372—03*
0,372—03*
Мера значимости исходных событий
по Барлоу — Прошану
Заданная наработка — 0,200+02*
1
1
1
1
2
3
3
4
5
6
6
6
6
6
6
6
4
2
3
5
1
6
8
7
9
10
11
12
13
14
15
16
]
1
1
1
2
3
3
4
5
6
6
6
6
6
6
6
4
2
3
5
1
6
8
7
9
10
И
12
13
14
15
16
0,250+00*
0,250-j O0*
0,250+00*
0,250+00*
0,250—03*
0,178—03*
0,178—03*
0,155—03*
0,888—04*
0,666—04*
0,666-04*
0,666—04*
0,666—04*
0,666—04*
0,666—04*
0,666—04*
Заданная наработка — 0,100+04*
4
2
3
5
8
6
7
9
0,249+00*
0,249+00*
0,249+00*
0,249+00*
0,940—03*
0,940—03*
0,823—03*
0,471—03*
гория
<v
Кат
5
5
5
5
5
5
5
6
дное
тие
о з
1?
16
10
11
12
13
14
15
1
Значимость *
0,353—03*
0,353—03*
0,353—03*
0,353—03*
0,353^-03*
0,353—03*
0,353—03*
0,249—03*
Значимость исходных событий
по последовательности воздействий
Заданная наработка — 0,200+02*
1
1
2
3
4
4
4
4
4
4
4
5
5
5
5
5
8
6
7
9
12
10
11
16
15
13
14
2
3
4
5
1
0,177—03*
0,177—03*
0,155—03*
0,888—04*
0,666—04*
0,£66—04*
0,666—04*
0,666—04*
0,666-04*
0,666—04*
0,666-ч04*
0,000*
0,000*
0,000*
0,000*
0,000*
Заданная наработка—0,100+04*
8
6
7
9
12
10
11
15
13
14
16
2
3
4
5
1
0,906—03*
0,906—03*
0,793—03*
0,454—03*
0,341—03*
0,341—03*
0,341—03*
0,341—03*
0,341—,03*
0,341—03*
0,341—03*
0,000*
0,000*
0,000*
0,000*
0,000*
513

Продолжение табл. 13 ί6
гория ι
Кате
дное
тие
Исхо
собы
Значимость *
Мера значимости аварийных
сочетаний по Барлоу — Прошану
Заданная наработка — 0,200+02*
1
1
1
1
2
3
4
4
4
4
4
5
5
5
5
1
1
1
1
2
■2
3
4
5
6
7
8
9
10
10
Мера значимости аварийных
сочетаний по Барлоу — Прошану
Заданная наработка — 0,200+02*
3
2
3
5
1
28
22
26
24
20
18
23
25
29
27
оаботкс
4
2
3
5
9
И
10
12
1
16
13
14
15
7 ι
8
1 0,250+00*
0,250+00*
0,250+00*
0,250+00*
0,250—03*
0,186—03*
0,186—03*
0,186—03*
0,186—03*
0,186—03*
1 0,186—03*
0,186—03*
0,186—03*
0,186—00*
0,186—03*
ι — Ο,100+04*
0,249+00*
0,249+00*
0,249+00*
0,249+00*
0,267—03*
0,267—03*
0,263—СЗ*
0,251—03*
0,249—03*
0,247—СЗ*
0,247—03*
0,247—СЗ*
0,247—03*
0,235—03*
0,235—03*
Ъ
5
5
6
7
7
7
7
7
7
19
17
21
16
7
13
10
8
9
И
0,186—03*
0,186—03*
0,ί86—03*
0,444—04*
0,444—04*
0,444—04*
0,444—04*
0,444—04*
0,444—04*
0,444—04*
гория
си
Кат
7
8
9
9
дное
тие
2 Я
υ о
12
14
6
15
Значимость *
0,444—04*
0,444—04*
0,444—04*
0,444—04*
Заданная наработка — OJO0+04*
11
12
13
14
15
15
16
16
16
17
17
17
17
17
6
18
17
19
28
20
22
26
24
25
23
27
21
29
0,235—03*
0,112—04*
0,112—04*
0,112-04*
0,108—04*
0,108—04*
0,108—04*
0,108—04*
0,108—04*
0,108—04*
0,108—04*
0,108—04*
0,108—04*
0,108—04*
Мера значимости аварийных
сочетаний по Фусселю — Везели
Заданная наработка — 0,200+2*
1
1
1
1
2
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
4
2
3
5
1
6
7
о
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
0,250+00*
0,250+00*
0,250+00*
0,250+00*
0,303—03*
0,412—04*
0,412—04*
0,412-04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
0,412-04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
0,412—04*
514

Продолжение табл. 13.16
РИМ
о
<υ
н
СО
!*
3
3
3
3
3
3
2 <u
° 3
go
Σ υ
24
25
26
27
28
29
Значимость *
0,412—04*
0,412—04*
0,412—04*
0,412-04*
0,412-04*
0,412—04*
Задание
1
1
1
1
2
3
3
3
3
гя наработка — 0,100+4*
4
2
3
5
1
6
7
8
9
0,248+00*
0,248+00*
0,248+00*
0,248+00*
0,497—02*
0,124—03*
0,124—СЗ*
0,124—СЗ*
0,124—03*
рия
о
<υ
Кат
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
3
go;
£ я
9 А
3*>
58
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29 1
Значимость *
0,124—03*
0,124—03*
0,124—03*
0,124—03*
0,124—03*
0,124—03*
0,124-03*
0,124—03*
0,124—03*
0,124—03*
0,124—03*
0,124—03*
0,124—ОЗ*
- 0,124-03*
0,124—03*
0,123-03*
0,124—03*
0,124—03*
0,124—03*
0,124—03*
13.17. Данные по отказам
.J4H отказа
компрессора
1
2
3
4
Наработка
до отказа,
дни
100
<!
1250
595
№ отказа
компрессора
5
6
7
8
Наработка
до отказа,
ДНИ
221
1
1
223
а при условии, что произведение Xt достаточно мало
tto '
Pr (M или больше отказов) = у ·
i I
exp (— It)
(Щ
Μ
All
-exp ( — λί) = Pr (Λί отказов).
(13.3)
(13.4)
В последующих вычислениях пренебрегаем всеми членами более высокого
порядка и принимаем, что события с вероятностями, почти равными единице, всегда
происходят. Далее принимаем, что первый компрессор отказывает на трехсотый
день. Распределение Пуассона * свидетельствует о том, что вероятность второго·
1 Следует заметить, что, используя марковский подход, изложенный в гл. 8,
можно провести точный анализ системы с ненагруженным резервом. Однако он
дает приблизительно такие же результаты, что и приводимый здесь анализ по
Пуассону.
515

отказа в течение 35 дней определяется выражением (13.2) при М=\:
35 / 35\ 1
— ехр — — « —,
300 *\ 300/ 10
т. е. компрессор отказывает приблизительно в одном случае из десяти. При
такой вероятности можно ожидать, что второй отказ произойдет до того, как
будет отремонтирован отказавший компрессор. В среднем такой отказ
происходит посредине периода ремонта. Таким образом, ожидается, что среднее значение
коэффициента простоя системы
ГГ15-о100% = °'58%·
Если эта величина покажется слишком большой, то проще закупить еще
один компрессор в качестве запасного неустановленного оборудования. Он может
быть легко смонтирован и приведен в действие в течение пяти дней после
отказа первого компрессора. Приближенный анализ этой ситуации показывает, что
система охлаждения становится неработоспособной, если:
а) второй компрессор отказывает в течение пяти дней после первого отказа,
при этом система охлаждения будет простаивать в среднем 2,5 дня, или
б) происходят два отказа в течение 35 дней после первого отказа; в этом
случае система охлаждения будет простаивать в среднем 15 дней.
В соответствии с распределением Пуассона вероятность второго отказа в
течение пяти дней после первого отказа
5 / 5\
— ехр —— « 0,0164,
300 1 \ 300/
а вероятность двух отказов в течение 35 дней
— (35/300)2 ехр (—35/300) а 0,0061.
Следовательно, ожидается, что средний коэффициент простоя системы
(0,0164X2,5/300+0,0061 X 15/300) 100% = 0,049%.
а-2. Анализ коэффициента готовности. Так как СНДО-300, а СПР-35,
коэффициент готовности одного компрессора (300)/(335) =0,896. Коэффициенты
простоя для случаев с двумя и тремя компрессорами:
два компрессора: ~А = (1 —0,896)2(100) = 1,08%;
три компрессора: Л = (1 —0,896)3(100) = 0,11%.
Эти коэффициенты простоя соответствуют несколько более консервативным
оценкам, чем в п. а-1. Разница объясняется характером принятых допущений:
они не полностью идентичны, а именно: при анализе коэффициента готовности
принимаются нагруженный резерв, в то время как при анализе по Пуассону
резерв предполагается ненагруженным.
б. Согласно данным, приведенным в табл. 13.18, общая продолжительность
работы составляет 2392 дня, и, следовательно, средняя наработка до отказа
равна приблизительно 300 дням.
Если представить, что система работает как функционирующий компрессор
при наличии лишь установленного резерва, то происходили бы 35-дневные
простои установки после второго, шестого и седьмого отказов компрессора, что
соответствует коэффициенту простоя установки
(105 χ 100)/(2392+ 105) = 4,2%.
Если представить упомянутую выше систему с дополнительным
неустановленным запасным компрессором, то происходили бы 5-дневные простои установки
516

после второго отказа компрессора и 35-дневный простой после седьмого отказа.
Коэффициент простоя установки был бы тогда равен
(40 X 100)/(2392 + 40) = 1,6%.
13.18. Итоговые значения. Расчетный и фактический коэффициенты простоя
Расчетный коэффициент простоя установки
в предположении модели случайных отказов
компрессора по Пуассону
0,58% (отсутствует неустановленное запасное
оборудование)
0,049% (один неустановленный запасной
компрессор)
Коэффициент простоя
экспериментальной
установки %
4,2
1.6
В табл. 13.18 подводятся итоги для этих ситуаций. Между расчетными и
экспериментальными значениями коэффициентов простоя наблюдается большое
расхождение.
Что же неправильно в этих теоретических выкладках?
Повторное изучение зарегистрированных наработок до отказа компрессоров
показывает, что при трех отказах из восьми наработка составляет меньше
одного дня. При средней наработке до отказа, равной 300 дням, и при
использовании модели случайных отказов вероятность отказа в пределах одного дня
после включения равна 1/300 ехр (—1/300), что составляет приблизительно 1/300.
Иначе говоря, в среднем один из 300 отказов должен произойти в течение
суток после включения установки. Экспериментальное значение частоты отказов
этого типа убедительно показывает, что модель случайных отказов не подходит
для данного компрессора и что более подходящей была бы модель, где
преобладают ранние отказы. Этот вывод подтверждается анализом зарегистрированных
данных по Вейбулу. Полученная при помощи этого анализа наилучшая оценка
параметра формы В равна 0,42. На 90% достоверно то, что он меньше 0,60. Это
означает, что распределению Вейбула соответствует уменьшающаяся частота
отказов, которая может существовать в начале U-образной кривой (см.
прил. 4.3).
Данная ситуация не является единичной. В табл. 13.19 приведены
зарегистрированные наработки до отказов подобных компрессоров фирмы «Империал
кэмиклз индастриз».
13.19. Отказ компрессора
№ отказа
1
2
Наработка
до отказа £, дни
745
275
№ отказа
з
4
Наработка
до отказа t, дни
<1
670
Анализ этих данных по Вейбулу дает наилучшую оценку параметра формы,
равную 0,58, и 90%-ную достоверность того, что он меньше единицы.
Нэ основании этих данных можно сделать вывод о том, что по крайней
мере сложные компрессорные установки лучше всего представлять моделью,
в которой особо выделяются ранние отказы. Эту модель можно было бы с
успехом применять также к другому сложному оборудованию. Практика показала,
что огульное, необоснованное применение модели случайных отказов может
привести к неправильным оценкам коэффициента готовности для различных
установок.
517

Пример 7. ИНВЕНТАРИЗАЦИЯ ЗАПАСНОГО ОБОРУДОВАНИЯ
На одном участке имеется 100 клапанов одного типа. В соответствии с
правилами технического обслуживания при отказах предусматривается замена
клапанов на запасные. Снятые клапаны подвергаются ремонту. Обычно период
ремонта составляет две недели. Если частота отказов клапанов этого типа равна
0,5 отказа в год, сколько нужно иметь запасных единиц, чтобы обеспечить
90%-ную вероятность постоянного наличия запаса?
Решение. Для оборудования, которое находится на стадии,
характеризующейся постоянной частотой отказов, вероятность возникновения г (или менее)
отказов этого оборудования за время t определяется распределением Пуассона
(13.1). Сто клапанов, каждый с частотой отказов 0,5 отказа в год, имеют в
среднем 50 отказов в год.
Примем λ=50/ΓθΑ.
Поскольку во время ремонта эти клапаны не функционируют в течение двух
недель, необходимо иметь по крайней мере достаточное количество запасных
клапанов, чтобы справиться с отказами в случае их возникновения в течение
этих двух недель с вероятностью 0,9.
Примем / = 0,04 года, F(M)>0,9.
Ответ можно получить или из таблиц, или последовательно просуммировав
все члены распределения Пуассона. Используя последний метод, получим:
при Λί = 3 /7(Λί) = 0,86;
при Λί=4 F(M)=0,9o,
откуда следует, что при четырех запасных клапанах данное требование
удовлетворяется. В действительности данный ответ может оказаться и неправильным,
так как после первого отказа будет лишь немного случаев, когда на полке
окажется четыре "запасных клапана.
Проблему запасных частей можно решать и другими способами:
моделированием по методу Монте-Карло или при помощи точных марковских методов.
Для этого примера моделирование по методу Монте-Карло работы в течение
более 100 лет показывает, что при М = 4 коэффициент готовности запасных
частей как раз несколько превышает 0,9. Таким образом, в действительности
четырех единиц должно быть достаточно.
Пример 8. АНАЛИЗ ЭКСПЛУАТАЦИОННОЙ ГОТОВНОСТИ ЗАВОДА
Завод сланцевых масел является типичным предприятием по обработке
сырья, так как на нем имеются огромные запасы материалов и установок для
транспортировки, дробления, измельчения и просеивания. Основной проблемой
при проектировании заводов этого типа является приведение в соответствие
пропускной способности, особенно ввиду частых отказов оборудования и частого
профилактического обслуживания.
Технологическая схема получения масла, используемая на заводе в Уайт-
Ривер, показана на рис. 13.11, а на рис. 13.12 представлена соответствующая ей
структурная схема. В табл. 13 20 приведены данные по отказам, ремонтам и
хранению технологического оборудования; нумерация оборудования в табл. 13.20
соответствует нумерации на рис. 13.12. Блоки 7 к 16 представляют собой склады
для хранения крупной и мелкой руды, которые имеют емкостные хранилища,
обеспечивающие производство с заданной производительностью в течение 36
и 7,35 ч. Пунктирными линиями на рис. 13.12 и дополнительными блоками 14
и 15 показана процедура объединения, которая используется для соединения
всех элементов, расположенных «выше по течению», в один сложный блок; эта
процедура используется для того, чтобы получить параметры надежности
подсистемы, расположенной выше по течению от хранилища, как это было сделано
в примере 2 разд. 11.1.5. Вводимый параметр τ=—0,00001 для блоков 14 и 15
представляет собой входные данные в ЭВМ, учитывающие объединение элементов
в единый блок, за которым следуют хранилища или простые последовательно
расположенные элементы. Сокращенная структурная схема приведена на
рис. 13.13, после чего минимальные аварийные сочетания легко определяются
как:
518

.от самосвалов
±^
Г
А
—**
2
А
3
А
—^
4
—*·]
5
—^
6
Нплас-
s—^тинча-
/7Н
^V Τποψβ-
V У чини β
С 6 7Z5 6725 6 725 13 450 26 900 26 900
ΰ 5 5 5 Ζ 1 /
Ε Ч- Ч Ч Ζ 1 1
F 26900 26900 26 900 26900 26900 26900
10
мнпай
_L
ι сланца
8
В
С 1700
—»»
9
34-00
к-^-
/0
В
3400
г"^
11
J 400
—*■
12
\ В
3400
\
13
3400
14
L»- ре тортом
В 10 5 5 5 5 5
Ε 8 Ч Ч Ч Ч 4
F13600
13 600
13600
73600
13600
13600
Рис. 13.11. Технологическая схема получения сланцевых масел на заводе в
Уайт-Ривер:
•С — пропускная способность единицы оборудования, т/ч; Д — общее число единиц
оборудования; Ε — в том числе работающих; F — полная пропускная способность, т/ч; /, 8 —
пластинчатые погрузчики А и В; 2, 12 — валковые дробилки А и В; 3, 10 — ленточные
погрузчики; 4 — сборный конвейер; 5 — транспортный конвейер; 6— разгрузочный конвейер с
опрокидывателем; 7 — склад крупного сланца; 9 — дробилка вторичного дробления; // —
одноступенчатые вибрационные грохоты; 13 — двухступенчатые вибрационные грохоты; 14 —
реторта с крупными фракциями сланца; 15 — реторта с мелкими фракциями сланца
13.20. Данные по отказам, ремонтам и хранению для технологического
оборудования
Элемент
/
2
3
4
5
6
7
8
9
10
и .
12
13
14
15
16
Название
Пластинчатый погрузчик А
Валковая дробилка А
Ленточный погрузчик А
Сборный конвейер
Транспортный конвейер
Конвейер с опрокидывателем
Склад крупного сланца
Пластинчатый погрузчик В
Дробилка вторичного дробления
Ленточный погрузчик В
Одноступенчатый вибрационный грохот
Валковая дробилка В
Двухступенчатый вибрационный грохот
Цепная передача дробилки крупного
дробления
Цепная передача дробилки вторичного
дробления
Хранение мелких сланцев
λ, ч-1
0,003
0,0015
0,003
0,001
0,0005
0,0005
0
0,002
0,001
0,002
0,003
0,001
0,0003
0
0
0
τ, ч
25
50
25
25
25
25
—36*
25
50
25
15
50
15
—0,000001
—0,000001
—7,35**
* 500 000 т/13 6000 т/ч=36 ч.
** Хранение 100 000 т при производительности 17 000 т/ч.
519

ι—
in-
I
1
X
L4-
Li
to
ш
I ><ч I
ι *·* ι
©
i
1
®
X
1
1 —Ι ι
'£)
I
ч> I
i
ϊ
cm
X
Χ
см
ϊ
Χ
L-Jj
■A
520

χ
14
rfift"
a
Is
*П ы
PS
X
*П Γ*Γ
ex
о
U
со
со
521

ΰ,ΗϋΟ χ-
0,350
I ojoo
t
*» 0,250
ι
0,150 к
Рис. 13.14. Коэффициент простоя
подсистемы
1) (14): отказ цепной передачи
дробилки крупного дробления;
2) (4): отказ сборного конвейера;
3) (4): отказ сборного конвейера
(отказ любого конвейера приводит к
отказу системы в части требуемой
производительности);
4) (5): отказ транспор.тного^кон-
вейера;
5) (6): отказ разгрузочного
конвейера с опрокидывателем;
6) (15): отказ цепной передачи
дробилки вторичного дробления
Следует заметить, что резервные
элементы фактически представляют
собой «цепочку» или ряд элементов,
соединенных параллельно, и что эти
«цепочки» рассматриваются как
отдельная подсистема, для того чтобы
справиться с данной задачей.
В программе ΚΙΤΤ-ΙΤ хранятся
все конечные значения параметров
надежности для подсистемы с
временной задержкой для обращения к
ней в будущих вычислениях. Эти
результаты вызываются из памяти машины так, как если бы подсистема и
временная задержка в совокупности представляли собой единый элемент. Таким
образом, добавление «фиктивной» временной задержки (элемент 14) объединяет
элементы 1, 2 и 3 в виде подсистемы с временной задержкой, определяемой
входными данными для элемента 14. Эту подсистему (с учетом наличия временной
задержки) можно тогда рассматривать как единый элемент (элемент 14) в
будущих вычислениях.
Порядок вычисления параметров надежности подсистемы оставляется
0,100 \-
Ц050Ь
l·
ψ^ίί
Ус Π
^Α
J
{ ^
L
Л
Α
С
β
н г
20
40
60
t.4
80
100
ZOr
15
ΥΙΟ h
*h
b*3
Рис. 13.15. Производительность подсистем
522

Рис. 13.16. Результаты повышения
коэффициента готовности
на усмотрение разработчика
технологического процесса. Обычно
подсистемы рассматриваются последователь-
Л
I
ош
0,350
0,300
но слева направо, если процесс в сие
теме также развивается слева
направо. Подсистемы А, В, С, Д £, F по- §,
казаны пунктирными линиями на рис.
13.12.
Полученные на ЭВМ коэффициен- §
ты простоя Q для различных этапов §"
процесса представлены графически на Ц-
рис 13.14. Можно считать, что при ^
/=100 коэффициенты простоя для ^
всех приведенных подсистем
находятся в установившемся состоянии.
Кривая Ε показывает, что
эксплуатационный коэффициент, равный 0,62, можно
рассматривать как наилучшую оценку
среднего коэффициента готовности
для процесса в целом. Этот
коэффициент готовности относится к
производительности 3400X4=13 600 т/ч
(при четырех работающих цепных
передачах дробилки вторичного
дробления.
Для того чтобы проиллюстрировать, где можно внести изменения в процесс
с целью повышения коэффициента готовности всей системы, на рис. 13.15
представлена диаграмма производительности подсистем, которая является довольно
показательной. В соответствии с выражением (11.35), для того чтобы
поддерживать запасы в хранилище, величина СаАа должна быть больше или равна
CdAd\ и это в данном случае так и есть. Однако CdAd<0,5CaAa. Поэтому, если
необходимо увеличить коэффициент готовности за счет использования
хранилища, можно увеличить производительность подсистемы D.
Если предположить, что желательно иметь коэффициент готовности всей
системы, равный 0,9, при заданной производительности 13 600 т/ч, то это
соответствует требуемому значению средней производительности, равному 13 600X0,9 =
= 12 240 т/ч. Сохранив подсистему А прежней, коэффициент готовности
подсистемы D можно вычислить при помощи выражений
ο,οι >QE* ι—(1—Qb)(1—Qd); (\—Qd)> t °'9nnQ; QD< 0,092.
1 — и ,ииу
Если для повышения коэффициента готовности подсистемы D добавить только
две дополнительные цепные передачи дробилки вторичного дробления, то
получим следующую величину [см. уравнение (11.66)]:
6
Qz> = ι
-Σ
k=4
k\ (6 —Λ)!
(1 —0,245)* (0,245)'
z\?-k
= 0,162.
Для трех резервных цепных передач
V4 7!
k^4
k)\
(1 — 0,245)* (0,245)*-* = 0,066.
что дзет QE=\(\ — 0,009) (1—0,066) =0,074, или Л£ = 0,926.
Таким образом, цель расчета достигнута. Повышение коэффициентов
готовности для подсистем Ε и D показано на рис. 13.16. Несомненно, что для
получения более оптимальной конфигурации необходимо провести дальнейшие
вычисления подобного типа.
523

ОГЛАВЛЕНИЕ
Условные обозначения 5
Предисловие 9
Исторический обзор 12
Глава 1. АНАЛИЗ РИСКА 17
1.1. Надежность, риск и безопасность 17
1.2. Определение и измерение риска 18
1.3. Риск для населения 19
1.4. Кривая Фармера 20
1.5. Отношение общественности и социальные аспекты управления
степенью риска 22
1.6. Законодательные вопросы, относящиеся к риску 26
1.7. Методика изучения риска — стадия I: предварительный анализ
опасности (ПАО) 27
1.8. Методика изучения риска — стадия II: выявление
последовательности опасных ситуаций, дерево событий, дерево отказов . 31
1.9. Методика изучения риска — стадия III: анализ последствий . . 36
1.10. Другие приемы анализа риска: анализ видов отказов и
последствий (АВОП) 38
1.11. Другие приемы анализа риска: анализ критичности 39
1.12. Другие приемы анализа риска: изучение опасностей и
работоспособности 44
1.13. Другие приемы анализа риска: анализ причин — последствий 45
1.14. Оптимальное распределение средств, предназначенных для
уменьшения риска 46
1.15. Обзор и сравнение методов 47
Глава 2. ПОСТРОЕНИЕ ДЕРЕВА ОТКАЗОВ И ТАБЛИЦЫ
РЕШЕНИЙ 52
2.1. Введение 52
2.2. Дерево отказов и таблицы решений 53
2.3. Основные блоки дерева отказов 56
2.3.1. Логические символы 56
2.3.2. Символы событий 61
2.4. Нахождение аварийного события 65
2.4.1. Взаимосвязи элементов и топография системы 65
2.4.2. Характеристики отказов элементов 66
2.4.3. Технические характеристики системы 68
2.4.4. Пример предварительного анализа в прямой
последовательности 69
2.5. Процедура построения дерева отказов 71
2.5.1. Эвристические правила 74
2.5.2. Условия, создаваемые логическими знаками «И» и «ИЛИ» 80
2.6. Построение дерева отказов при помощи таблиц решений ... 87
2.7. Построение дерева отказов для систем со сложными контурами
регулирования 95
2.7.1. Графы прохождения сигналов 96
2.7.2 Графы прохождения сигналов для систем с
многоконтурным регулированием 97
2.7.3. Моделирование исходных отказов 99
2.7.4. Правило Масона 100
2.7.5. Определение конечных событий 102
2.7.6. Классификация отказов типа обрыва в контурах
регулирования 102
2.7.7. Представление уровня L через переменные параметры
источника 103
2.7.8. Дискретное представление переменных параметров
источника ЮЗ
524

2.7.9. Определение исходных отказов, ведущих к опасным
состояниям в системе 106
2.7.10. Замечания 108
Глава 3. КАЧЕСТВЕННЫЙ АНАЛИЗ СИСТЕМ 115
3.1. Аварийные сочетания 115
3.2. Проходные сочетания .115
3.3. Минимальные аварийные и проходные сочетания 116
3.4. Определение минимальных аварийных сочетаний (отсутствуют
исключающие исходные события) 117
3.5. Определение минимальных проходных сочетаний (отсутствуют
исключающие исходные события) 119
3.6. Определение минимальных аварийных сочетаний (исключающие
исходные события) 120
3.7. Определение минимальных проходных сочетаний (исключающие
исходные события) 124
3.8. Анализ при общем характере отказов 125
3.8.1. Аварийные сочетания с общим характером отказов .... 125
3.8.2. Общие причины и исходные события 126
3.8.3. Определение аварийных сочетаний с общим характером
отказов 129
3.9. Упрощение таблиц решений: основные импликанты 132
ЗЛО. Применение таблиц решений для систем, имеющих контуры
регулирования 145
3.10.1. Описание системы 146
3.10.2. Определение системы и предварительное рассмотрение . . 148
3.10.3. Таблицы критических переходов 148
Глава 4. КОЛИЧЕСТВЕННАЯ ОЦЕНКА ИСХОДНЫХ СОБЫТИЙ . . 158
4.1. Условная и безусловная вероятности 159
4.1.1. Определение условной вероятности 159
4.1.2. Правило цепи 160
4.1.3. Другое выражение для условной вероятности 161
4.1.4. Независимость 162
4.1.5. Правило моста 162
4.2. Вероятностные параметры элементов с двумя возможными
состояниями 163
4.2.1. Ремонт — отказ 164
4.2.2 Полный цикл (ремонт — отказ — ремонт) 169
4.2.3. Вероятностные параметры для процесса ремонт — отказ . . 172
4.2.4. Вероятностные параметры для процесса отказ — ремонт . . 176
4.2.5. Вероятностные параметры для полного цикла 178
4.3. Основные зависимости между вероятностными параметрами . . 183
4.3.1. Соотношения для процессов ремонт — отказ 183
4 3.2. Соотношения для процесса отказ — ремонт 187
4.3 3. Соотношения для полного цикла 188
4.4. Анализ моделей при постоянной частоте отказов и частоте
ремонтов 193
4.4.1. Процесс ремонт — отказ при постоянной частоте отказов . . 193
4.4.2. Процесс отказ — ремонт при постоянной частоте ремонтов 194
4.4.3. Использование преобразования Лапласа для анализа
полного цикла 196
4.4.4. Марковский анализ полного цикла при постоянной частоте 200
4.5. Статистические распределения параметров для процессов
ремонт— отказ и отказ — ремонт 201
4.6 Анализ полного цикла с общей частотой отказов и ремонтов 201
4.7. Определение параметров распределения 204
4.7.1. Определение параметров для процесса ремонт — отказ . . 206
4.7.2. Определение параметров для процесса отказ — ремонт . . 215
4.8. Количественная оценка элементов с несколькими видами
отказов 219
525

4 9. Количественная оценка воздействий со стороны окружающей
среды 222
4.10. Количественная оценка ошибок человека 224
/лава 5. ДОВЕРИТЕЛЬНЫЕ ГРАНИЦЫ ДЛЯ ПАРАМЕТРОВ
НАДЕЖНОСТИ 236
5 1. Введение 236
5^27^Классическое определение границ доверительности 237
5.2.1. Общие принципы 237
5.2.2. Виды ресурсных испытаний 240
5.2.3. Нижняя и верхняя границы доверительности для средней
наработки .до отказа 240
5.2.4. Доверительные границы для биномиального
распределения 243
5 3. Бейесово распределение и границы доверительности 245
5.3.1. Основной принцип 245
5.3.2. Теорема Бейеса для непрерывных переменных 246
5.3.3. Доверительные границы 248
Глава 6. БАЗЫ ДАННЫХ 253
6 1. Банки данных 253
6.2. Данные, связанные с появлением событий 253
6 3. Банки данных по показателям надежности 258
6 4. Банки данных по возможным последствиям 268
6.5. Оценка данных 269
6 6. Табулирование данных по отказам 270
Слава 7. КОЛИЧЕСТВЕННЫЕ АСПЕКТЫ АНАЛИЗА СИСТЕМ ... 281
7 1 Введение 281
7 2. Коэффициенты готовности и простоя для простых ситем с
независимыми исходными событиями 284
7.2.1. Независимые исходные события 284
7 2 2. Система с одним логическим знаком «И» 284
7 2.3. Система с одним логическим знаком «ИЛИ» 284
7.2.4. Система выбора типа т из η 286
7 2 5. Вычисление коэффициента готовности на основе
структурной схемы надежности 290
7.3. Определение коэффициентов готовности и простоя при помощи
таблиц истинности 293
7.3 1. Система с одним логическим знаком «И» 293
7.3.2. Система с одним логическим знаком «ИЛИ» 293
7.4. Определение коэффициентов готовности и простоя при помощи
структурных функций 297
7.4.1. Структурные функции 297
7.4 2. Представление системы в виде структурных функций . . . 299
7.4.3. Вычисление коэффициента простоя с использованием
структурных функций 300
7 5. Определение коэффициента простоя при помощи минимальных
аварийных или минимальных проходных сочетаний 302
7.5.1. Определение коэффициента простоя при помощи
минимальных аварийных сочетаний 302
7.5.2. Определение коэффициента простоя при помощи
минимальных проходных сочетаний 304
7.5.3. Определение коэффициента простоя при помощи частичного
осевого разложения 306
7.5.4. Определение коэффициента простоя при помощи принципа
включения — исключения 307
7.6. Нижний и верхний пределы коэффициента простоя системы .- . 308
7.6.1. Определение верхнего и нижнего пределов с
использованием принципа включения — исключения 308
J26

7.6.2. Нижний и верхний пределы по Эзэри и Прошану .... 309·
7.6.3. Определение нижнего и верхнего пределов с
использованием частичных минимальных аварийных и проходных
сочетаний 310
7.7. Количественная оценка систем при помощи машинной
программы KITT 311
7.7.1. Обзор программы KITT 311
7.7.2. Параметры для минимального аварийного сочетания .... 315
7.7.3. Коэффициент простоя системы Qs(t) 321
7.7.4. Параметр системы w8(t) 323-
7.7.5. Другие параметры системы, вычисляемые при помощи
программы KITT 332
7.7.6. Упрощенные методы вычислений 333
7.7.7. Ограничительный логический знак 335
7.7.8 Замечания по методам количественных оценок 337
Глава 8. КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМ ДЛЯ ЗАВИСИМЫХ
ИСХОДНЫХ СОБЫТИЙ 345·
8.1. Введение 345
8.2. Количественная оценка систем, включающих резервирование . . 346
8.2.1. Марковская модель для резервирования 349*
8.2.2. Параметр резервирования Qr(t) 351
8.2.3. Установившееся значение параметра резервирования Qr(t) 361
8.2.4. Параметр системы ws(t) 365
8.3. Количественная оценка систем, подверженных отказам с
общей причиной 365-
8.3.1. Количественная оценка общих причин 366·
8.3.2. Коэффициент простоя системы Qs(t) 367
8.3.3. Параметр системы ws(t) 372^
Глава 9. КОЛИЧЕСТВЕННАЯ ОЦЕНКА СИСТЕМЫ: НАДЕЖНОСТЬ
9.1. Одноэлементная система 376'
9.2. Двухэлементная система последовательного типа 378
9.3. Система из η элементов последовательного типа 379
9.4. Системы параллельного типа 379
9.4.1. Двухэлементная система параллельного типа 379
9.4.2. Система параллельного типа с числом элементов более двух 382
9.5. Система типа «два из трех» 38?
9.6. Верхний и нижний пределы ненадежности системы 384
9.7. Ручной метод вычисления верхнего предела показателя
ненадежности системы 386
Глава 10. ЗНАЧИМОСТЬ 392'
10.1. Введение 392
10.2. Структурная значимость по Бирнбауму &gi(t) 395
10.3. Значимость по критичности IiCR{t) 397
10.4. Значимость элементов по Фусселю — Везели hFV(t) 400
10.5. Функция модернизирования IiUF 402
10.6. Значимость по Барлоу — Прошану /гвр 403
10.7. Значимость по последовательности воздействий /tsc 405
10.8. Изменение значимости со временем 405
10.8.1. Значимость аварийных сочетаний по Фусселю — Везели
Ii*pv 406-
10.8.2. Значимость аварийных сочетаний по Барлоу — Прошану
1{*вр 406
10.9. Восстанавливаемые системы 407"
Глава И. РЕЗЕРВУАРЫ, СИСТЕМЫ ЗАЩИТЫ, НЕНАГРУЖЕННЫИ
РЕЗЕРВ И СИСТЕМЫ ВЫБОРА 411
11.1. Резервуары 411
527·

11.1.1. Введение 411
11.1.2. Резервуары, заполняемые в процессе работы: временные
задержки 414
11.1.3. Безусловная интенсивность отказов о>те(0 для «пустого
резервуара» 415
11.1.4. Коэффициент простоя для жидкости, поступающей из
резервуара 417
11.1.5. Другие параметры 418
11.1.6. Приближенные вычисления в примере 2 422
11.1.7. Опорожнение резервуара в процессе работы 423
11.1.8. Другие правила, применяемые к резервуарам 424
11.2. Анализ опасности с учетом систем защиты 426
11.2.1. Введение 426
11.2.2. Определение переменных параметров 428
11.2 3. Допущения 428
11.2.4. Некоторые свойства параметра W(0, T) 430
11.3. Нагруженный и ненагруженный резервы, системы выбора . . 432
11.3.1. Нагруженный резерв 432
11.3.2. Ненагруженный резерв 433
11.3.3. Ожидаемое число отказов систем, построенных по
принципу выбора 434
Глава 12. ИСПОЛЬЗОВАНИЕ МЕТОДОВ МОНТЕ-КАРЛО ДЛЯ
КОЛИЧЕСТВЕННОЙ ОЦЕНКИ СИСТЕМЫ 439
12.1. Введение 439
12.2. Генератор равномерно распределенных случайных чисел .... 439
12.3. Генераторы для различных распределений 441
12.3.1. Нормальное распределение 441
12.3.2. Экспоненциальное распределение 442
12.3.3. Бинарная случайная переменная 442
12.4. Метод прямого моделирования 442
12.5. Моделирование методами Монте-Карло распространения
ошибок при помощи деревьев отказов 452
12.5.1. Введение 452
12.5.2. Программа SAMPLE 453
12.6. Оценка коэффициента простоя системы по методу Монте-Карло
с ограниченной выборкой 456
12.6.1. Введение 456
12.6.2. Постановка задачи 458
12.6.3. Метод Монте-Карло с непосредственной выборкой . . . 458
12.6.4. Метод Монте-Карло с ограниченной выборкой 459
12.6.5. Построение (\|)l, Ql,%) и ψι/, Qu,%) 461
12.6.6. Генерация выборок sb ..., Siv 463
12.7. Оценка коэффициента простоя системы методом Монте-Карло
с кинжальной выборкой 466
12.7.1. Введение 466
12.7.2. Кинжальная выборка 467
12.7.3. Оценка, основанная на кинжальной выборке 468
12.7.4. Вычисление ψ (вектора выборки) 469
12 8. Оценка показателя надежности системы по методу
Монте-Карло для переходов состояний 470
12.8.1. Введение 470
12.8.2. Метод Монте-Карло с непосредственной выборкой 471
12.8.3. Метод Монте-Карло для переходов состояний 474
12.8.4. Вычисление коэффициента простоя методом Монте-Карло
для переходов состояний 477
Глава 13. АНАЛИЗ ХАРАКТЕРНЫХ СЛУЧАЕВ И ПРИМЕНЕНИЕ
РАЗЛИЧНЫХ МЕТОДОВ (ПРИМЕРЫ ИЗ ПРАКТИКИ) 483
528