автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Агрегирование моделей анализа надежности и безопасности технических систем сложной структуры

УЧРЕЖДЕНИЕ РОССИЙСКОЙ АКАДЕМИИ НАУК

ИНСТИТУТ ПРОБЛЕМ УПРАВЛЕНИЯ им. В.А.ТРАПЕЗНИКОВА РАН

На правах рукописи

003465536

ВИКТОРОВА ВАЛЕНТИНА СЕРГЕЕВНА

АГРЕГИРОВАНИЕ МОДЕЛЕЙ АНАЛИЗА НАДЕЖНОСТИ И БЕЗОПАСНОСТИ ТЕХНИЧЕСКИХ СИСТЕМ СЛОЖНОЙ СТРУКТУРЫ

Специальность: 05.13.01 Системный анализ, управление и обработка информации (в технических системах)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени доктора технических наук

и ^

[ Т. Р

Москва 2009

003465536

Работа выполнена в Учреждении Российской Академии Наук Институте проблем управления им.В. А.Трапезникова РАН

доктор технических наук, профессор Официальные Корноушенко Евгений Константинович

оппоненты:

доктор технических наук, профессор Можаев Александр Сергеевич

доктор технических наук Швецова-Шиловская Татьяна Николаевна

Ведущая организация: ФГУП "НИИ "Субмикрон"

Защита состоится 2009 г. в 14 час на заседании

Диссертационного Совета Д.002.226.01 Института проблем управления им. В.А.Трапезникова РАН по адресу: 117997, г. Москва, ул. Профсоюзная, д. 65. Телефон/факс Совета (495) 334-93-29.

С диссертацией можно ознакомиться в библиотеке Института проблем управления РАН им. В.А. Трапезникова

Автореферат разослан 2009 года.

Ученый секретарь Диссертационного Совета доктор технических наук

Акинфиев В.К.

Общая характеристика работы Актуальность. Современный этап исследований в области надежности характеризуется тем, что основные теоретические разработки нашли свое воплощение в универсальных программных средствах, включающих в себя не только реализацию созданных в 60-х - 90-х годах моделей и методов, но и унифицированные процедуры обработки и расчета исходных данных. Универсальное программное обеспечение анализа надежности и безопасности, как правило, включает в себя блоки логико-вероятностного, марковского и статистического анализа, а также стандартизованные расчетные соотношения для вычисления интенсивностей отказов элементной базы, средних времен восстановления, модули поддержки качественных процедур выявления видов и последствий отказов. Структура, особенности функционирования, отказов и восстановления реальных технических систем столь разнообразны, специфичны и сложны, что моделирование и анализ их "надежностного поведения" возможны лишь с применением подобного программного обеспечения. Однако даже самые мощные программные средства не в состоянии оказать полную поддержку при проведении анализа надежности и безопасности объектов сложной структуры. Решение этой проблемы может быть осуществлено двумя путями. Первый путь это создание "с нуля" программного обеспечения, реализующего как основные классы моделей и методов анализа (логико-вероятностные, марковские, статистическое моделирование), так и модели и методы, учитывающие особенности, выходящие за рамки основных моделей. Второй - модификация и расширение универсальных программ анализа надежности с целью внедрения специальных моделей и методов. Второй путь более предпочтителен, он позволяет с меньшими трудозатратами, целенаправленно выполнить поставленные задачи, не отвлекаясь на уже решенные проблемы и используя программно реализованные разработки, созданные во всем мире почти за полувековой период развития теории надежности. Второй путь основывается на решении научной задачи декомпозиции исследуемой системы, разработке моделей и методов, адекватных структуре и особенностям ее функционирования, отказов и восстановления выделенных при декомпозиции частей, агрегировании полученных моделей и рассчитанных показателей в общесистемные модель и показатели.

В соответствии с выдвинутым принципом автоматизации анализа надежности и безопасности сложных систем актуальным является

• создание общей методологии агрегирования статических моделей анализа надежности и безопасности на основе деревьев отказов, деревьев событий с динамическими моделями процессов возникновения отказов и восстановления

• разработка новых методов представления и преобразования деревьев отказов, ориентированных на автоматизацию агрегирования динамических и статических моделей надежности

• разработка динамических моделей надежности, направленных на решение конкретных задач, и автоматизация их сопряжения с результатами качественного анализа видов, последствий и критичности отказов и количественного анализа безотказности элементной базы

Актуальность работы определяется теоретическим и практическим решением перечисленных задач и их востребованностью в химико-технологических и нефте-газоперерабатывающих отраслях промышленности, в областях космического и авиационного приборостроения.

Целью работы является разработка концепции анализа надежности и безопасности сложных технических систем на основе агрегирования статических и динамических моделей надежности; создание агрегированных моделей анализа надежности и безопасности сложных систем с учетом характеристик средств встроенного контроля, специальных процедур обработки неисправностей, промежуточных накопителей; развитие методологии автоматизации агрегированных моделей и ее практическое внедрение при построении специализированных программных приложений, являющихся расширениями универсального программного обеспечения анализа надежности и безопасности.

Методами исследования, применяемыми в диссертационной работе, являются методы математического моделирования, используемые в теории надежности и основанные на методах и положениях теории вероятностей, алгебры логики, комбинаторного анализа, теории и численных методов решения дифференциальных и алгебраических систем уравнений. Программная реализация теоретических результатов работы основана на теории реляционных баз данных, объектно-ориентированном программировании и СОМ технологии. Научная новизна

• разработан метод агрегирования на модельном и программном уровнях статических логико-вероятностных моделей блок-схем надежности и деревьев отказов с марковскими моделями, учитывающими динамические особенности функционирования сложных систем; предложено эффективное бинарное представление логики возникновения вершинных событий деревьев отказов/успехов, позволяющее проводить количественный анализ без определения наборов минимальных сечений /путей

• созданы динамические модели и машинно-ориентированные расчетные процедуры определения показателей надежности и производительности двухфазных систем с ненадежными накопителями, предложен метод анализа многофазных, многопоточных систем, структура которых описывается графом типа дерева, основанный на декомпозиции на двухфазные модели; доказано, что полученная агрегированная оценка коэффициента готовности и средней производительности многофазной системы является нижней

• предложен основанный на СОМ технологии метод сопряжения программной реализации моделей многофазных многопоточных систем с логико-вероятностными модулями и библиотеками элементов универсального программного обеспечением анализа надежности, что позволило строить более адекватные модели технологических систем

• созданы модели и методы исследования контролепригодности систем, предложен интегральный показатель достоверности контроля, позволяющий оценивать его качество с учетом полноты, глубины, отказов первого и второго рода; разработан и практически реализован метод сопряжения программного обеспечения анализа надежности и безопасности систем с встроенным контролем с универсальными программами; метод основан на разделении импортированной базы данных видов и последствий отказов

• предложен подход к анализу надежности отказоустойчивых управляющих вычислительных систем на моделях деревьев отказов, основанный на выделении групп несовместных событий по состояниям основного процессорного блока, что позволяет декомпозировать задачу оценки показателей надежности и преодолевать проблему размерности модели, возникающую при учете двух видов неисправностей (отказов и сбоев), алгоритмов постепенной деградации работоспособности системы, высокой степени резервирования устройств связи с объектом управления

• разработаны динамические модели надежности компонентов отказоустойчивых вычислительных систем на основе марковских случайных процессов и метода интегральных соотношений, позволяющие учитывать внедренные в систему процедуры обработки неисправностей, "просеивающие" поток сбоев, и последовательности возникновения неисправностей, приводящие к различным последствиям на системном уровне

Полученные в работе результаты направлены на теоретическое развитие и обобщение важной практической задачи моделирования и

оценки надежности и безопасности технических систем сложной структуры с различными особенностями функционирования, процессов возникновения отказов и восстановления работоспособности.

Практическая значимость и реализация результатов. Решение поставленных в диссертации задач позволяет осуществлять практическое внедрение программных реализаций предложенных теоретических моделей в проектные расчеты надежности, безопасности, производительности. Разработанные методы программного агрегирования позволяют внедрять модели в универсальные программные системы анализа надежности и использовать встроенные библиотеки элементов и видов отказов, что повышает точность моделирования и решает проблему обоснованного задания исходных данных.

Практическая ценность полученных результатов подтверждается их использованием при

• анализе надежности, безопасности и контролепригодности проекта семейства российских региональных самолетов Бийкн Биреце! 100

• оценке комплексных показателей надежности для различных концепций морского обустройства Штокмановского газоконденсатного месторождения

• исследовании надежности и производительности российских объектов уничтожения химического оружия

• анализе надежности управляющей бортовой вычислительной системы с программно-реализованной сбое-отказоустойчивостью.

Апробация работы. Основные результаты диссертационной работы докладывались на Всесоюзном совещании "Надежность, живучесть и безопасность автоматизированных комплексов", Суздаль, 1988, 1991; VII Всесоюзной научно-технической конференции "Проблемы комплексной автоматизации судовых технических систем", Ленинград, 1989; Международной конференции по вычислительным системам и информационным технологиям, Сидней (Австралия), 1989; 6м Международном симпозиуме ШЕКО ТС 10 по технической диагностике, Прага (Чехословакия), 1989; научном семинаре "Надежность и качество функционирования систем", Москва, МГУПС (МИИТ), 1990, 2006; Всесоюзном совещании "Проблемы построения перспективных бортовых управляющих систем", Владивосток, 1991; Международной конференции по проблемам управления, Москва, ИПУ РАН, 1999, 2003, 2006; 5м Международном научно-техническом симпозиуме "Авиационные технологии 21-го века. Наука на МАКС-

99", Жуковский, 1999; Международной конференции "Параллельные вычисления и задачи управления РАСО' 2001", Москва, ИПУ РАН, 2001; XV Международной конференции "Математические методы в технике и технологиях", Тамбов, 2002; Международном семинаре "Relex - программное обеспечение для анализа надежности, безопасности, рисков", Москва, ИПУ PAH/RSCE, 2003; 4й Научно-технической конференции "Функциональная Безопасность", СНИИП, Москва, 2003; 60м Международном семинаре ИКК МНТЦ "Наука и Компьютерные технологии ", Москва, 2003; Международной научной конференции "Математические Методы в Технике и Технологии - 16", Санкт-Петербург, 2003; Международном семинаре "Система Управления Качеством - FRACAS", Москва, ИПУ PAH/RSCE, 2004; Научно-практической конференции "Современное состояние процессов переработки нефти", Уфа, 2004; 9м Научном семинаре "Промышленная Безопасность. Программные средства в области анализа техногенного риска", Москва, 2005; международной конференции Межгосударственного Авиационного Комитета "Программные продукты информационного обеспечения безопасности полетов, надежности и технической эксплуатации авиационной техники", Москва, 2006; Международной школе-семинаре по программным продуктам и проектным решениям "Relex Reliability Studio", Salem (Germany), RSCE, 2006, 2007;. Международной научной школе "Моделирование и Анализ Безопасности и Риска в Сложных Системах" (МА БР), Санкт-Петербург, 2003, 2005, 2008;

Публикации. Основные результаты научных исследований по теме диссертации содержатся в 30 публикациях, в их числе 11 публикаций в изданиях перечня Высшей аттестационной комиссии. Список публикаций приведен в конце автореферата.

Структура и объем диссертации. Работа состоит из введения, 5-ти глав, заключения, содержит 223 страницы, 75 рис., 12 табл., список литературы из 128 названий.

Содержание работы Во введение определена цель исследований, приведено обоснование актуальности темы и научной новизны диссертационной работы, описаны методы исследований и полученные практические результаты.

В первой главе с позиций анализа надежности рассмотрены особенности технических систем сложной структуры, выделены два класса моделей (статические и динамические), проведен сравнительный анализ отечественного и зарубежного программного

обеспечения анализа надежности и безопасности (ПО АНБ), предложен новый подход к разработке программ анализа надежности. К специфическим особенностям сложных систем относятся:

• наличие нескольких уровней эффективности функционирования (например, производительности) и постепенная деградация по эффективности при возникновении неисправностей

• реализация разнообразных способов резервирования (структурного, временного, алгоритмического), стратегий восстановления, технического обслуживания, например, различная «нагруженность» резерва, присутствие общих элементов в различных резервированных звеньях, контроль функционирования, ограничения на ЗИП, число ремонтных бригад

• внедрение алгоритмических методов обработки неисправностей (в основном для вычислительных устройств) с классификацией на сбои и отказы

• возможность возникновения нескольких несовместных видов отказов элементов, приводящих, при определенной кратности и последовательности возникновения, к различным последствиям на системном уровне; наличие скрытых и явных отказов.

В разделе 1.1 предложено разделение моделей анализа надежности на два класса: статические, в которых состояния системы определяются наборами работоспособных и неработоспособных элементов в момент времени I; динамические, когда происходящие события, отказы рассматриваются как процессы, развивающиеся во времени. В рамках статических моделей анализ надежности проводится следующими методами:

• метод, использующий основные формулы теории вероятностей (вероятность суммы и произведения событий, формула полной вероятности) и комбинаторики; применяется, главным образом, для последовательно-параллельных, параллельно-последовательных структурных надежностных схем и схем т из п

• методы, основанные на записи логических условий, интересующих исследователя функций через состояния элементов системы с последующим применением теории алгебры логики (логико-вероятностные методы, используемые в деревьях отказов, схемах функциональной целостности (СФЦ), блок-схемах надежности).

Классические статические модели для восстанавливаемых систем позволяют рассчитывать лишь дифференциальные (мгновенные)

показатели надежности, определяемые в момент времени t (коэффициент готовности, параметр потока отказов, средняя эффективность в момент времени t). В рамках динамических моделей применяются:

• моделирование систем марковскими процессами

• методы теории восстановления, полумарковских и регенерирующих процессов (в основном, используются асимптотические результаты либо для системы в целом, либо для отдельных резервированных звеньев)

• статистическое имитационное моделирование (Монте Карло)

Динамические модели позволяют вычислять все основные показатели надежности - мгновенные, интервальные (вероятность безотказной работы (отказа) на интервале времени), независящие от времени стационарные показатели (средняя наработка между отказами, среднее время простоя...).

Задача адекватного моделирования надежности систем сложной структуры решается только с помощью декомпозиции системы (структурной, логической, по процессам) и применения различных расчетных методов к выделенным частям. Однако моделирование, даже выделенных частей сложных систем, порождает известные проблемы размерности (рост пространства состояний модели и связей между состояниями), и, как следствие, невозможность ручного входного описания модели, определения ее параметров, выполнения расчетов. Проблема может быть решена только с помощью автоматизации, причем, программное обеспечение анализа надежности и безопасности должно включать в себя всю совокупность методов как статических, так и динамических моделей.

В теоретических исследованиях и разработках как динамических, так и статических моделей наша страна находится на лидирующих позициях. Широко известными являются работы Рябинина И.А., Можаева A.C., Филина Б.П., Акуловой Л.Г. (логико-вероятностные методы), Половко

A.M., Шубинского И.Б., Лубкова Н.В. (марковские, полумарковские случайные процессы), Ушакова И.А., Соловьева А.Д., Калашникова

B.В. (асимптотические методы - полумарковские, регенерирующие процессы, теория восстановления), Ушакова И.А„ Калашникова В.В., Кузнецова Н.Ю., Буянова Б.Б., Акуловой Л.Г. (ускорение статистического моделирования), Волика Б.Г. (анализ эффективности и техногенной безопасности), Черкесова Г.Н. (системы с временной избыточностью)...

Наиболее развитыми и известными отечественными программными средствами анализа надежности и безопасности являются: АРБИТР (ПК ACM СЗМА) - программный комплекс автоматизированного структурно-логического моделирования и расчета надежности и

безопасности систем; Автоматизированная система расчета надежности (АСРН-2000, 2002), реализующая стандартизованные модели безотказности радиоэлектронной элементной базы; АСОНИКА-К - программное обеспечение расчета надежности на основе методов статистического моделирования и аналитических формул для последовательно-параллельных систем; УНИВЕРСАЛ -программное обеспечение анализа надежности и безопасности, использующее полумарковское моделирование.

Лидерами зарубежных программных продуктов являются Isograph (Англия, США), ITEM iQRAS (Англия, США), RAM Commander (Израиль), Relex Reliability Studio (США). Это интегрированные программные средства, включающие различные методы анализа, реализующие разнообразные формы задания моделей (графы, деревья отказов, событий, блок-схемы надежности), содержащие обширные базы исходных данных, имеющие развитый графический интерфейс пользователя, исчерпывающе документированные, имеющие как локальную, так и сетевую конфигурации, сопрягаемые по импорту-экспорту с базами данных, текстовыми редакторами, электронными таблицами, логистическим ПО, САПР.

В разделах 1.2 - 1.10 первой главы проведен сравнительный анализ отечественного и зарубежного ПО АНБ по направлениям: количественные и качественные методы анализа, полнота моделей отказов, восстановлений, резервирования, рассчитываемые показатели надежности, обеспеченность исходными данными, нормативная база, способы задания моделей, сопрягаемость с внешним ПО, точность расчетов. В результате анализа сделан вывод о том, что отечественные программные средства анализа надежности и безопасности характеризуются высоким теоретическим уровнем и оригинальностью отдельных решений, например, представление моделей с помощью схем функциональной целостности в АРБИТРе, решения по автоматизации задания полумарковских моделей в УНИВЕРСАЛе. Однако они уступают их зарубежным аналогам в объеме реализованных методов и решаемых задач, развитости интерфейса пользователя, наличии модулей статистической обработки результатов эксплуатации и испытаний, соответствии международной нормативной документации, сопрягаемости с внешними источниками данных и исполняемыми программами.

У отечественных создателей ПО АНБ нет людских, временных, финансовых ресурсов, необходимых для создания интегрированных сред уровня Relex или Isograph, но есть высокий интеллектуальный потенциал, позволяющий создавать новые и совершенствовать имеющиеся модели и методы. Поэтому в работе предлагается подход к программной реализации новых моделей и методов анализа

надежности, сопрягаемой с универсальными ПО. В разделе 1.11 первой главы описаны два возможных способа такого сопряжения. Первый способ основан на разделения внешних источников информации, в частности файлов баз данных. Второй использует принципы СОМ-технологии, что позволяет внешним программам использовать внутренние сервисы универсального ПО АНБ с помощью механизма интерфейсов. Основным достоинством предложенного подхода является то, что специалисты данной предметной области (как теоретики, так и "надежностно-ориентированые" программисты) могут сосредоточиться на решении действительно актуальных и практически востребованных задач, минуя повторения созданного (интерфейс пользователя, библиотеки исходных данных по интенсивностям и видам отказов элементов, графические редакторы, утилиты импорта-экспорта и пр., включая основное - реализацию классических классов моделей и методов).

В главе 2 описана общая методология агрегирования различных моделей и методов при исследовании надежности и безопасности и приведен пример ее использования при анализе надежности управляющей отказоустойчивой вычислительной системы (УОВС). В качестве первичного описания систем предлагается логико-вероятностная модель деревьев отказов (успехов) (ДО), что обосновывается компактностью задания модели (например, по сравнению с марковскими графами) и ее широким практическим использованием (ДО являются международным стандартом де-факто для исследования надежности и безопасности в авиации и атомной энергетике). Предлагается выполнение следующих этапов исследования:

1. Выделение в процессе структурного анализа основного блока, отказы которого наиболее существенным образом влияют на надежностное поведение системы, переводя ее в состояния полного или частичного отказа (невозможности выполнения отдельных функций).

2. Определение полной группы несовместных событий (состояний основного блока) и анализ путей перехода в возможные системные состояния отказа при возникновении неисправностей остальных элементов системы для каждого события. Построение укрупненного ДО, имеющего п основных ветвей в соответствии с п выделенными несовместными событиями.

3. Построение моделей, учитывающих различные аспекты событий возникновения отказов компонентов системы (возможность возникновения как постоянных отказов, так и сбоев, специальные процедуры обработки сбоев, "просеивающие" суммарный поток неисправностей). Здесь могут быть

использованы Марковские модели (с непрерывным и дискретным временем), комбинаторные формулы.

4. Построение марковского графа переходов в пространстве состояний основного блока и определение соответствующих вероятностей пребывания в состояниях. Марковская модель выбрана для учета характеристик контроля, различных способов резервирования, нескольких видов отказов. Интенсивности переходов марковской модели определяются с учетом расчетов по сбоям, проведенным в п.З.

5. Построение "вложенных" деревьев, детализирующих переход в отказ (отказы) системы для каждого несовместного события (состояния основного блока). Расчет вероятностей реализации соответствующих вершинных событий. Исходные надежностные параметры для базовых событий определяются с учетом расчетов по сбоям, проведенным в п.З.

6. Задание исходных надежностных параметров базовых событий укрупненного дерева (п.2) на основе расчетов по марковской модели (п.4) и вложенным деревьям (п.5). Вычисление показателей надежности системы в целом.

Отметим, что агрегирование статических и динамических моделей можно проводить на общесистемной статической модели, в частности, на деревьях отказов, схемах функциональной целостности, вводя новые динамические вершины-операторы и не проводя декомпозицию системы

В разделах 2.1 - 2.3 приводится описание качественных и количественных методов анализа деревьев отказов и способов их реализации в современном программном обеспечении. В рамках качественного анализа определяются наборы минимальных сечений. Результатом проведения количественного анализа являются численные значения следующих показателей надежности:

• коэффициент готовности/неготовности (вероятность реализации вершинного события в заданный момент времени) (K(t))

• вероятность отказа/безотказной работы (вероятность реализации вершинного события на заданном интервале времени) (P(t))

• параметр потока отказов (w(t))

• средняя наработка между отказами

• среднее время восстановления

• среднее число отказов за заданный интервал времени

В зарубежном ПО, как правило, реализованы методы расчета показателей, основанные на теореме о вероятности суммы совместных

событий (в данном случае под событием понимается реализация минимального сечения):

Q(.)«Írr{C¡l}-B¿ ± Pr{ñcij)+(-l/£n¿ Е Pr{nCijl + ... i=l ii=li2>il j=l i1=lii>i1 ¡3>¡2 j=l ,(1) n-1 n

+ (-l)"-2 ]T Prín^jJ + í-^Prlfl0'1

l<Í1<Í2<Í3<...<Ín_1<n j=l i=l

где Q(t) - вероятность наступления вершинного события дерева, C¡ - i-oe минимальное сечение, п - число минимальных сечений. Для дерева отказов вероятность Q(t) является коэффициентом неготовности, а для дерева успехов - коэффициентом готовности. Трудности возникают при вычислении интервального показателя вероятности безотказной работы для восстанавливаемых систем. В этом случае обычно используют прием, когда система искусственно делается невосстанавливаемой, и получают нижнюю оценку показателя. В работе предложена приближенная формула для вычисления вероятности безотказной работы восстанавливаемых систем, численное решение по которой хорошо автоматизируется и выдает результаты предписанной точности при использовании адаптивных квадратурных алгоритмов

п

41т

1 К(т)

P(t) = e 0 . (2) В разделе 2.4 рассмотрены вопросы создания динамических деревьев отказов с помощью внедрения динамических вершин (операторов), определен набор вершин (динамических и статических), позволяющих строить адекватные модели УОВС. Предложена реализация п-входового динамического оператора PAND, учитывающего последовательность возникновения входных событий на интервале (0,Т) с помощью рекуррентного интегрального соотношения: Т

Qn(T)= Jfn(x)Qn-lWdx

° . О)

т

Q2(T)= |f1(x)(l-F2(T))F2(T-'C)dx

О

где 0„(Т) - вероятность последовательного возникновения п входных событий оператора (слева - направо); Д^) и соответственно функция распределения и плотность распределения случайного времени наступления ¡-га входного события. Использование

интегральной модели (3) вместо марковской позволило снять ограничения на экспоненциальный характер функции распределения. В разделе 2.5 предложено решение задачи представления деревьев отказов структурами данных, обеспечивающими быстроту обхода дерева и получение отображаемой деревом логической функции отказа (работоспособности) в дизъюнктивной ортогональной форме: { = У] V У2 V ... V Ут, где У! лУ) =0 для Ьу; У1 - бесповторная форма в базисе конъюнкция-отрицание.

Программная реализация количественного анализа деревьев отказов является сложной программисткой задачей, так как требует разработки быстрых алгоритмов генерации наборов минимальных сечений и сложных процедур кодирования выражения (1). Новейшей тенденцией в автоматизации представления и преобразования функций алгебры логики является привлечение современных эффективных методов дискретной математики. В качестве искомого представления логики дерева предлагается применять диаграммы двоичных решений (ДДР). В терминах ДДР логические функции представляются в виде направленного ациклического графа (бинарного дерева), у которого внутренние вершины представляют аргументы функции. Кроме того, выделены два типа терминальных вершин, обозначенные как 0 и 1. Каждая нетерминальная вершина графа имеет двух потомков. Ветви графа упорядочены - проход по левой означает, что аргументу присвоено значение 1, а по правой - значение 0. Значение логической функции определяется спуском по дереву от корня к терминалам. При автоматизации задач надежности важными преимуществом ДДР являются

• представление логических функций в ортогональной форме перехода к замещению, допускающих замещение логических переменных вероятностями, а логических операций арифметическими. Это достигается за счет того, что сам принцип построения ДДР обеспечивает разложение логической функции на ортогональные слагаемые.

• при машинной реализации ДДР воплощается нелинейной динамической структурой данных - двоичным деревом, для которого разработаны эффективные алгоритмы обхода узлов, сложность которых зависит от количества уровней дерева, т.е. приблизительно от 1о§2п (п - количество узлов).

Использование диаграмм двоичных решений и описанный в первой главе принцип агрегирования на программном уровне позволяют предложить следующую процедуру количественного анализа деревьев отказов, содержащих динамические вершины, моделирующие специфические особенности "надежностного поведения", которые не охватываются моделями универсальных программ:

• задать структуру дерева в графическом редакторе универсального программного обеспечения и с использованием СОМ-технологии или импорта данных сделать доступной программам, реализующим специфические модели

• выполнить анализ каждого объекта переданной структуры на принадлежность группам: базовые события, сложные события (вложенные деревья), статические вершины (И, ИЛИ, НЕ), простые динамические вершины со входами, состоящими только из базовых событий, динамические вершины, все или часть входов которых являются другими вершинами дерева (сложные динамические вершины)

• рассчитать стационарные коэффициенты неготовности (готовности Кг) и параметр потока отказов со для простых динамических вершин. Далее определить средние наработки между отказами Тн и времена восстановления тв из соотношений Тм = К,Усо; т„ = ((1-Кг)Тм)/Кг и заменить каждую динамическую вершину эквивалентным базовым событием, время возникновения которого распределено асимптотически экспоненциально (доказано в работах Соловьева А.Д., Ушакова И. А) с интенсивностями отказов А.=1/Тм и восстановлений (Л=1/т„.

• осуществить аналогичную редукцию сложных динамических вершин, последовательно заменяя простые динамические вершины и вложенные деревья эквивалентными базовыми событиями, и получить результирующее дерево, состоящее из "классических" вершин (И, ИЛИ, НЕ)

• полученное дерево преобразовать в диаграмму двоичных решений и провести необходимый качественный и количественный анализ

В диссертации предложен алгоритм преобразования ДО в ДДР:

• Упорядочить базовые события дерева: х,<х2<.. .хп

• Каждому 1-му базовому событию поставить в соответствие тройку (х1у1,0)

• Каждой вершине дерева отказов соотнести оператор

определяемый по правилам:

где = Cx.fii.fio); ^ = Cy.fjl.fjo)

Г* = АШ,то1*Р; = Р,; 0* Б: = О если {

• Последовательно применяя правила, получить "алгоритмическую свертку" операторов для вершинного события дерева отказов

ТОР = О!( XI, (хк,ё]1,Ею), (Ук.Ь^Ью) ) (5) кореньветвь ПрИ Х] —1 Ветвь при X) =0

• Последовательно раскрывая "единичные" и "нулевые" составляющие, сформировать двоичное дерево

• Вычислить вероятность реализации вершинного события исходного дерева отказов как сумму вероятностей путей, ведущих от корня двоичного дерева до терминальной вершины "1"

В разделе 2.6 в соответствии с изложенной методологией проведен анализ надежности управляющей вычислительной системы с программно реализуемой сбое- отказоустойчивостью, разработанной в НИИ "Субмикрон". Основным блоком системы являются три параллельно работающие вычислительные машины (ВМ), имеющие по две тройки устройств связи (УС). Система обеспечивает прием информации из внешней среды и выдачу управляющих воздействий. В процессе функционирования системы при возникновении неисправностей (отказов элементов) она деградирует. Деградация происходит по сложной "траектории", начальным состоянием которой является трехмашинная конфигурация, а конечным - состояния, соответствующие отказам системы. В процессе деградации система может принимать двухмашинную конфигурацию с блокировкой третьей ВМ и одномашинную, при которой одна ВМ осуществляет обмен с внешней средой, другая работает в режиме "подслушивания" (контроля) работающей, а третья заблокирована. Возможны два вида отказа системы в целом - отказ, при котором система выдает во внешнюю среду приоритетную команду безопасного останова (БО), и опасный отказ (00), при котором не обеспечена выдача команды БО, и внешняя среда либо не воспринимает управляющих команд от системы, либо система выдает неверные команды. Реакция системы на возникшую неисправность организована следующим образом. При нарушении нормального хода работы системы в результате отказа или сбоя ее структурного элемента (УС, ВМ) этот элемент программным путем исключается из рабочей конфигурации. Решение о возможности дальнейшего использования

исключенного элемента принимается на основе двух критериев. Первый критерий ("частотный"): элемент признается отказавшим, если до конца заданного интервала А1 будет дополнительно зафиксировано (т,ф-1) нарушений функционирования у данного элемента. Второй критерий ("последовательностный"): элемент признается отказавшим, если после первого нарушения его функционирования нарушения будут происходить еще (шкр-1) раз подряд.

Использование пуассоновского приближения К биномиальному распределению позволило получить выражение для вероятности признания по частотному критерию неисправности элемента сбоем на интервале (0,Т):

Рсб(Т) =

j c-UAt (Кб&)тКР

ткр-'

(6)

Здесь Хсб - интенсивность потока сбоев.

Вероятность признания неисправности элемента сбоем по последовательностному критерию была получена с использованием аппарата конечных цепей Маркова:

Т

Рсб(Т) = е , TCp = M|fmKp+2K (7) где Тср - среднее время до первого попадания из начального исправного состояния в поглощающее состояние цепи, соответствующее шКр неудавшимся попыткам выполнения заданной функции. M[fm +2] ~ среднее число шагов.

Вероятность Q(t) признания элемента вычислительной системы на интервале (0,Т) отказавшим определяется как

Q(T) = 1 - Р0Тк(Т) Рсб(Т), (8) где Ротк(Т) - вероятность безотказной работы элемента по постоянным отказам; Pcg(T) - вероятность признания того, что неисправность элемента обусловлена сбоем. Рс6(Т) вычисляется по (6) или (7) в зависимости от критерия признания.

Для трехмашинной ОУВС с частотным и последовательностным критериями признания сбоящих компонентов отказавшими построена иерархия вложенных динамических деревьев отказов; марковская модель надежности троированного блока ВМ с учетом неполноты контроля и разделением состояний отказа на опасные и безопасные; проведена коррекция вероятностей реализации базовых событий в моделях деревьях отказов, отражающая факт "просеивания" потока

сбоев специальными программно-реализованными процедурами обработки неисправностей (см. рис.1).

Разработанная модель позволила провести расчеты показателей надежности ОУВС и выдать рекомендации по выбору параметров процедур восстановления вычислительного процесса, нарушенного возникновением сбоев при различных соотношениях интенсивностей сбоев и постоянных отказов ВМ и устройств сетей связи с объектом и межмашинного согласования.

Сеть обмена ICO) min на 2г3 отказала при 3 работоспособных ВМ

вложенные ДО сетей межмашинного обмена и согласования

Чсб /--V. Чй /----, 9сб ------ч чс6

1—"{ г* )—

----х -Ч.-0 X'—-- - . -- ,

St tri s» s« )---iH^tl----

pc6 )

КГ неисправность УС идентифицирована ras отказ

дискретная марковская модель дпя'поспедсзательностного" критерия признания сбоящего УС отказавшим

Рис.1. Фрагмент агрегированной модели анализа надежности УОВС

18

График вероятности отказа ОУВС на интервале (0,10000ч) в зависимости от числа попыток программного восстановления для Хсб = 10 1/ч и ^6 = 50 1/ч при фиксированной интенсивности отказов, равной 2,34-10"6 , представлен на рис.2. Из графика видно, что при малом числе попыток восстановления (<4) сбои определяют низкую надежность системы. При увеличении числа попыток восстановления (>5) сбои практически не влияют на надежность системы, которая в этом случае полностью определяется потоком постоянных отказов. Вероятность отказа ОУВС на интервале (0-10000ч)

число попыток воосстановления по сбоям

Рис.2. График зависимости вероятности отказа ОУВС от числа попыток восстановления. Глава 3 посвящена исследованиям надежности и производительности технологических систем, в рамках которых решаются задачи создания динамической модели надежности двухфазных технологических участков с промежуточными накопителями, построения и декомпозиции модели многофазных участков, программной агрегации динамических моделей с логико-вероятностной моделью надежности системы.

Многофазными называют системы, в которых технологический процесс и обеспечивающее оборудование разделен на участки, называемые фазами. Работа многофазной системы организована так, что на вход ее первого участка с производительностью ql на каждом отрезке времени А1 поступает столько единиц продукции, сколько он сможет обработать за это время при безотказной работе. После обработки на первом участке продукция поступает на вход второго участка, затем третьего и т.д. Вся система считается работоспособной в данный момент времени, если она может выдавать продукцию на выход своего последнего участка. Отказы устройств любого участка,

если не приняты специальные меры обеспечения отказоустойчивости, приводят к вынужденному простою системы и снижают ее производительность. Один из способов улучшения показателей надежности и эффективности заключается во введении в многофазную систему промежуточных накопителей, позволяющих при отказах не останавливать работу смежных с отказавшим участков, реализовав, таким образом, раздельный резерв времени.

В разделе 3.1 проведена классификация многофазных систем по признакам: количества потоков перерабатываемой продукции (однопоточные, многопоточные); типов накопителей (транзитные, тупиковые, смешанные); особенностям функционирования, отказов, обслуживания; уровням производительности; соотношения номинальных производительностей в фазах; необходимости опустошения накопителя при ремонте.

В работах Черкесова Г.Н. проведено исследование надежности многофазных однопоточных систем с абсолютно надежными накопителями. Диссертационная работа расширяет и дополняет эти исследования учетом ненадежности накопителей и многопоточности. Раздел 3.2 посвящен методическим аспектам построения математической модели (двухпараметрического марковского процесса) двухфазных систем с накопителями.

Схема однопоточной двухфазной системы с транзитным накопителем показана на рис.3. _

| 1 |-*(Т)—

Рис.3. Однопоточная двухфазная система с транзитным накопителем Здесь 1 и 2 - обрабатывающие устройства, 3 - накопитель. Каждое устройство характеризуется производительностью q¡, интенсивностью отказов интенсивностью восстановлений ¡1,; накопитель характеризуется емкостью ъ (0 < г < гм), интенсивностью отказов интенсивностью восстановлений . Состояния двухфазной системы будем обозначать трехразрядным двоичным цифровым кодом. Первые два разряда обозначают, соответственно, состояния каждого из двух устройств, а третья - состояние накопителя. Цифра 1 означает работоспособное состояние, 0 - неработоспособное. Каждое устройство характеризуется тремя уровнями запаса в накопителе:

• нулевой уровень (г = 0); подмножество состояний марковской модели, соответствующее нулевому уровню будем обозначать в • максимальный уровень (г = гиУ, подмножество состояний марковской модели, соответствующее максимальному уровню будем обозначать V

• промежуточный уровень (0 < г < гм); подмножество состояний марковской модели, соответствующее промежуточному уровню будем обозначать

Определим порядок построения пространства состояний и графа переходов:

1. Выписываются все возможные состояния для подмножеств в,

2. Анализируются состояния в соответствии с учитываемыми особенностями функционирования и отказов и вычеркиваются те из них, которые невозможны для рассматриваемого подмножества и к которым нет перехода

3. Определяются те состояния системы, к которым осуществляются предельные переходы (это переходы из подмножества в подмножества V и О, связанные с переходами запаса накопителя на предельные уровни; на графе обозначаются пунктиром).

4. Определяются граничные переходы из подмножества УиБв подмножество (эти переходы осуществляются для тех состояний подмножества V и в, для которых отказ или восстановление какого-либо элемента приводят к изменению уровня запаса, начиная с предельного уровня; на графе также изображаются пунктиром с соответствующей интенсивностью).

После построения ориентированного графа состояний составляется математическая модель системы. Обозначим вероятности состояний для подмножества как Р(гд), а для подмножества V и О - Р(гм,0 и Р(0Д) соответственно.

В работе изложена методика составления разностного уравнения для характерных состояний системы. В качестве характерных берутся следующие:

1. Состояния, в которые и из которых осуществляются переходы в пределах одного подмножества

2. Состояния, в которые осуществляется предельный переход

3. Состояния, из которых осуществляются граничные переходы (уравнения для этих состояний определяют граничные условия).

На рис.4 приведены графы, для состояния оц которых описана методика составления разностных уравнений и получения по ним дифференциальных уравнений в частных производных. Разностное уравнение для случая 1 (переходы в пределах одного подмножества) имеет вид

РсЛМ + ДО-Рсй^Дг. ,0 =

т

¡=1 1

случай 2

Рис.4. Графы переходов в пределах одного подмножества и предельными переходами

Дифференциальное уравнение в частных производных: ЭРа (2, о , ЭРа1 (2Д)

Э1

= VI) * Рей (2,0 + ^ Ф1 -Р,(М) (10)

¡=1

¡=1

Рассматривая стационарный участок при I—получим (т.к. ^ = 0)

Э1

82 Ы ы

На основании полученного уравнения (11) можно сформулировать следующее правило для составления дифференциального уравнения для любого состояния системы в пределах одного подмножества состояний.

Правило 1. Производная вероятности состояния по уровню запаса накопителя (г), умноженная на скорость изменения уровня запаса, равна произведению вероятности этого состояния на сумму интенсивностей перехода из этого состояния, взятая со знаком минус,

плюс сумма произведений интенсивностей перехода в это состояние на вероятность тех состояний, откуда осуществляется переход. Аналогичные рассуждения использовались при составлении дифференциального уравнения и формулировки правила для случая 2. Здесь состояние а;, характерно тем, что помимо обычных переходов, в пределах рассматриваемого подмножества с интенсивностями ср, и есть предельный переход из подмножества XV (рис.4). ЭРа1(0угт,1)_ Л

п т (12)

1=1 1=1

Для стационарного участка (1->°°) получаем алгебраическое уравнение т п

VI)' ^ои (О у 2 т) = ^ Ф^ (О у 2 т)+ |Чт |' Ра, (О V г т)......(13)

¡=1 1=1 и формулируем правило составления уравнения для состояния, в которое существует предельный переход.

Правило 2. Вероятность рассматриваемого состояния, умноженная на суммарную интенсивность выхода из него, равна сумме вероятностей перехода из других состояний в данное и вероятности предельного перехода. Вероятность предельного состояния равна вероятности состояния, из которого совершен предельный переход, умноженной на абсолютную величину скорости изменения уровня запаса в данном состоянии.

Рассмотрение случая 3 позволило вывести граничные условия, появляющиеся при переходе из состояний, принадлежащих подмножествам V и в, в состояния подмножества

ш (14)

ф-Ра;(0,Г)=Ра1(0,0-|чш| Граничные условия на стационарном участке:

ш (15)

Ф' ^оа (0) = Ра, (0)' ¡Яш| Исходя из положений и правил, выведенных в разделе 3.2, в разделе 3.3 построена модель надежности однопоточной двухфазной системы (рис.3) для трех вариантов соотношений производительности обрабатывающих устройств 1,2 (ql=q2=q; q| > q2', ql < Чг)- Для всех трех случаев построены графы переходов в пространстве состояний, составлены системы дифференциальных уравнений в частных

производных (по времени и уровню запаса в накопителе), получены системы дифференциально-алгебраических уравнений для стационарного случая (I -» °<>).

Так, например, графовая модель при равенстве производительностей входного (1) и выходного (2) обрабатывающих устройств приведена на рис.5.

(25 = 0)) (0<5<2„) < * = *»))

Рис.5 Граф переходов в пространстве состояний однопоточной двухфазной системы при равенстве производительности обрабатывающих устройств (Я1=Я2=Ч)

Система дифференциальных уравнений в частных производных для модели с одинаковыми производительностями имеет вид

ЭР (ъ, о ЭР (г, О -Ч—^-+ -= -(И1+*2 + *-„)-Ро11(А1) + а.ГРш(М) +

И2' р001(гД) + Ц„ • Рою(2.0

ЭР (гЛ) ЭР (г, О Ч • —^-+ -= "(Иг + + ^н) • Р101(г, 0 + ' Ч1О +

дг от

М1-Р001(2Д) + Цн-Р100(гД)

^ШМ = +Х2+Хн)-Р111(г,0 + Ц1-РШ 1(2,1) + Ц2 'р101 О + ЭР°°'(2'0 = -(Й1 +112) ■ Р001(2Д) + ' Р011(2,0 + • Рю1(2,1)

5Poio(z,t)=_(Mi + M[[),poio(zt) + ^,poii(Z;t) aP'0a0t(Z,t) = -ЧЙ2 + Мн) * PlOOfct) + К ■ PlOl(At)

= "HH ' РПО(М) + M-l • POIO(M) + |X2 * PlOO(z-+ V P111(2

3Fil'(0,t) =-(A-1 +12 + К) ■ Ъ11 t) ■+ Щ • Fb! 1 (0, t) + Цн • F,, о (0, t) dt

1 (0, t) = . (0> t) + ^. q (0, t) + q. Ifa t (0, t)

dt (16)

эр"°(0'° =-Ш, ■ Ч10 (0, t) + lH ■ Fm (0, t) dt

ail0^m.t)=_flH.qio(Zm>t) + XH.I.ii(Zm>t)

Граничные условия:

q-P01l(zm.t) = A.1-Fi11(zm,t) q-Pl0l(0,t) = A,2-Fi11(0,t)

Для стационарного случая (t —» система (16) преобразуется в следующую систему дифференциально-алгебраических уравнений:

- q■ Рш (z) = -(Й1 + А, 2 +Я„ )P0i 1 (z) + Л-jPi 11 (z)+Ц2Роо1 (z) + ИнРою (z) q-P]01(z) = -(H2+Xl+A.H)P1oi(z) + X.2Piii(z)+n1P0o1(z) + ^HP10o(z)

О = —СЛ-i + Х2 +К )Pl 11 (z) + ЩРо11 (z)+Й2РЮ1 (z) + HHPl 10(z) 0 = -(щ +H2) PooiCz) + ^2 POII(z) + ^I p10l(z)

о = -04 + Цн) • Poio(z) + ^н • Pol 1(2)

О = ~(ц2 + Цн) • PlOO(z) + К ■ PlOlCz)

О = -Цн ' р1 loCz) + |X! - Poio(z) + М ■ PlOO(z) + V P11 l(z)

О = —(Xj + ?i2 + Хн) ■ Fj ц(0) + Щ • %i(0) + \lH • Чю(0)

0 = -RiIbli(0) + Xi-Ilii(0) + qPoii(0) (18)

О = -ih + Я,2 + Ä,H) • ч lI(zm) + \l2 ■ 4oi(zm) + ^H • Ч юЫ О = -\l2 ■ Fioi(zm) + X2 ■ Iiil(zm) + 4' p10l(zm) О = -Rh ' Ц. 10(zm) + ^н ' 1 l(zm)

Система решается с учетом граничных и нормировочных условий

q-Poil(zm) = ^l -FllliZm)

q-P10i(0) = ?i2-Flll(0) (19)

zm

£ Jpijk(z)3z + ^Fijk(zm) + J]Fijk(0) = l ijk о ijk ijk

В диссертации разработана машинно-ориентированная процедура решения стационарной системы (18), основанная на получении выражения для плотности вероятности РШ[(2):

Pioi(z) = Pioi(0)-eq , (20) где .=-<*, + Щ +1н) + !12Ь+ЛМ + ^нЛ_

Ш+И2 V-2+V-H Далее определяется вероятность F10i(z) через плотность

Fl0l(z)= JPlOl (z)dz = — • Pioi(0)

0

а

-z„

-1

= CrH!. (21)

А затем каждое i-e неизвестное F¡jk(z) представляется в виде произведения постоянного и переменного сомножителей: CrH¡, где H¡ рекурсивно вычисляется на основе Нц , а постоянный множитель C¡ определяется из условия нормировки (19).

Стационарный коэффициент готовности Kr(z) и математическое ожидание производительности C(z) двухфазной системы равны

Kr(z)=Ful(z)+F011(z)+Flu(0)+Fm(zm); C(z)=Kr(z)-q. (22)

В разделе 3.4 разработан алгоритм получения нижней оценки коэффициента готовности многофазных однопоточных и многопоточных систем с двухуровневым функционированием во всех

однопоточная двухпоточная

Рис.6. Примеры многофазных систем

Для коэффициента готовности Кг 1,2,3 исходной многофазной системы показано, что

(КПр.З +Кг3 -(Кпр.2 +Кг2 -КПр i -Si.2)-6^)

где Кпр.,, Kri - коэффициенты простоя и готовности i-ro устройства, 8¡,j -коэффициент простоя системы при условии, что устройство j работоспособно, а устройство i - нет (коэффициент наложения потерь),

К^р2- коэффициент простоя при замене 1-го и 2-го устройства с

накопителем между ними одним устройством.

Полученный результат позволяет сформулировать алгоритм расчета нижней оценки коэффициента готовности однопоточных и многопоточных систем с двухуровневым функционированием, основанный на следующей декомпозиции. Из всей структуры выделяются подструктуры из двух устройств и накопителя между ними. Эти подструктуры заменяются одним элементом с рассчитанными по математическим моделям раздела 3.3 коэффициентом готовности и производительностью. Действуя последовательно, таким образом, приходим в конце работы алгоритма к одному эквивалентному устройству с вычисленным коэффициентом готовности и средней производительностью, что и является показателями системы. Производить выделение подструктур для "свертки" необходимо в направлении потока, двигаясь от менее вместимых накопителей к более вместимым, что уменьшает погрешность оценки.

В разделе 3.5 описано программное обеспечение (Bunker), реализующее предложенные модели и метод декомпозиции. Исходные надежностные характеристики (интенсивности отказов и

восстановления обрабатывающих устройств и накопителей) могут задаваться пользователем вручную или извлекаться из библиотек универсального ПО АНБ Relex, а рассчитанные значения показателей надежности и производительности передаваться в модуль блок-схем надежности Relex и использоваться в качестве входных параметров блоков для общесистемных расчетов на логико-вероятностных моделях.

Сопряжение ПО Bunker с Relex осуществляется на основе подхода с использованием СОМ технологии. Основным используемым объектом автоматизации является объект Relex.Project, доступ к методам и свойствам которого осуществляется через диспетчерский интерфейс IPrjDoc.

Раздел 3.6 посвящен практическому использованию результатов главы 3 на этапе обоснования инвестиций в проект портово-транспортного технологического комплекса Штокмановского газоконденсатного месторождения, что позволило рассчитать и обосновать экономически выгодное проектное решение на основе использования промежуточных накопителей для установки регенерации ингибитора гидратообразования (моноэтиленгликоля (МЭГ)). Статическая модель надежности установки регенерации МЭГ, набранная в модуле блок-схем надежности Relex, представлена на рис.7. Из входных устройств основного производства и установки регенерации насыщенный МЭГ поступает в промежуточную буферную емкость Е|. Процесс регенерации МЭГ реализуется оборудованием специальных фильтров, холодильников и выпарных и дистилляционных колонн. Обеднённый МЭГ подается в ёмкость Ег, из которой и закачивается обратно в трубы, доставляющие к береговым входным устройствам многокомпонентный поток. При выполнении проекта необходимо было выдать рекомендации по выбору параметров структуры установки регенерации МЭГ, а именно объемов емкостей Ei,E2 и производительности оборудования, обеспечивающих бесперебойную подачу регенерированного МЭГ в подводный трубопровод. Решение поставленной задачи при использовании только ПО Relex оказалось невозможным ввиду отсутствия в нем моделей анализа надежности и производительности с учетом накопителей. Поэтому была организована совместная работа двух программных средств (Bunker и Relex). Итерационный расчет с помощью Bunker позволил решить задачу выбора рациональных значений параметров структуры (емкостей, производительности), обеспечивающих требуемые значения показателей готовности системы (Кг >0.99). Расчет проводился для удельных значений производительности, а именно, номинальная производительность

выходного оборудования Е2 была принята за единицу. Результаты расчета сведены в таблицу 1.

Полученное значение коэффициента готовности могло бы быть достигнуто введением резервирования обрабатывающего оборудования, однако затраты на реализацию резервированного варианта намного превышают затраты на введение накопителей (емкости являются наиболее дешевым оборудованием).

Из гззо^рееодэ

т>-

Start

Насосы+Электрсдв *тзтегти

Резереуар хранен;« насыщенного МЭГ

Етъсть f J

2::3

2:3

Фильтры

Ф1 Оу.З Н1 О-/: 7 a/д! Ofу: 7

Ф2 Оу:3 Hi Of.7 э/д 2 Qf.J

-tS0>l

2::2

Сепараторы |тдростат*чесГ1*й

Конденсатор

Выпзоной апгярат ВА)

регенерат« 10СмЗ BXfV—

C1

Оу-З

К EaryyM^blif) воздушного

Подогреватель схпз^цедая

сз

®/:3

Резервуар хрженйя — - I—, -

регенерированного МЭГ г»|н1^-»|з?д1 1р-»| а'д1

В газопровод

Статический смеситель

—э/д2 а'д 2 ^--

2:3 End

1::1

Емгооть2 ^-

Рис.7. Блок-схема надежности установки регенерации МЭГ Таблица 1. Расчетные значения структурных параметров установки

Коэффициент готовности установки 0.9983

Производительность входного оборудования емкости Е| (1/ч) 1.8

Емкость накопителя Е, (ч) 240

Производительность промежуточного оборудования между емкостями Е1 и Е2 (1/ч) 1.5

Емкость накопителя Е2 (ч) 360

Производительность выходного оборудования емкости Е2 (1/ч) 1

В главе 4 решаются задачи агрегирования марковских моделей при анализе надежности отказоустойчивых вычислительных систем. Рассматриваются однородные ОВС, т.е. системы, состоящие из

резервированных подсистем с одинаковой технической структурой и с однотипной реакцией элементов на возникшую неисправность. Однородность поведения и технической структуры системы снижает размерность моделей и позволяет решить задачу анализа надежности, оставаясь в рамках марковских моделей без привлечения логико-вероятностного моделирования.

Общий подход к моделированию надежности однородных ОВС был предложен в работах Альгирдаса Авижиениса и заключался в раздельном построении марковских моделей обработки неисправностей и моделей деградации технической структуры ОВС. Приемы агрегирования марковских моделей, предложенные Авижиенисом и в последствии часто используемые в работах других авторов, основываются на укрупнении состояний сбой и отказ в одно состояние и корректировки интенсивностей выхода из укрупненного состояния с учетом успешности завершения процедур парирования сбоев. В разделе 4.1 проводится анализ результатов расчетов показателей надежности на моделях с укрупнением и показывается, что укрупнение существенно различных состояний (сбой, из которого есть возврат в исходное состояние; отказ, из которого принципиально отсутствует возврат в исходное состояние) порождает значительную относительную погрешность вычисления. Некорректность использования подобного укрупнения усугубляется тем, что при вычислении такого показателя как вероятность отказа оно дает оценку снизу.

Для дублированной ОВС, для которой возможно получение аналитического решения марковской модели надежности, рассмотрены следующие случаи: (1) укрупнение проводится при моделировании быстрых процессов обработки неисправностей; (2) укрупнение проводится при моделировании медленных процессов деградации технической структуры ОВС. Сравнение значений показателя вероятности отказа, полученных на точной модели без укрупнения состояний сбой и отказ и на моделях (1) и (2), позволило выявить два параметра, в наибольшей степени влияющих на погрешность вычисления - доля сбоев и средняя длительность сбоя. В зависимости от изменения параметра доля сбоев относительная ошибка вычисления вероятности отказа в модели (1) изменялась от 0 до 25%. При уменьшении средней длительности сбоя модель (1) порождала ошибки от 0 до 80%. Верхняя граница относительной ошибки, порождаемой моделью (2), приближалась к 100%.

В разделе 4.2 предложена агрегированная модель надежности ОВС, в которой медленный процесс деградации технической структуры описывается марковским процессом с непрерывным временем, а быстрый процесс обработки неисправностей - дискретной марковской

цепью. Описана техника интеграции модели обработки неисправностей в общесистемную модель надежности, основанная на раздельном рассмотрении событий возникновения постоянных отказов и сбоев. Сбой трактуется как самоустраняющаяся неисправность, присутствующая в системе как физическое явление случайное время. Последствия сбоя могут привести к искажению нормального хода выполнения вычислительного процесса и требуют запуска внедренных в систему процедур восстановления, очередность и длительность которых определяется специальными протоколами. Работа агрегированной модели продемонстрирована на примере анализа отказоустойчивой вычислительной системы, состоящей из трех машин, связанных между собой (полносвязный граф, т.е. каждая вычислительная машина связана с двумя другими). Отдельная машина состоит из базовой части (БЧ), адаптера связи с абонентом (А), приемо-передатчика межмашинного обмена (П/П). Критерием отказа ОВС является невозможность правильной работы не менее, чем по двум (из трех) каналам связи с абонентом внешней среды. Факторами, учитываемыми при построении модели надежности, явились:

• возможность возникновения двух типов неисправностей -постоянных отказов и сбоев

• отсутствие восстановления работоспособности ОВС, нарушенной возникновением постоянных отказов

• наличие резервирования (троирование) базовых и периферийных частей

• введение специальных процедур обработки сбоев базовых частей машин

• наличие видов отказов (например, пробой по питанию) элементов небазовой части ОВС (адаптер, приемопередатчик), которые могут привести к неисправности базовой части

Модель обработки неисправностей описывала к последовательных программных попыток восстановления нормального хода вычислительного процесса ((перезапись памяти, повторы сегментов программ, откаты на контрольные точки...)). Предполагалось, что неуспех ¡-ой попытки восстановления мог быть вызван тремя факторам

• длительность сбоя (как физического явления) превышает длительность ¡-ой попытки восстановления

• за время выполнения ¡-ой попытки восстановления произошел повторный сбой восстанавливаемой базовой части ОВС

• за время выполнения ¡-ой попытки восстановления произошел сбой или отказ других частей ОВС

Кроме того, предполагалось, что часть отказов и сбоев может носить катастрофический характер (система переходит в отказ, минуя деградацию).

Дискретная марковская модель процесса обработки неисправностей приведена на рис.8

Рис. 8. Марковский граф процесса обработки неисправностей (к=3)

Состояния 2 и 5 графа соответствуют неуспешному завершению первой попытки программного восстановления по сбоям. Состояния 3 и 6 - неуспеху второй попытки. Всего в системе реализовано три попытки восстановления.

Переходные вероятности находятся из следующих соотношений: Р12 = Чв' Р15 = ЧотК'Р17 =Рв'Р18 = Чко Р23 = Чв » Р26 = Чотк ' Р27 = Рв > Р28 = Чко

Р37 =Рв.Р38 =Чко'Р39 = Чв +Чотк

п по „ _по (24)

Р45 1— Чко > Р48 Чко

Р56 = 1— Чко ' Р58 = Чко

Р69 =1_Чко.Рб8 =Чко

Вероятность успешного восстановления по сбоям:

Рв=РнсР2(1-ЧоткХ1-Р1Х1-Чсб) ' (25) где Р2 = - вероятность отсутствия сбоя или отказа с

двумя другими машинами, - интенсивность отказов базовой части ОВС, Хнб интенсивность отказов небазовой части ОВС;

Рис" условная вероятность возникновения некатастрофического сбоя; Рно" условная вероятность возникновения некатастрофического отказа;

р, = е~™ - вероятность того, что длительность сбоя (о) превышает время одной попытки восстановления (т);

qc6 = 1 — С~1с6х - вероятность повторного сбоя машины во время ее восстановления;

Чотк = А — е - вероятность отказа машины во время ее

восстановления.

Вероятность неуспеха восстановления по сбоям:

Чв = РнсР2 (1 - Чотк )((1'- Р1 )Чсб + РI) (26) Вероятность перехода в отказ во время восстановления: Чко=1-Рнс+Рнс(1-Р2) (27) Вероятность перехода в отказ системы во время бессмысленного восстановления по сбоям машины, в которой на самом деле произошел постоянный отказ

Чко=1~РноР2 (2В) Переходная матрица Р и вектор начальных условий р(0) позволяют вычислить распределение финальных вероятностей за п шагов, как [О, О, 0, 0, 0,0, р7(п), р8(п), р9(п)] = р(0)Р". Причем, если р(0) = [1, О, О, О, О, О, 0, 0, 0], т.е. моделируется событие возникновения постоянного отказа, то при п > 3 р7(п) = 0, р8(п) = Рн, р9(п) = Р0. Если рассматривается возникновение сбоя, то р(0) = [0,0,0, 1, 0, 0, 0, 0,0] и при п > 3 р7(п) = Рг, р8(п) = Рг, р9(п) = Рф Таким образом, минуя укрупнения состояний сбой и отказ, получены коэффициенты, корректирующие интенсивности переходов непрерывной марковской модели надежности ОВС.

Анализ отказоустойчивого трехмашинного вычислительного комплекса на предложенной агрегированной модели подтверждает факт существенной зависимости надежности ОВС от сбоев. Неучет в моделях надежности ОВС сбоев приводит к получению необоснованно завышенных оценок показателей надежности. В тоже время, если в моделях надежности будут учитываться сбои, но не будет отражен

факт просеивания потока сбоев введением специальных процедур восстановления, то полученные оценки недопустимо исказят реальность (см. таблица.2).

Таблица 2. Расчет показателей надежности ОВС

Вид Расчета

показатели расчет по постоянным отказам без учета сбоев расчет по сбоям и постоянным отказам без учета специальных процедур обработки неисправностей расчет по сбоям и постоянным отказам с учетом специальных процедур обработки неисправностей

Вероятность Безотказной Работы 0,992122 4Д37050Е-03 0,848385

Вероятность Отказа 7,878300Е-03 0,995863 0,151615

Глава 5 посвящена вопросам анализа контролепригодности систем, а именно, конструированию показателей и созданию моделей оценки средств встроенного контроля (СВК), разработке методики проектного анализа контролепригодности, организации сбора исходных данных, автоматизации.

Оценка технического состояния системы обеспечивается наличием в системе функции и средств встроенного контроля технического состояния, которые определяют контролепригодность системы - ее приспособленность к обнаружению отказов и выявлению причин (места) их возникновения. Оперативный встроенный контроль технического состояния элементов и систем, контроль правильности выполнения функций (при его идеальной работе) позволяет в полной мере реализовать возможности резервирования, своевременно принимать меры по реконфигурации систем и изменению режимов функционирования, обеспечивая, тем самым, свойство отказобезопасности системы в целом. Однако контроль не является идеальным - во-первых, он сам отказывает, а, во-вторых, не абсолютно все отказы и события им распознаются. Поэтому для обеспечения высоких показателей надежности и безопасности требуется проведение тщательного «надежностного» анализа систем и объекта в целом с учетом многих факторов, одним из которых являются характеристики контроля.

В разделах 5.1-5.2 сконструирован интегральный показатель оценки качества СВК - достоверность контроля. Для этого

рассматриваются следующие события: А(А) - объект контроля работоспособен (неработоспособен); В(В) - состояние объекта признаётся работоспособным (неработоспособным) средствами контроля. Тогда формально можно определить следующие результаты взаимодействия объекта и средств контроля:

• работоспособное состояние объекта признается контролем как работоспособное АЛВ

• работоспособное состояние объекта признается контролем как неработоспособное АЛВ

• неработоспособное состояние объекта признается контролем как работоспособное АЛВ

• неработоспособное состояние объекта признается контролем как

неработоспособное АЛВ Правильная оценка состояния объекта контроля происходит, когда

результат взаимодействия объекта и СВК имеет вид АЛВ или АЛВ . Определим достоверность контроля как

Б = Р(АЛВ)+Р(АЛВ) , (29)

а недостоверность как

I) = 1-1) = Р(АЛВ) + Р( АЛВ). (30)

Составляющие недостоверности контроля можно записать

Р(АЛВ) = Р(А)-Р(В/А) и Р(АЛВ) = Р(А)-Р(В/А), (31)

где Р(А) - вероятности работоспособного состояния и

отказа объекта контроля, Р(В /А), Р(В/Л) - условные вероятности признания контролем отказа объекта, при условии его работоспособности, и работоспособности объекта, при условии его отказа, соответственно.

Для вычисления условных вероятностей использовался аппарат деревьев событий, введя в качестве учитываемых факторов полноту контроля и состояния контроля (работоспособность, и два вида отказа). Деревья событий, в принципе, являясь переборным методом, удобны для вычисления условных вероятностей тем, что позволяют декомпозировать всю задачу, помещая условие в корень дерева и рассматривая его как исходное событие. Причем условие может состоять не из одного события, а из любой их логической комбинации. Агрегирование показателей, вычисленных для выделенных при декомпозиции частей, в данном случае, проводится по формулам условной вероятности (в частности, (31)). Обозначим, Г| - полнота контроля, К, Клс,Кнс - события работоспособности и отказов типа

ложного срабатывания и несрабатывания контроля. На рис 9,10 представлены соответствующие деревья событий.

К

п К-лс

К-НС

А

К

1-и К-лс

К НС

■К

лс

Рис.9. Дерево событий для вычисления условной вероятности признания контролем отказа объекта, при условии его работоспособности

0-ч).к)

Рис.10. Дерево событий для вычисления условной вероятности признания контролем работоспособности объекта, при условии его отказа.

Учет не только полноты Г|, но и глубины контроля у позволяет записать

D = Р(А) • Р(К лс ) + Р(А) • (Р(КНС) + (1 - Т1) • Р(К)) + (1 - 71) • Р(А) •

D = 1 - D (32)

Глубина контроля представляется рядом распределения, членами которого являются стационарные вероятности снятия одного, двух ..., п элементов объекта контроля, при условии возникновения отказа одного элемента:

ТМ

1=1

Ск - подмножество контролируемых элементов, при отказе любого из которых снимается к элементов.

Полнота контроля определяется как условная вероятность контролируемого отказа, при условии, что отказ произошел:

I

-/Лк(0± 1-е 0

Г| = РгоЬ{контролируемый отк./отк. произошел на (Од)} =---

1-е О

(34)

где Л - суммарная интенсивность отказов объекта контроля (контролируемые + неконтролируемые); Лк - суммарная интенсивность контролируемых отказов.

Проведя усреднение интенсивностей отказов на интервале (0,0, получаем:

х «м (35)

1_е уср-^ ^ ^уср.

^ I

где А.уср_- ^(ЦЛ и для реальных высоконадежных систем 0

Ауср1«1"

При экспоненциальных распределениях наработки до отказа элементов:

2>;

П = ^ , (36)

2>

1=1

где п -количество элементов объекта контроля; К - подмножество контролируемых элементов; ^ - интенсивность отказа 1-го элемента. Исследование зависимости интегрального показателя достоверности контроля от времени

подтверждают выявленную ранее тенденцию о малой чувствительности показателя недостоверности к коэффициенту несрабатывания при I« средней наработки до отказа объекта контроля (рис.11).

Тзадания > МТТР объекта контроля

время

Рис.11. График зависимости недостоверности контроля от времени

В разделе 5.3 изложена общая методика анализа контролепригодности систем на стадии проектирования, заключающаяся в проведении взаимосвязанных и единообразных (с точки зрения принятых модельных предположений) вычислений, как составляющих, так и интегральной достоверности контроля. Проводимый таким образом анализ позволяет корректно сравнивать требования с полученными результатами. На этапе формирования требований задаются некоторые желаемые показатели для анализируемой системы (агрегата, функции), например, средняя наработка между отказами самой системы, полнота, глубина контроля, требования по надежности контроля. Эти данные затем используются для вычисления (требуемой достоверности контроля). Далее проводятся расчеты показателей надежности и характеристик средств контроля по моделям прогнозирования безотказности и качественному предварительному анализу видов и последствий отказов. Расчетные

значения показателей надежности, полноты и глубины контроля используются в свою очередь для вычисления Dil (расчетной достоверности контроля). Как требуемое по ТЗ (ТУ) значение показателя DI, так и расчетное Dil вычисляются по формуле (32). При выполнении неравенства DU > DI проектные решения по организации контролепригодности признаются удовлетворительными. В противном случае необходим пересмотр проектных решений.

Разделы 5.4 - 5.5 посвящены решению задач сбора и подготовки исходных данных для различных направлений "надежностных" исследований, в частности, анализа контролепригодности. Показано, что при проектировании уникальных технических объектов, в условиях отсутствия адекватных моделей безотказности и информации по объектам-аналогам, результаты проведения качественного анализа видов и последствий отказов (АВОП) являются одним из основных источников исходных данных. Предложена структура таблиц АВОП, позволяющая в процессе проведения анализа видов и последствий отказов собрать информацию о количестве и интенсивности выявляемых контролем отказов, определить средние наработки до отказа средств контроля и соотношение отказов типа несрабатывания и ложного срабатывания, а также выявить отказы, идентифицируемые контролем с точностью до одного съемного элемента.

В разделе 5.6 описано специализированное программное обеспечение анализа контролепригодности агрегатов и подсистем отечественного регионального самолета RRJ (SuperJet 100), проектируемого в ЗАО "Гражданские Самолеты Сухого". ПО реализует следующие функции: расчет показателей надежности и контролепригодности на основе данных проектирования и технического задания; построение распределения полноты контроля по агрегатам функциональных подсистем для заданного уровня критичности видов отказов; оценку эффективности различных средств контроля, применяемых как в полете, так и при наземном обслуживании. Сопряжение с программой анализа надежности и безопасности Relex, используемой в группах надежности и контролепригодности ЗАО ГСС и его партнеров по проекту RRJ -Goodrich, Boeing, была организована с помощью механизмов импорта-экспорта информации базы данных Relex.

Основные результаты диссертации

1. Проведено исследование моделей анализа надежности и безопасности сложных технических систем, выделены два основных класса моделей (статические и динамические); разработана концепция анализа надежности и безопасности на основе агрегирования статических и динамических моделей, основанная на проведении декомпозиции системы, составлении моделей выделенных частей, агрегировании полученных моделей, либо уже вычисленных показателей для частей системы, в общесистемную модель или показатели.

2. Разработана и практически внедрена методология автоматизации анализа надежности, основанная на создании специализированных программных приложений, сопрягаемых с универсальным программным обеспечением расчета надежности и безопасности по принципам СОМ-технологии и разделения внешних источников данных.

3. Предложен метод получения логического выражения реализации вершинного события в форме замещения за счет преобразования дерева отказов в диаграмму двоичных решений. Метод позволяет избежать сложных и трудно программируемых алгоритмов определения минимальных сечений и вычисления вероятности событий реализации сечений, заменяя их эффективными алгоритмами прохода бинарных деревьев. Метод значительно упрощает выделение динамических операторов и реализацию агрегирования моделей и показателей

4. Создана модель надежности управляющей вычислительной системы с программно-реализуемой сбое-отказоустойчивостью, основанная на использовании динамических деревьев отказов с вершинами, учитывающими последовательность возникновения отказов, и комплексными базовыми событиями, раскрываемыми вложенными деревьями и марковскими моделями обработки неисправностей

5. Разработана дискретная марковская модель обработки неисправностей в отказоустойчивой вычислительной системе, характерными особенностями которой являются раздельное моделирование процессов обработки постоянных отказов и сбоев, учет конечной длительности сбоя и возможности возникновения вторичных неисправностей в процессе восстановления. Описана техника интеграции модели обработки неисправностей в общую модель деградации технической структуры системы.

6. Создана модель надежности однопоточной двухфазной системы, учитывающая неабсолютную надежность накопителя, и получены аналитические стационарные решения для трех вариантов соотношений производительности обрабатывающих устройств.

Предложена декомпозиция модели однопоточных и многопоточных многофазных систем, на основе которой разработан алгоритм расчета нижней оценки коэффициента готовности и средней производительности технологических систем.

7. Разработан метод проектной оценки контролепригодности систем по интегральному показателю достоверности контроля, включающему как составляющие характеристики полноты и глубины контроля, вероятности возникновения отказов типа несрабатывания и ложного срабатывания. Решена проблема получения исходных данных для оценки контролепригодности с использованием анализа видов и последствий отказов.

Список публикаций

1. Викторова B.C. Элементарные механизмы обеспечения отказоустойчивости и их влияние на готовность вычислительных систем. - Качество и надежность, Вып.7, М.: 1988, с.5-8.

2. Викторова B.C. Анализ эффективности стратегий восстановления вычислительного процесса ЭВМ при сбоях. - Качество и надежность, Вып. 11, М.: 1989, с. 11 -13.

3. Victorova, V.S., Shagaev, I.V. Recovery strategies in supercomputers. -Proceedings of the 6th Symposium on Technical Diagnostics, Prague, 1989, Czechoslovakia, No.31 May, pp.413-421.

4. Victorova V., Shagaev I. Analysis of recovery procedures for supercomputers. - Conference on computing systems and information technology, August, 1989, Sydney. Australia/ Digest of Papers.

5. Викторова B.C. Анализ стратегий восстановления в вычислительных системах со слабым контролем. - Проблемы комплексной автоматизации судовых технических средств/ Тезисы докладов VII Всесоюзной научно-технической конференции, Л.: 1989, с. 195-196.

6. Викторова B.C., Шагаев И.В. Сравнительный анализ эффективности алгоритмов восстановления вычислительного процесса. - Автоматика и телемеханика, 1990, № 1, с. 125-136.

7. Викторова B.C. Неэкспоненциальная модель длительности сбоя. Качество и надежность, Вып.9, М.: 1990, с.7-8.

8. Викторова B.C. Оптимизация стратегий обработки неисправностей в отказоустойчивой бортовой управляющей системе. - Проблемы построения перспективных бортовых управляющих комплексов/ Тезисы докладов Всесоюзного совещания, Владивосток, 1991.

9. Викторова B.C. , Степанянц A.C. Исследование надежности вычислительной системы с программно-управляемой отказоустойчивостью. - Приборы и системы управления, 1993, №7, с.13-17.

10. Викторова B.C. Выбор параметров процедуры обработки неисправностей в вычислительной системе с программно-управляемой сбое- и отказоустойчивостью. - Приборы и системы управления, 1993, №7, с.18-21.

11. Викторова B.C., Степанянц A.C. Комплекс программ для анализа надежности, безопасности и эффективности технических систем. -Приборы и системы управления, 1998, № 6. стр.11-17.

12. Викторова B.C., Злобинский В.И., Степанянц A.C. Модель надежности управляющей ВС с программным управлением отказоустойчивостью. - Надежность, живучесть и безопасность автоматизированных комплексов/ Тезисы докладов 5 Всесоюзного совещания, Суздаль, 1991.

13. Антонов A.B., Викторова B.C., Степанянц A.C., Ядыкин И.Б. Надежностный анализ автоматизированных технологических комплексов. - Информационные технологии в проектировании и производстве. 1998. № 2. С.31-38.

14. Викторова B.C., Степанянц A.C., Ядыкин И.Б. Обоснование технических требований и надежностный анализ систем противоаварийной защиты. - Информационные технологии в проектировании и производстве. 1998. Вып.4. С.67-71.

15. Викторова B.C. Обеспечение сбоеустойчивости бортовой картографической системы. - Труды Международной Академии Информатизации. Вып.4,1999, изд. НИИНЦ, стр. 158-166.

16. Викторова B.C., Камышев Д.В., Степанянц A.C. Моделирование и исследование надежности бортовых отказосбоеустойчивых систем. - Труды V Международного научно-технического симпозиума "Авиационные технологии 21-го века". Наука на МАКС-99, Жуковский, 17-22 авг.1999, ЦАГИ, стр.120-128.

17. Викторова B.C., Степанянц A.C. Модели, методы и программное обеспечение для анализа надежности. - Труды Международной конференции по проблемам управления. М.: 1999, ИПУ РАН, с.144-146.

18. Викторова B.C. , Кунтшер Х.П., Петрухин Б.П., Степанянц A.C. Relex - программа анализа надежности, безопасности, рисков. -Надежность, 2003, №4 (7), с. 42-64.

19. Викторова B.C., Степанянц A.C. Надежностный анализ и обоснование требований систем с защитой. - Тезисы докладов 2 Международной конференции по проблемам управления. М.: 2003, ИПУ РАН, т.2, с. 123.

20. Викторова B.C. Средства автоматизации анализа надежности и безопасности. - Тезисы докладов 4 Научно-техническая конференции «Функциональная безопасность», М.,2003.

21. Викторова B.C., Кунтшер Х.П. Система анализа надежности и безопасности RELEX. / Пленарный доклад. Международная научная школа МАБР 2003 «Моделирование и анализ безопасности и риска», СПб, 2003.

22. Викторова B.C. , Степанянц A.C. Использование модулей Relex при анализе надежности и безопасности систем. - Надежность,

2004, №2 (9), с. 64-71.

23. Викторова B.C., Степанянц A.C. Логико-вероятностные методы оценки надежности и безопасности систем. - Труды 5 Международной научной школы "Моделирование и Анализ Безопасности и Риска в Сложных Системах" (МА БР 2005), СПб,

2005, с.126-128.

24. Викторова B.C. , Кунтшер Х.П., Степанянц A.C. Анализ программного обеспечения моделирования надежности и безопасности систем. - Надежность, 2006, №4 (19), с. 46-57.

25. Викторова B.C. , Кунтшер Х.П., Степанянц A.C. Обзор программных разработок по анализу надежности и безопасности систем. - Труды международной конференции "Программные продукты информационного обеспечения безопасности полетов, надежности и технической эксплуатации авиационной техники", Москва, 14-16 марта 2006, с. 17-26.

26. Викторова B.C., Волик Б.Г., Степанянц A.C. Анализ надежности вычислительного управляющего комплекса методом комбинации расчетных моделей. - Надежность. №2 (17), 2006, с. 53-59.

27. Викторова B.C., Степанянц A.C. Программные комплексы по анализу надежности, безопасности и эффективности систем. - 3 Международная конференция по проблемам управления/ Пленарные доклады и избранные труды. М.: 2006, ИПУ РАН, с.738-740.

28. Викторова B.C., Ведерников Б.И., Спиридонов И.Б., Степанянц A.C. Моделирование и анализ контролепригодности бортовых систем самолетов,- Надежность. №3 (22), 2007, с.62-71.

29. Викторова B.C., Степанянц A.C. О вычислениях параметра потока отказов, восстановления в логико-вероятностных моделях. - Труды 8 Международной научной школы "Моделирование и Анализ Безопасности и Риска в Сложных Системах" (МА БР 2008), СПб, 2008, с.354-356.

30. Викторова B.C., Степанянц A.C. Оценка достоверности контроля в задачах анализа надежности и безопасности бортовых систем. -Труды 8 Международной научной школы "Моделирование и Анализ Безопасности и Риска в Сложных Системах" (МА БР 2008), СПб, 2008, с.357-362.

Все результаты, составляющие основное содержание диссертации, получены автором самостоятельно. В работах, опубликованных в соавторстве, личный вклад автора состоит в следующем. В [3,4,6] автором разработаны модели оценки эффективности восстановления вычислительного процесса, нарушенного возникновением сбоев.

В [11,23,29] автором разработаны и программно реализованы модели анализа надежности и производительности многофазных, многопоточных технологических систем и методы расчета показателей безотказности на логико-вероятностные моделях В [12,16,22,26] автором разработана модель анализа надежности вычислительной системы с программно реализуемой отказоустойчивостью

В [13,14,19] автором представлена модель надежностного поведения технической системы, особенностью которой являются наличие несовместных видов отказов и учет последовательности отказов. В [17,18,20,21,24,25] автором проведен сравнительный анализ моделей и методов, реализованных в современном универсальном программном обеспечении; предложен подход к разработке сопрягаемых с универсальным ПО специализированных программ. В [28,30] автором сконструирован интегрированный показатель оценки качества встроенных систем контроля, разработана идеология построения специализированного ПО анализа контролепригодности.

Зак. 13. Тир. 100. ИПУ РАН

ОГЛАВЛЕНИЕ.

ВВЕДЕНИЕ.

ГЛАВА 1 Анализ моделей, методов и программного обеспечения моделирования надежности и безопасности систем.

1.1 Особенности надежностного поведения технических систем сложной структуры.

1.2 Модели и количественные методы расчета показателей надежности.

1.3 Особенности моделей отказов и восстановления, резервирования.

1.4 Вычисляемые показатели.

1.5 Реализуемые качественные и предварительные количественные методы анализа

1.6 Обеспеченность исходными данными.

1.7 Нормативная база.

1.8 Способы задания моделей.

1.9 Сопрягаемость с внешним ПО.

1.10 Точность расчетов.

1.11 Подходы к построению специализированных программ анализа надежности.

Выводы.

ГЛАВА 2 Методология агрегирования статических и динамических моделей анализа надежности и ее использование при анализе отказоустойчивых вычислительных систем.

2.1 Этапы анализа надежности.

2.2 Агрегирование моделей анализа надежности систем.

2.3 Автоматизированный анализ деревьев отказов.

2.3.1 Качественный анализ деревьев отказов.

2.3.2 Количественный анализ деревьев отказов.

2.3.3 Асимптотический количественный анализ деревьев отказов.

2.3.4 Оценка значимости базовых событий.

2.3.5 Анализ отказов по общей причине.

2.4 Обзор динамических и статических вершин и гейтов деревьев отказов.

2.5 Диаграммы двоичных решений.

2.6 Агрегирование логико-вероятносгных и марковских моделей при исследовании надежности управляющей отказоустойчивой вычислительной системы.

2.6.1 Описание функционирования и структурный надежностный анализ ОВС.

2.6.2 Построение агрегированной модели надежности ОВС.

2.6.3 Модели надежности элементов с учетом сбоев.

2.6.4 Анализ надежности устройств связи, работающих в режиме обмена.

2.6.5 Анализ надежности устройств связи, работающих в режиме согласования.

2.6.6 Анализ надежности УС, работающих в двух режимах.

2.6.7 Анализ надежности вычислительной машины.

2.6.8 „ Результаты анализа ОВС.

Выводы.

ГЛАВА 3 Моделирование надежности и производительности технологических участков с промежуточными накопителями.

3.1 Классификация многофазных систем с накопителями.

3.2 Основные положения и некоторые методические аспекты математической модели двухфазных систем с накопителями.

3.3 Модель надежности однопоточной двухфазной системы.

3.3.1 Модель надежности для случая равной производительности обрабатывающих устройств.

3.3.2 Модель надежности для случая неравной производительности обрабатывающих устройств (qi > Яг).

3.3.3 Модель надежности для случая неравной производительности обрабатывающих устройств (qi < Яг).

3.4 Расчет надежности и производительности многофазных систем.

3.5 Программное обеспечение анализа надежности и производительности многофазных систем с накопителями.

3.6 Оценка проектных решений портово-транспортного технологического комплекса

Выводы.

ГЛАВА 4 Агрегирования марковских моделей при анализе надежности отказоустойчивых вычислительных систем.

4.1 Специализированные модели и программное обеспечение для исследования надежности отказоустойчивых вычислительных систем.

4.1.1 Унифицированная марковская модель анализа надежности ОВС.

4.1.2 Исследование приемов укрупнения состояний в моделях надежности ОВС.

4.2 Анализ надежности вычислительного управляющего комплекса методом агрегирования моделей.

4.2.1 Описание Трехмашинной ОВС.

4.2.2 Модель Надежности ОВС.

4.2.3 Модель Обработки Неисправностей;.

4.2.4 Модель деградации технической структуры ОВС.

Выводы.

ГЛАВА 5 Автоматизация анализа контролепригодности.

5.1 Встроенный контроль как средство обеспечения отказобезопасности.

5.2 Показатели и модель оценки.характеристик контроля.165'

5.3 Методика анализа контролепригодности на стадии проектирования.

5.4 Анализ видов, последствий ^ критичности отказов.

5.5 Организация сбора исходных данных для анализа контролепригодности.

5.6 Программное обеспечение анализа контролепригодности.

Выводы.

Актуальность. Современный этап исследований в области надежности характеризуется тем, что основные теоретические разработки нашли свое воплощение в универсальных программных средствах, включающих в себя не только реализацию созданных в 60-х - 90-х годах моделей и методов, но и унифицированные процедуры обработки и расчета исходных данных. Универсальное программное обеспечение анализа надежности и безопасности, как правило, включает в себя блоки логико-вероятностного, марковского и статистического анализа, а также стандартизованные расчетные соотношения для вычисления интенсивностей отказов элементной базы, средних времен восстановления, модули поддержки качественных процедур выявления видов и последствий отказов. Структура, особенности функционирования, отказов и восстановления реальных технических систем столь разнообразны, специфичны и сложны, что моделирование и анализ их "надежностного поведения" возможны лишь с применением подобного программного обеспечения. Однако даже самые мощные программные средства не в состоянии оказать полную поддержку при проведении анализа надежности и безопасности объектов сложной структуры. Решение этой проблемы может быть осуществлено двумя путями. Первый путь это создание "с нуля" программного обеспечения, реализующего как основные классы моделей и методов анализа (логико-вероятностные, марковские, статистическое моделирование), так и модели и методы, учитывающие особенности, выходящие за рамки основных моделей. Второй - модификация и расширение универсальных программ анализа надежности с целью внедрения специальных моделей и методов. Второй путь более предпочтителен, он позволяет с меньшими трудозатратами, целенаправленно выполнить поставленные задачи, не отвлекаясь на уже решенные проблемы и используя программно реализованные разработки, созданные во всем мире почти за полувековой период развития теории надежности. Второй путь основывается на решении научной задачи декомпозиции исследуемой системы, разработке моделей и методов, адекватных структуре и особенностям ее функционирования, отказов и восстановления выделенных при декомпозиции частей, агрегировании полученных моделей и рассчитанных показателей в общесистемные модель и показатели.

В соответствии с выдвинутым принципом автоматизации анализа надежности и безопасности сложных систем актуальным является создание общей методологии агрегирования статических моделей анализа надежности и безопасности на основе деревьев отказов, деревьев событий с динамическими моделями процессов возникновения отказов и восстановления

• разработка новых методов представления и преобразования деревьев отказов, ориентированных на автоматизацию агрегирования динамических и статических моделей надежности

• разработка динамических моделей надежности, направленных на решение конкретных задач,, и автоматизация их сопряжения с результатами качественного анализа видов, последствий и критичности отказов и количественного анализа безотказности элементной базы

Актуальность работы определяется теоретическим и практическим решением перечисленных задач и их востребованностью в химико-технологических и нефте-газоперерабатывающих отраслях промышленности, в областях космического и авиационного приборостроения:

Целью работы является разработка концепции анализа надежности и безопасности сложных технических систем на основе агрегирования статических и динамическихмоделей надежности; создание агрегированных моделей анализа надежности и безопасности сложных систем с учетом-характеристик средств встроенного контроля, специальных' процедур обработки неисправностей; промежуточных накопителей; развитие методологии автоматизации агрегированных' моделей и ее практическое внедрение при построении специализированных . программных приложений, являющихся расширениями универсального программного обеспечения анализа надежности и безопасности.

Методами исследованияприменяемыми в диссертационной работе, являются методы математического моделирования, используемые в теории надежности, и основанные на методах и положениях теории вероятностей, алгебры логики, комбинаторного анализа, теории и численных методов решения дифференциальных и алгебраических систем уравнений. Программная реализация теоретических результатов работы основана на теории реляционных баз данных, объектно-ориентированном программировании и СОМ технологии.

Научная новизна.

• Разработан метод агрегирования на модельном и программном уровнях статических логико-вероятностных моделей блок-схем надежности и деревьев отказов с марковскими моделями, учитывающими динамические особенности функционирования сложных систем; предложено эффективное бинарное представление логики возникновения вершинных событий деревьев отказов/успехов, позволяющее проводить количественный . анализ без определения наборов минимальных сечений/путей

• созданы динамические модели и машинно-ориентированные расчетные процедуры определения показателей надежности и производительности двухфазных систем с ненадежными накопителями, предложен метод анализа многофазных, многопоточных систем, структура которых описывается графом типа дерева, основанный на декомпозиции на двухфазные модели; доказано, что полученная агрегированная оценка коэффициента готовности и средней производительности многофазной системы является нижней

• предложен основанный на СОМ технологии метод сопряжения программной реализации моделей многофазных многопоточных систем с логико-вероятностными модулями и библиотеками элементов универсального программного обеспечением анализа надежности, что позволило строить более адекватные модели технологических систем

• созданы модели и методы исследования контролепригодности систем, предложен интегральный показатель достоверности контроля, позволяющий оценивать его качество с учетом полноты, глубины, отказов первого и второго рода; разработан и практически реализован метод сопряжения программного обеспечения анализа надежности и безопасности систем с встроенным контролем с универсальными программами; метод основан на разделении импортированной базы данных видов и последствий отказов

• предложен подход к анализу надежности отказоустойчивых управляющих вычислительных систем на моделях деревьев отказов, основанный на выделении групп несовместных событий по состояниям основного процессорного блока, что позволяет декомпозировать задачу оценки показателей надежности и преодолевать проблему размерности модели, возникающую при учете двух видов неисправностей (отказов и сбоев), алгоритмов постепенной деградации работоспособности системы, высокой степени резервирования устройств связи с объектом управления

• разработаны динамические модели надежности компонентов отказоустойчивых вычислительных систем на основе марковских случайных процессов и метода интегральных соотношений, позволяющие учитывать внедренные в систему процедуры обработки неисправностей, "просеивающие" поток сбоев, и последовательности возникновения неисправностей, приводящие к различным последствиям на системном уровне

Полученные в работе результаты направлены на теоретическое развитие и обобщение важной практической задачи моделирования и оценки надежности и безопасности технических систем сложной структуры с различными особенностями функционирования, процессов возникновения отказов и восстановления работоспособности.

Практическая значимость и реализация результатов. Решение поставленных в диссертации задач позволяет осуществлять практическое внедрение программных реализаций предложенных теоретических моделей в проектные расчеты надежности, безопасности, производительности. Разработанные методы программного агрегирования позволяют внедрять модели в универсальные программные системы анализа надежности и использовать встроенные библиотеки элементов и видов отказов, что повышает точность моделирования и решает проблему обоснованного задания исходных данных.

Практическая ценность полученных результатов подтверждается их использованием при

• анализе надежности, безопасности и контролепригодности проекта семейства российских региональных самолетов Sukhoi Supeijet 100

• оценке комплексных показателей надежности для различных концепций морского обустройства Штокмановского газоконденсатного месторождения

• исследовании надежности и производительности российских объектов уничтожения химического оружия

• анализе надежности управляющей бортовой вычислительной системы с программно-реализованной сбое-отказоустойчивостью.

Апробация работы. Основные результаты диссертационной работы докладывались на Всесоюзном совещании "Надежность, живучесть и безопасность автоматизированных комплексов", Суздаль, 1988, 1991; VII Всесоюзной научно-технической конференции "Проблемы комплексной автоматизации судовых технических систем", Ленинград, 1989; Международной конференции по вычислительным системам и информационным технологиям, Сидней (Австралия), 1989; 6м Международном симпозиуме IMEKO ТС 10 по технической диагностике, Прага (Чехословакия), 1989; научном семинаре "Надежность и качество функционирования систем", Москва, МГУПС (МИИТ), 1990, 2006; Всесоюзном совещании "Проблемы построения перспективных бортовых управляющих систем", Владивосток, 1991; Международной конференции по проблемам управления, Москва, ИПУ РАН, 1999, 2003, 2006; 5м Международном научно-техническом симпозиуме "Авиационные технологии 21-го века. Наука на МАКС-99", Жуковский, 1999; Международной конференции "Параллельные вычисления и задачи управления РАСО' 2001", Москва, ИПУ РАН, 2001; XV Международной конференции "Математические методы в технике и технологиях", Тамбов, 2002; Международном семинаре "Relex - программное обеспечение для анализа надежности, безопасности, рисков", Москва, ИПУ PAH/RSCE, 2003; 4й Научно-технической конференции "Функциональная Безопасность", СНИИП, Москва, 2003; 60М Международном семинаре ИКК МНТЦ "Наука и Компьютерные технологии ", Москва, 2003; Международной научной конференции, "Математические Методы в Технике и Технологии - 16", Санкт-Петербург, 2003; Международном семинаре "Система Управления Качеством - FRACAS", Москва, ИПУ PAH/RSCE, 2004; Научно-практической конференции "Современное состояние процессов переработки'нефти", Уфа, 2004; 9м Научном семинаре "Промышленная Безопасность. Программные средства в области анализа техногенного риска", Москва, 2005; международной конференции Межгосударственного Авиационного Комитета "Программные продукты информационного обеспечения безопасности, полетов, надежности и технической эксплуатации авиационной техники", Москва, 2006; Международной школе-семинаре по программным продуктам и проектным решениям "Relex Reliability Studio", Salem (Germany), RSCE, 2006, 2007;. Международной научной школе "Моделирование и Анализ Безопасности и Риска в Сложных Системах" (МА БР), Санкт-Петербург, 2003, 2005, 2008.

Публикации. Основные результаты научных исследований по теме диссертации содержатся в 30 публикациях, в их числе 11 публикаций в изданиях- перечня Высшей аттестационной комиссии. I

Структура и объем диссертации. Работа состоит из введения, 5-ти глав, заключения, содержит 223 страницы, 75 рис., 12 табл., список литературы из 128 названий.

Выводы

1. Средства встроенного контроля абсолютно необходимы при реализации способов резервирования и реконфигурации структуры системы, для работы- подсистем противоаварийной защиты и обеспечении эффективного восстановления. Исследование надежности резервированных систем с восстановлением и встроенными средствами контроля на марковских моделях показало, что полнота контроля является фактором, значительно улучшающим показатели безотказности. Причем, при достаточно высоких значениях полноты контроля (т|>0,9) значение такого показателя как средняя наработка до отказа увеличивается в десятки, раз, для систем с непрерывным режимом функционирования, и на несколько порядков для систем с циклическим режимом работы.

2. Для построения моделей функционирования и отказов систем с учетом контроля требуются, в качестве исходных данных, разнообразные характеристики средств контроля - полнота и глубина контроля, виды отказов контроля. В работе предлагается проведение модификации классического качественного FMEA- анализа с целью формирования источника исходных данных для' анализа контролепригодности. Разработанная в работе структура таблиц FMEA позволяет в процессе проведения анализа видов и последствий отказов собрать информацию о количестве и интенсивности выявляемых контролем отказов, определить средние наработки до отказа средств контроля и соотношение отказов типа несрабатывания и ложного срабатывания, а также выявить отказы, идентифицируемые контролем с различной «разрешающей способностью».

3. Оценку качества контроля целесообразно проводить по интегральному показателю, включающему как составляющие характеристики полноты и глубины контроля и учитывающему его неабсолютную надежность. В качестве такого показателя сконструирован показатель достоверности контроля как вероятности правильного определения состояния объекта средствами контроля.

4. Проведенное исследование зависимости недостоверности контроля от его надежности и от соотношения видов отказов типа несрабатывания и ложного срабатывания показало

• для систем, у которых время выполнения задания « Т^. (например, самолеты), недостоверность контроля, в основном, определяется отказами типа ложных срабатываний, так как составляющая недостоверности, зависящая от вероятности отказа объекта контроля, мала

• для систем, у которых время выполнения задания > Тср., наибольший вклад в недостоверность контроля начинают вносить отказы типа несрабатывания и наблюдается сильная зависимость показателя недостоверности контроля от его ненадежности, стремящаяся в пределе к вероятности отказа средств контроля типа невыдачи сообщения об отказе контролируемого объекта 5. Предложенная методология исследования средств встроенного контроля была применена при создании специального программного обеспечения анализа контролепригодности агрегатов и подсистем отечественного регионального самолета RRJ, разрабатываемого в ЗАО "Гражданские Самолеты Сухого". Программное обеспечение реализует следующие функции: расчет показателей надежности и контролепригодности на основе данных проектирования и технического задания; построение распределения полноты контроля по агрегатам функциональных подсистем для заданного уровня критичности видов отказов; оценку эффективности различных средств контроля.

Заключение

Многообразие, сложность структуры и поведения современных технических систем-делают непригодными для их исследования подходы, основанные на использовании какого-либо одного метода или'модели анализа надежности. Никакое универсальное программное: обеспечение' анализа надежности и безопасности не может обеспечить решение, всех задач и учет всех факторов функционирования и обеспечения надежности исследуемых, систем; Решение проблемы заключается в сочетании моделей и методов анализа: Достигается это декомпозицией структуры и< процессов? функционирования системы, построением' моделей для выделенных частей и агрегированием моделей и результатов ■ расчетов; Современный уровень надежностных исследований; не: может быть, обеспечен без компьютерной- поддержки. • Поэтому* этап? агрегирования; должен касаться не только математических, моделей, но и соответствующего: программного обеспечения.

В диссертационной работе поставлена и решена задача агрегирования и автоматизации динамических и статических моделей/ надежности и сопряжения универсального и специализированного программного обеспечения? при; проектных исследованиях технических систем, для космических; авиационных, нефте- газоперерабатывающих, химико-технологических приложений. В рамках поставленной задачи было осуществлено агрегирование

• марковских и логико-вероятностных моделей (деревьев отказов, блок-схем надежности)

• непрерывных и дискретных марковских моделей

• качественного анализа видов и последствий отказов с количественными методами анализа деревьев событий и деревьев отказов

Были'предложены два подхода к сопряжению программного обеспечения; реализующего модели и расчетные методы анализа надежности: .

• подход, основанный на использовании встроенных механизмов импорта/экспорта внутренних баз данных универсального ПО

• подход, основанный на принципах СОМ-технологии и применении универсального ПО . как сервера автоматизации

Оба подхода были практически реализованы при сопряжении; специальных программ и универсального, коммерческого программного обеспечении анализа надежности и безопасности Relex Reliability Studio.

Агрегирование марковских и логико-вероятностных моделей было осуществлено для устранения проблемы размерности, свойственной марковскому моделированию, и учету различных видов отказов, их последовательности и несовместности, невозможному при статическом логико-вероятностном моделировании. Объединение моделей было реализовано внедрением динамических вершин и событий в деревья отказов. Предложенный в работе метод построения обобщенного дерева отказов, содержащего комплексные базовые события, которые раскрываются вложенными деревьями, марковскими моделями, комбинаторными формулами, позволил развить методологию моделирования надежности, безопасности и технической эффективности сложных систем. Эффективное решение задачи количественного анализа динамических деревьев отказов и его программной реализации было осуществлено на основе бинарного представления дерева (в виде диаграмм двоичных решений), позволяющего формировать логические функции срабатывания вершин в ортогональной форме перехода к замещению и отказаться от медленных и трудно-программируемых алгоритмов определения и манипуляции минимальными путями, сечениями. Использование диаграмм двоичных решений и агрегирования на модельном и программном уровнях позволяют внедрять практически любые аспекты динамического надежностного поведения в статические модели деревьев отказов универсального программного обеспечения. Возможности метода агрегирования статических и динамических моделей были продемонстрированы на примере построения и анализа обобщенного дерева отказов управляющей отказоустойчивой вычислительной системы с внедренными марковскими и комбинаторные моделями обработки неисправностей (с делением на постоянные отказы и сбои), вложенными деревьями отказов внешнего сетевого оборудования, динамическими вершинами, учитывающими последовательность возникновения произвольного количества входных базовых событий.

Декомпозиция и агрегирование марковских моделей были использованы при создании аналитического метода исследования многофазных систем с накопителями, позволяющего учитывать ненадежность накопителей при произвольных соотношениях производительностей обрабатывающих устройств. Методика построения пространства состояний и графа переходов марковской модели основана на выделении подмножеств состояний, соответствующих промежуточному и предельным (нулевому и максимальному) уровням запаса в накопителе, и .определению граничных и предельных переходов между этими подмножествами. Описан процесс составления разностных уравнений и граничных условий для характерных состояний системы. Создана модель надежности однопоточной двухфазной системы и получены аналитические стационарные решения для разных вариантов соотношений производительности обрабатывающих устройств. Предложена декомпозиция модели, сделавшая ее применимой для исследования многопоточных систем с двухуровневым функционированием, структура которых описывается графом типа дерева. Выполненное с использованием СОМ технологий сопряжение программного обеспечения анализа надежности и производительности многофазных, многопоточных систем с накопителями с универсальным ПО Relex позволило внедрить динамические компоненты, моделирующие участки с накопителями, в статические модели блок-схем надежности и запрашивать исходные данные из встроенных библиотек элементов механического оборудования.

Совместное использование качественных методов анализа видов и последствий отказов с количественными методами деревьев событий было применено при анализе контролепригодности бортовых авиационных систем. В' качестве интегрального показателя качества средств встроенного контроля был сконструирован показатель достоверности контроля, включающий как составляющие характеристики полноты и глубины контроля и учитывающий его неабсолютную надежность. Деревья событий использовались для вычисления условных вероятностей признания контролем работоспособности (неработоспособности) объекта, входящих в выражение достоверности (недостоверности) контроля. Дерево событий позволило декомпозировать задачу вычисления условных вероятностей, помещая условие (состояние объекта контроля) в корень дерева, а в качестве учитываемых факторов (столбцов дерева) рассматривать полноту и глубину контроля и состояния контроля (работоспособность, и два вида отказа - ложное срабатывание и несрабатывание). Введение интегрального показателя достоверности контроля позволило провести единообразный анализ контролепригодности как на стадии задания требований, так и на стадии проектирования и выполнять корректное сравнение требований с полученными результатами. С целью получения исходных данных по показателям полноты, глубины и надежности контроля была разработана структура выходных форм анализа видов и последствий отказов. Проведенное исследование зависимости недостоверности контроля от его надежности и от соотношения видов отказов типа несрабатывания и ложного срабатывания позволило выявить временные интервалы максимального влияния того или иного вида отказа.

Для автоматизации анализа контролепригодности было создано специальное программное обеспечение расчета показателей полноты, глубины и достоверности контроля на основе данных проектирования и технического задания; построения распределения полноты контроля по агрегатам функциональных подсистем для заданного уровня критичности видов отказов; оценки эффективности средств контроля полета и наземного обслуживания. Программное сопряжение моделей было осуществлено на уровне разделяемой базы импортируемых/экспортируемых данных, что позволило организовать двухстороннюю связь по передачи таблиц АВОП в специализированное ПО и рассчитанных в нем значений показателей полноты и глубины контроля в модели деревьев отказов Relex.

Предложенные в диссертации модели, методы и программное обеспечение были использованы

• при проектном анализе контролепригодности функциональных подсистем семейства Российских региональных самолетов Sukhoi SuperJet 100

• для расчета и обоснования экономически выгодного проектного решения на основе использования промежуточных накопителей на этапе обоснования инвестиций в проект портово-транспортного технологического комплекса Штокмановского газоконденсатного месторождения

• для исследования надежности и безопасности бортовых управляющих отказоустойчивых вычислительных систем

1. Рябинин И.А. Основы теории и расчета судовых электроэнергетических систем. Л.: Судостроение, 1971. — 456с.

2. Рябинин И.А. Надежность и безопасность сложных систем. // СПб.: Политехника, 2000 -248 с.

3. Викторова B.C., Кунтшер Х.П., Петрухин Б.П., Степанянц А.С. Relex программа анализа надежности, безопасности, рисков. - Надежность, 2003, №4 (7), сс.42-64.

4. Викторова B.C., Степанянц А.С. Использование модулей Relex при анализе надежности и безопасности систем. Надежность, 2004, №2 (9), с. 64-71.

5. Викторова B.C., Степанянц А.С. Анализ программного обеспечения моделирования надежности и безопасности систем. Надежность, 2006, №4 (19), с. 46-57.

6. MSDN Library. Win32 and COM Development / http://msdn.microsoft.com/en~ us/libraiy/aal39672.aspx.

7. MCSD Учебный курс. Разработка приложений на Microsoft Visual С++ 6.0. Учебный курс/Пер.с англ. 2 изд. - М.: Издательско-торговый дом "Русская редакция", 2001, с. 654.

8. С.Тейксейра, КПачеко. Delphi 5. Руководство разработчика, том 2. Разработка компонентов и программирование баз данных: Пер. с англ. — М.: Издательский дом "Вильяме", 2001, с. 991.

9. А. Рахимбердиев. Проект Eclipse. RSDN Magazine, 2004, №4, с. 4-13. http://rsdn.ru/article/devtools/eclipse.xml

10. Крил П. Бесплатный инструментарий стоимостью в миллиард. Computer World, 2006, №38. http://www.osp.nl/cw/2006/38/3253496/

11. Викторова B.C., Степанянц А.С. Исследование надежности вычислительной системы с программно-управляемой отказоустойчивостью. Приборы и системы управления, 1993, №7, с. 13-17.

12. Лобанов А.В. Протокол отказоустойчивого обмена. Приборы и системы управления, 1993, №7, с. 8-12.

13. Лобанов А.В., Нахаев С.А. Обеспечение сбое- и отказоустойчивости в протоколе отказоустойчивого обмена. -Приборы и системы управления, 1993, №7, с. 12-13.

14. Ховард Р.А.Динамическое программирование и марковские процессы. Пер. с англ., 1964, с.190.

15. Гнеденко Б.В. Курс теории вероятностей (7 издание). М.: УРСС, 2001, с.448.

16. Пугачев B.C. Введение в теорию вероятностей. М.: Наука, 1968, с.368.

17. Вентцель Е.С. Теория вероятностей. М.: Наука, 1969, с.576.

18. Хан Г., Шапиро С. Статистические модели в инженерных задачах. М.: «Мир», 1969, с.395.

19. Кемени Дж., Снелл Дж. Конечные цепи Маркова. М.: Наука, 1970, с.272.

20. Вентцель Е.С., Овчаров Л.А. Теория вероятностей и ее инженерные приложения. Изд. Академия, 2003, с.464.

21. Надежность и эффективность АСУ ЛО.Г. Заренин, М.Д. Збырко, Б.П. Креденцер и др. -К.: Технпса, 1975, с.368.

22. Бусленко Н. П. Моделирование сложных систем. М. Наука 1978, с.399.

23. Надежность технических систем: Справочник / Ю.К. Беляев, В.А.Богатырев, В.В.

24. Болотин и др.; под ред. И.А.Ушакова . М.: Радио и связь, 1985, с.606.

25. Дружинин Г.В. Надежность автоматизированных производственных систем. М.: Энергоатомиздат, 1986, с.480.

26. Дружинин Г.В., Сергеева И.В. Качество информации. М.: Радио и Связь, 1990, с.172.

27. Ушаков И.А. Вероятностные модели надежности информационно-вычислительных систем. М.: Радио и Связь, 1991, с.132.

28. Кондратенков В.А, Котельников Г.Н., Мамченков В.Л. Вопросы теории надежноститехнических систем. Смоленск: Русич, 1998, с.221.

29. Стрельников В.П., Федухин А.В. Оценка и прогнозирование надежности электронныхэлементов и систем. К.: Логос, 2002, с.486.

30. В.А. Острейковский. Теория Надежности. М.: "Высшая Школа", 2003, с.463.

31. Половко А.М., Гуров С.М. Основы теории надежности . BHV- Санкт-Петербург, 2006,с.560.

32. Шеферд Дж. Программировано на Microsoft Visual C-H-.NET./Пер. с англ. М.: Издательско-торговый дом "Русская Редакция", 2003, с.928.

33. Можаев А.С. Общий логико-вероятностный метод анализа надежности сложных систем. Уч. пособие. Л.: ВМА, 1988, с.68.

34. Можаев А.С., Алексеев А.О. Автоматизированное структурно-логическое моделирование и вероятностный анализ сложных систем. /Теория и информационная технология моделирования безопасности сложных систем. Вып. 2, под ред. И.А. Рябинина, СПб, 1994, с. 17-42.

35. Можаев А.С., Громов В.Н. Теоретические основы общего логико-вероятностного метода автоматизированного моделирования систем. СПб. ВИТУ, 2000, с. 144.

36. Vesely W.E., Goldberg F.F., Roberts N.H., Haas D.F. NUREG-0492. Fault Tree Handbook/ U.S. Nuclear Regulatory Commission, D.C. 20555, January, 1981, c.209. (http://www.nrc.gov/reading-rm/doc-collections/nuregs/staff/sr0492/)

37. Хенли Э. Дж., Кумамото X. Надежность технических систем и оценка риска. М.: Машиностроение, 1984, с.528.

38. Kumamoto Н., Henley Е. J. Probabilistic Risk Assessment and Management for Engineers and Scientists, Second Edition, N.Y.:IEEE Press, 1996, p.522.

39. Misra К. B. Reliability Analysis and Prediction (A Methodology Oriented Treatment), Elsevier, 1992, p.890.

40. Schneeweiss W.G. Advanced Fault Tree Modeling. J. Universal Computer Science, vol. 5, 1999, pp. 633-643.

41. ГОСТ P 51901.13-2005 (МЭК 61025:1990). Менеджмент риска. Анализ дерева неисправностей. М.: Стандартинформ, 2005, с. 14.

42. Рябинин И.А. Надежность и безопасность структурно-сложных систем. СПб.: Изд-во С.-Петерб. ун-та, 2007, с. 276.

43. Boudali Н., Crouzen P., Stoelinga М. Dynamic Fault Tree Analysis Using Input/Output Interactive Markov Chains. Proceedings of the 37th Annual IEEE/IFIP International Conference on Dependable Systems and Networks, pp. 708-717,2007.

44. Rauzy A. Toward an efficient implementation of the MOCUS algorithm. IEEE Transactions on Reliability, Volume 52, Issue 2, June 2003 Page(s): 175 - 180.

45. Степанянц A.C. Вычисление параметра потока отказов в логико-вероятностных моделях методом рекурсивного наращивания переменных.- Автоматика и Телемеханика, № 9,2007, с. 161-175.

46. Рябинин И.А., Парфенов Ю.М. Определение "веса" и "значимости" отдельных элементов при оценке надежности сложной системы // Изв. АН СССР. Энергетика и транспорт. 1978. №6. С. 22 32

47. Meng F.C. Relationships of Fussell-Vesely and Birnbaum importance to structural importance in coherent systems. — Reliability Engineering and System Safety, Vol.67, Num.1, January 2000, pp. 55-60.

48. Meng F.C. Comparing Birnbaum importance measure of system components. — Probability in Engineering and Informational Sciences, 2004,18, pp. 237-245.

49. Нечипоренко В. И. Структурный анализ и методы построения надежных систем. М.: «Советское радио», 1968.

50. NUREG/CR-5460 (1990). A cause-defense approach to the understanding and analysis of common cause failures. Washington, DC: Nuclear Regulatory Comission.

51. NUREG/CR-5485 (1998). Guidelines on modeling common cause failures in probabilistic risk assessment. Washington, DC: Nuclear Regulatory Comission.

52. Hokstad, P.; Maria, A.; Tomis, P. Estimation of common cause factors from systems with different numbers of channels. IEEE Transactions on Reliability,Volume 55, Issue 1, March 2006, pp. 18-25.

53. Рыбников К.А Введение в комбинаторный анализ. М.: Наука, 1985, с.308.

54. Zhou Jinglun, Sun Quan. Reliability analysis based on binary decision diagrams. Journal of Quality in Maintenance Engineering. 1998, vol.4, issue 2, pp. 150-161.

55. Bartlett, L.M. Neural network selection mechanism for BDD construction. Quality and reliability engineering international, 2004,20 (3), pp. 217-223

56. Woo Sik Jung, Sang Hoon Han and Jaejoo Ha. A fast BDD algorithm for large coherent fault trees analysis. Reliability Engineering & System Safety, 2004, Vol. 83, Issue 3, pp. 369-374.

57. Remenyte R.; Andrews, J.D. A simple component connection approach for fault tree conversion to binary decision diagram. Availability, Reliability and Security, 2006. ARES 2006. /The First International Conference, 20-22 April 2006 , 8 pp.

58. Кобринский НЕ., Трахтенберг Б. А. Введение в теорию конечных автоматов. М.: Физматгиз, 1962.

59. Акулова Л.Г. О стохастической сложности вычисления надежности булевских систем. Ярославль. Изд.-во ЯГУ, 1983.

60. Ахо А., Хопкрофт Дж., Ульман Дж. Построение и анализ вычислительных алгоритмов. М.:Мир, 1979, с.536.

61. Гудман С., Хидетниеми С. Введение в разработку и анализ алгоритмов. М.:Мир, 1981, с.368.

62. Уинер Р. Я зык ТУРБО СИ. М.:Мир, 1991, с. 384.

63. Миллер Т., Пауэлл Д. Использование Delphi 3. Киев-Москва, Диалектика, 1997, с.557.

64. Лобанов А.В. Обнаружение и идентификация неисправностей в распределенных управляющих вычислительных системах с программно-управляемой сбое- и отказоустойчивостью. Автоматика и телемеханика, 1998, 1, с. 155-164.

65. Лобанов А.В. Организация сбое- и отказоустойчивых вычислений в полносвязных многомашинных вычислительных системах. Автоматика и телемеханика, 2000,12, с. 138-147.

66. Коваленко И. Н. Исследования по анализу надежности сложных систем. — Киев: Наукова Думка, 1975, с.212.

67. Черкесов Г.Н. Надежность аппаратно-программных комплексов/Учебное пособие. -СПб,: "Питер", 2005, с.480.

68. Черкесов Г.Н. Надежность технических систем с временной избыточностью. М.: Сов. Радио, 1974, с.296.

69. Креденцер Б.П. Прогнозирование надежности систем с временной избыточностью., ' 1978, с .238.

70. Методы анализа и синтеза структур управляющих систем/ под ред. Б.Г.Волика. М.: Энергоатомиздат, 1988, с.296.

71. Коваленко И.Н., Кузнецов Н.Ю. Методы расчета высоконадежных систем. М.: Радио и Связь, 1988, с. 176.

72. Гнеденко Б.В., Беляев Ю.К., Соловьев А.Д. Математические методы в теории надежности. М.: Наука, 1965, с.524.

73. Кокс Д.Р., Смит В.Л. Теория восстановления. М.: Советское Радио, 1967, с.300.

74. Чирков М. А. Заказ как форма взаимосвязи производителя и потребителя./ Автореферат диссертации на соискание ученой степени кандидата экономических наук. Спец. 08.00.01-Экономическая теория, М.: МГУ, 2006, с.26.

75. Offshore Relability Data Handbook 4th Edition (OREDA 2002)/SINTEF, DNV (Norway), p.837. (http://ww\v dnv.com, http://www.sintef.no)

76. Electronic Parts Reliability Data (EPRD-97), Nonelectronic Parts Reliability Data (NPRD-95). Reliability Analysis Center (RAC). http://www.lricks.com/rac.htni

77. Castes A., Doucet J.E., Landrault C., Laprie J.S. SURF: A program for dependability evaluation of complex fault-tolerant computing systems. Proc.1981, Int.Symp. Fault Tolerant Computing Systems, FTCS-11,1981, pp. 72-78.

78. Bavuso S.J., Dugan J.B., Trivedi K.S., Rothmann E.M., Smith W.E. Analysis of typical fault-tolerant architectures using HARP. IEEE Transactions on Reliability, vol. R-36, no.2, 1987, Jun, pp.176-185.

79. Muazzani M., Trivedi K. Dependability prediction: comparison of tools and techniques. -SAFECOMP '86: Trends in safe real time computer systems: proceedings of the Fifth IF AC Workshop, Sarlet, France, 14-17 October 1986, pp. 171-178.

80. Balakrishnan M., Raghavendra C.S. An Analysis of a Reliability Model for Repairable Fault-Tolerant Systems. IEEE Transactions on Computers, vol.42, no.3, Mar.,1993, pp. 327-339.

81. Geist R.; Trivedi K.S. Reliability estimation of fault-tolerant systems: tools and techniques.-Computer, vol. 23, Issue 7, Jul 1990, pp. 52-61.

82. Holt H.M Assessment of fault-tolerant computing systems at NASA's LangleyResearch Center/Aerospace Conference, 1997, IEEE Proceedings, vol. 2, Issue 1-8, Feb 1997, pp.541 -549.

83. Shooman M.L. Reliability of Computer Systems and Networks \John Wiley & Sons Inc., 2002, p.521.

84. Molloy M.K, Performance analysis using stochastic Petri nets. IEEE Trans. Comput., C-31, 1982, pp.913-917

85. Петерсон Дж. Теория сетей Петри и моделирование систем. М:Мир, 1984, с.264.

86. Chiola G., Marsan М., Balbo G., Conte G. Generalized Stochastic Petri Nets: A Definition at the Net Level and its Implications. IEEE Transactions on Software Engineering 19(2), 1993, pp. 89-107.

87. Ng Y.W., Avizienis A.A. A unified reliability model for fault tolerant computers. ШЕЕ Transactions on Computers, vol. C-29, no.ll, Nov. 1980, pp.1002-1011.

88. Makam S.V., Avizienis A. A. ARIES 81: A reliability and life-cycle evaluation tool for fault-tolerant systems. Proc. IEEE 12-th Fault Tolerant Computing Smposium, 1982 Jim, pp.267274.

89. Avizienis A. Toward Systematic Design of Fault-Tolerant Systems. Computer, 30(4), April 1997,pp.51-58.

90. Богатырев В.А. Отказоустойчивость распределенных вычислительных систем динамического распределения запросов и размещение функциональных ресурсов. -Наука в образовании: Электронное научное издание #1 январь, 2006. http://technomag.edu.ru/doc/56860.html

91. Мелентъев В.А. Новый подход к моделированию отказоустойчивых систем. -Автометрия / Изд. СО РАН, 2004. т.40, сс. 88 105. http://www.sibran.ru/avtw.htm

92. Geist R.M.; Trivedi K.S. Ultrahigh reliability prediction for fault-tolerant systems.-IEEE Transaction on Computers, vol. C-32, no. 12, Dec 1983, pp. 1118 1127.

93. Balakrishnan M., Raghavendra C.S. On reliability modeling on closed fault-tolerant computer systems. .-IEEE Transaction on Computers, vol. C-39, no. 4, Apr 1991, pp. 571 -575.

94. Berg M, Koren I. On switching policies for modular redundancy fault-tolerant computing systems. IEEE Trans. Comput., vol. C-36, no 6, sept.1987, pp 1052-1062.

95. Викторова B.C., Волик Б.Г., Степанянц А.С. Анализ надежности вычислительного управляющего комплекса методом комбинации расчетных моделей. Надежность. №2 (17), 2006, с. 53-59.

96. Викторова B.C. Выбор параметров процедуры обработки неисправностей ввычислительной системе с программно-управляемой сбое- и отказоустойчивостью. Приборы и системы управления, 1993, №7, с.18-21.

97. Викторова B.C., Шагаев И.В. Сравнительный анализ эффективности алгоритмоввосстановления вычислительного процесса. Автоматика и телемеханика, 1990, №1, с.125-136.

98. Victorova, V.S., Shagaev, I.V. Recovery strategies in supercomputers. Proceedings of the 6th Symposium on Technical Diagnostics, Prague, 1989, Czechoslovakia, No.31 May, pp.413421.

99. Victorova V., Shagaev I. Analysis of recovery procedures for supercomputers. Conference on computing systems and information technology, August, 1989, Sydney. Australia/ Digest ofPapers.

100. Викторова B.C. Анализ стратегий восстановления в вычислительных системах со слабым контролем. Проблемы комплексной автоматизации судовых технических средств/ Тезисы докладов VII Всесоюзной научно-технической конференции, JI.: 1989, с.195-196.

101. Reliability: A Practitioner's Guide. London: Intellect, The Information Technology Telecommunications and Electronics Associations, 2003, pp.294.

102. Викторова B.C., Ведерников Б.И., Спиридонов И.Б., Степанянц А.С. Моделирование и анализ контролепригодности бортовых систем самолетов,- Надежность. №3 (22), 2007, с.62-71

103. Hallquist, E.J.; Schick, Т. Best practices for a FRACAS implementation. Reliability and Maintainability, 2004 Annual Symposium - RAMS, 26-29 Jan. 2004 Page(s): 663 - 667.

104. MLL-STD-2155 (AS) Failure Reporting, Analysis and Corrective Action System (FRACAS). -Department of Defense. Washington, 1985, D.C. 20301. http://www.weibull.com/mil std/mil std 2155.pdf

105. MIL-HDBK-217F(2) Reliability Prediction of Electronic Equipment, Department of Defense. Washington, 1993.http://assist.daps.dla.mil/quicksearch/basicprofile.cfm7ident number=53939

106. Handbook of Reliability Prediction Procedures for Mechanical Equipment. CARDEROCKDIV, NSWC-94/L07,1994.

107. TR-332. Reliability Prediction Procedures for Electronic Equipment. Bellcore, Issue 6, 1997.

108. RDF 2000: Reliability Data Handbook. A universal model for reliability prediction of Electronocs components, PCBs and equipment. UTE С 80-810, July 2000.

109. RiAC-HDBK-217Plus. Handbook of 217Plus Reliability Prediction Models/RiAC, 2006.

110. SAE ARP 4761 Guidelines and Methods for conducting the Safety Assessment Process on Civil Airborne System and Equipment, http://www.savive.com.au/librarv/index.html

111. DoD 3235.1-H. Test&Evaluation of System Reliability Availability and Maintainability/ Department of Defense, 1982.

112. ATA iSpec 2200: Information Standards for Aviation Maintenance/ ATA Association, 2003.

113. Spangler, C.S. Equivalence relations within the failure mode and effects analysis. -Proceedings of Annual Reliability and Maintainability Symposium, 1999, 18 -21 Jan 1999, pp. 352-357.