Расчет надежности невосстанавливаемых систем с постоянным резервом
Общее постоянное резервирование с целой кратностью. Вероятность отказа Qp параллельно m элементов при r=1 определяется выражением (3.2), откуда для равнонадежных элементов
; 
. (3.21)
Чем меньше вероятность отказа каждого из элементов, тем выше эффективность постоянного резервирования. Так, если q=0,1 и 0,01, а k=1, то выигрыш в снижении вероятности отказа при резервировании составит соответственно 10 и 100. Рассмотрим связь показателей надежности группы резервированных элементов, кратности резервирования k и длительности работы элементов t при экспоненциальном законе распределения времени их безотказной работы. Если интенсивность отказов каждого из элементов l, то согласно (1.12), (1.21), (1.22) имеем
; 
; 
;
; (3.22)
; 
.
Графики изменения Рр(t/t) и lр(t/t)/l в зависимости от кратности резервирования и длительности работы системы представлены на рис. 3.10. Они показывают, что постоянное резервирование эффективно на начальном участке работы системы, когда t£t/
Для группы резервированных элементов средняя наработка до отказа
.
Рис. 3.10. Графики зависимости вероятности безотказной работы (а) и интенсивности отказов (б) от кратности резервирования
Подставив 1-е-lt=z; dt=dz/[l(1-z)], получим под знаком интеграла сумму первых k+1 членов убывающей геометрической прогрессии:
(3.23)
Из последнего выражения видим, что выигрыш в средней наработке до отказа, полученный путем введения резервных элементов, снижается по мере увеличения кратности резервирования. Так, введения первого элемента приводит к увеличению средней наработки на 50%, второго - на 22%, а третьего – на 13%.
Работа рассматриваемой группы резервированных элементов характеризуется последовательным переходом по мере возникновения отказов от m работающих элементов к m-1, m-2 и далее до одного, отказ последнего приводит к отказу всей группы. Эту последовательность переходов иллюстрирует рис. 3.11. В случайные моменты времени t1, t2 и т.д. происходят отказы элементов, число работающих элементов n(t) постепенно снижается. Поскольку на каждом из участков Т1=t1, Т2=t2-t1и т. д. имеет место совместное функционирование m, m-1 и т. д. элементов, то случайные интервалы времени Т1, Т2, …, Тm имеют экспоненциальное распределение с интенсивностями отказов соответственно ml, (m-1)l, …, l и средней продолжительностью t1=1/(ml); t2=1/[(m-1)l)], tm=1/l. Поскольку tр=t1+t2+…tm, то значение средней наработки до отказа группы резервированных элементов определяется как tр=1/(ml)+1/[(m-1)l]+…+1/l, что совпадает с (3.23).
| Рис. 3.11. Временная диаграмма изменения числа параллельно функционирующих устройств |
Резервирование с дробной кратностью. При резервировании с дробной кратностью система может функционировать, если из n однотипных работающих параллельно элементов в работоспособном состоянии находятся r. Система отказывает, если число отказавших элементов z составляет 
. Используя метод перебора состояний, определим вероятность отказа такой системы
.
В каждом из состояний число работоспособных элементов составляет n-z, а вероятность этого состояния 
, тогда
, (3.24)
где 
- число сочетаний из n элементов по z. При q<<1 
.
При экспоненциальном законе распределения времени безотказной работы и интенсивности отказов l каждого из элементов
. (3.25)
Поскольку без резерва система включает r работающих элементов, то вероятность отказа исходной системы при оценке эффективности резервирования составляет 
. Так, если система включает в себя три параллельно работающих элемента и r=2, то при q=0,1, k=1/2, m=2 согласно (3.25)
Резервирование с голосованием по большинству. Разновидностью постоянного резервирования с дробной кратностью является резервирование с голосованием по большинству (мажоритарное). Структурная схема системы, использующей этот способ резервирования, представлена на рис. 3.12.
| Рис. 3.12. Схема соединения элементов с голосованием по большинству |
Параллельно работает нечетное число элементов, их выходные сигналы х1, х2, …, хп поступают на вход элемента голосования Г (кворум-элемент), выходной сигнал которого совпадает с сигналом большинства элементов. В системах с таким способом резервирования обычно используются три элемента, реже пять. Для работоспособного состояния системы необходима правильная работа большинства элементов. Отказ системы наступает при числе отказов 
.
Вероятность отказа системы с мажоритарным резервированием при п=3 и п=5 равнонадежных элементах согласно (3.24) составляет соответственно
; 
. (3.26)
Эффективность этого способа резервирования при п=3 составляет 
. Если q<0,5, резервирование эффективно; при q=0,5 надежность системы при резервировании не изменяется, а при q>0,5 резервирование приводит к снижению надежности.
Мажоритарное резервирование широко применяют в систе- мах защиты реакторов и теплотехнического оборудования. Так, система защиты от превышения давления в барабане котла, изображенная на рис. 3.16,а, включает электроконтактные манометры М1, М2, МЗ, силовое реле СР и электрический клапан сброса давления К. Система защиты срабатывает при замыкании контактов любых двух манометров из трех. Схема соеди нения контактов манометров представлена на рис. 3.16б. Ток через обмотку силового реле СР протекает при замыкании любых двух пар контактов, специального кворум-элемента в таких системах не требуется. Отказы вида «ложное срабатывание» или «несрабатывание» в системе возникают при соответствующих отказах двух манометров из трех, т. е. этот способ резервирования равнонадежен для обоих видов отказов.
| Рис. 3.16. Схема защиты от превышения давления в барабане котла |
3.5. Расчет надежности каналов технического контроля
Информационно-измерительная подсистема (ИИП) является одной из основных в системе управления технологическим объектом - любой сложности и глубины автоматизации. Основное назначение ИИП заключается в представлении оператору информации о ходе технологического процесса и его эффективности, о состоянии основного и вспомогательного оборудования.
Поскольку оператор в конечном счете отвечает за качество ведения технологического процесса и при любых отказах системы регулирования осуществляет либо корректировку ее работы, либо переход на ведение процесса управления вручную, то очевидна роль своевременного и качественного представления информации о всех нарушениях технологического процесса и предельных состояниях оборудования.
Для наиболее ответственных параметров, определяющих безаварийную работу оборудования, предусматривается резервирование измерительных цепей и использование информационной избыточности.
Рис.3.18. Принципиальная схема информационной измерительной подсистемы
В системах управления современными энергоблоками, объектами металлургической и химической промышленности используют измерительные каналы [13], представленные на рис. 3.18. На местных щитах управления или непосредственно на технологическом объекте устанавливают показывающие и самопишущие измерительные приборы ИП: манометры и дифманометры с импульсными линиями ИЛ, стеклянные и манометрические термометры (рис. 3.18,а). Наиболее распространенным элементом ИИП являются измерительные комплекты (локальные измерительные системы), включающие первичные преобразователи ПП с импульсными линиями, электрическими и пневматическими линиями связи ЛС и вторичные показывающие или самопишущие приборы ВП (рис. 3.18,б). Измерительные комплекты могут включать и большее число устройств, так комплект расходомера помимо перечисленных элементов содержит сужающее устройство, а анализаторы состава газов и растворов — совокупность устройств для подготовки и транспортировки пробы.
Для измерения однородных параметров могут использоваться многоточечные вторичные приборы, включающие переключатель П и измерительное устройство ИУ (рис. 3.18,в).
Структурная схема измерительной системы (ИС), осуществляющей контроль технологических параметров с возможностью их избирательного вызова на показывающий многошкальный потенциометр ППМ, индикаторы в сочетании с их периодической регистрацией с помощью цифропечатающего устройства ПУ и сигнализацией отклонений, превышающих допустимые значения, задаваемые устройством сравнения УС, представлена на рис. 3.18,г. Для преобразования аналоговых сигналов в дискретные в рассматриваемой системе используются аналогоцифровые преобразователи АЦП, первичные преобразователи подключают к системе через коммутатор К. При включении в ОИП вычислительной машины круг функций, выполняемых системой, дополняется расчетом технико-экономических показателей, диагностикой состояния оборудования. При расчете надежности каналов ИИП используются показатели надежности технических средств, входящих в их состав.
Информационно-измерительная подсистема АСУ ТП выполняет ряд функций: измерение, расчет технико-экономических показателей, регистрацию аварийных ситуаций, причем эти функции являются составными и могут быть как непрерывными, так и дискретными; измерительные каналы обычно выполняют простые функции. Их показатели надежности выбираются согласно п. 2.2. Например, для непрерывных функций измерения и регистрации (рис. 3.18,а, б) показателем безотказности каналов с учетом восстановления является средняя наработка на отказ, а без учета восстановления — вероятность безотказной работы за заданное время (как это приведено в настоящем параграфе) и средняя наработка до отказа.
В технические условия на средства измерения (СИ) вводится вероятность безотказной работы за заданное время, задающая вероятность нахождения определяющего параметра в заданных допустимых пределах в течение указанного времени. Для СИ параметры, определяющие их отказ, выбирают из круга нормируемых по ГОСТ 23222 — 78 метрологических характеристик. В большинстве случаев таким параметром является основная погрешность показаний, регистрации, выходного сигнала.
Изменение метрологических характеристик СИ может быть связано как с внезапными, так и с постепенными (параметрическими) отказами их элементов (см. п 2.1). Разрыв трубчатой пружины манометра, разрыв цепи электрического преобразователя дифманометра, засорение пробоотборного устройства газоанализатора и другие подобного типа отказы элементов вызывают внезапные отказы СИ. Изменение же с течением времени характеристик термоэлектродных материалов преобразователей, истирание кромки диафрагмы расходомера, покрытие электродов кондуктометров слоем отложений приводят к постепенному изменению метрологических характеристик СИ и к их параметрическому отказу. В практике теплотехнического контроля такие отказы часто называют метрологическими, отличая их от отказов, связанных с разрушением элементов приборов и полной или частичной потерей способности выполнять свои функции. Так, в технические условия на преобразователи давления ГСП введены вероятности безотказной работы отдельно по метрологическим и внезапным отказам.
Природа и принципы расчета параметрических отказов средств автоматизации подробно рассмотрены в [23]. Следует отметить, что правильное конструирование, жесткий выходной контроль, соблюдение правил монтажа и условий эксплуатации ведут к снижению внезапных и увеличению доли постепенных (параметрических) отказов. Погрешность общепромышленных СИ в большинстве случаев определяется систематической составляющей погрешности, изменения которой под воздействием влияющих величин, к числу которых относится и время, приводят к метрологическому отказу. Метод оценки метрологической надежности СИ рассмотрим на примере анализа изменений систематической погрешности во времени.
| Рис. 3.19.Графики изменения плотности распределения систематической погрешности типа СИ |
Допустим, что для СИ определенного типа в момент начала эксплуатации систематическая погрешность, распределенная по нормальному закону с параметрами М[Dс(0)], s[Dс(0)], лежит внутри поля допуска ±Dд (рис. 3.19). С течением времени происходит изменение систематической погрешности, при этом обычно возрастает ее дисперсия. Если процесс изменения Dс во времени можно с определенным упрощением описать линейной функцией влияния вида (см. [23])
,(3.28)
где А и В — некоторые случайные величины, то для определенного типа СИ математическое ожидание систематической погрешности в момент t М[Dс(t)]=Ma+Mbt, где ; Ма= М[Dс(0)]; Mb= М[d[Dс(0)]/dt]. Дисперсия систематической погрешности D[Dс(t)]=s2[Dс(t)]=Da+2kabt+t2Db, где Da=s2[Dс(0)]; kab – коэффициент корреляции начального значения систематической погрешности и скорости ее изменения во времени; Db – дисперсия скорости изменения систематической погрешности.
На рис. 3.19 показано изменение плотности распределения систематической погрешности для типа СИ во времени. В моменты t1, t2систематическая погрешность у части измерительных приборов превышает допустимый предел. Относительную долю устройств, имеющих метрологический отказ, характеризует площадь под кривой плотности распределения f(Dс)выше верхней границы допуска. Таким образом, для каждого момента времени доля работоспособных приборов составляет 
, откуда плотность распределения до метрологического отказа 
и 
.
Изменения в ходе эксплуатации СИ таких влияющих велик. чин, как температура окружающей среды, напряжение питания, уровень вибрации и др., вызывают дополнительные случайные изменения систематической погрешности, которые могут устраняться при возвращении влияющей величины в зону нормальных значений. Общий повышенный уровень температуры, вибрации может вызвать ускорение временных изменений систематической погрешности и сокращение срока наработки до метрологического отказа.
Рассмотрим случай, когда у СИ нормированы вероятности внезапных qв и метрологических qм отказов, тогда как у остальных элементов измерительных цепей, таких как импульсные линии, электрические линии связи,— вероятности внезапных отказов qв. Вероятность безотказной работы СИ, состоящей в отсутствии обоих видов отказов, при их независимости:
.
Расчет показателей надежности СИ, измерительных комплектов и каналов может осуществляться как по каждому из видов отказов, так и по обоим применительно к конкретным функциям ИС.
При допущении, что после отказа импульсной линии прибор отключается, вероятность возникновения метрологического отказа в системе, изображенной на рис. 3.18,а,
.
При низкой вероятности одновременного возникновения внезапных отказов в подводящей линии и приборе вероятность этого вида отказов
,
где PвИП(t)=1-qвИП(t).
Вероятность безотказной работы измерительного прибора с импульсной линией
.
При последовательном соединении в измерительном комплекте иприборов, каждый из которых относится к типу СИ, имеющему нормальное распределение систематической погрешности и изменение ее во времени в соответствии с (3.28), суммарное распределение погрешности комплекта в момент t будет нормальным с параметрами
; 
.
При разных знаках математических ожиданий начальных систематических погрешностей и скоростей их изменений во времени математическое ожидание погрешности комплекта может быть меньше любой из составляющих, именно поэтому для типа СИ рекомендуется нормирование М(Dс) и s(Dс). В связи со сложностью определения и контроля этих характеристик в технических условиях на СИ нормируется суммарное значение систематической и случайной погрешности и не дается для подавляющего большинства СИ связи погрешности с временем эксплуатации. С учетом рассмотренного приведенный ниже расчет вероятности метрологического отказа измерительного комплекта дает завышенные оценки вероятности отказов.
У измерительного комплекта, структура которого дана на рис. 3.18б, все элементы находятся в основном соединении, и вероятности возникновения метрологических и внезапных отказов, безотказной работы с учетом сделанных выше допущений определяются выражениями:
; (3.29)
(3.30)
. (3.31)
Для совокупности первичных преобразователей, работающих с многоточечным вторичным прибором (структура, представленная на рис. 3.18,в), по формулам (3.29) — (3.31) производят расчет вероятностей обоих видов отказов и безотказной работы по каждому из измерительных каналов. Естественно, что метрологический или внезапный отказ вторичного прибора приводит к отказу соответствующего вида по всем каналам.
Информационно-измерительная система — ИС (рис. 3.18,г) является многофункциональной. Отказ коммутатора приводит к отказу всей системы, отказ АЦП вызывает отказ значительной части функций: цифровой индикации, периодической регистрации, сигнализации и регистрации аварийных отклонений. Подобно рассмотренному выше в ИС Qc(t) Я,с(/), Pc(t) мо- гут быть определены для каждой измеряемой величины по каждой функции, т. е. по вызову на многошкальный прибор ППМ, вызову на индикатор Д, или по периодической регистрации.
Вероятность отсутствия внезапных и метрологических отказов по каждой из функций будет:
;
;
.
3.6. Расчет надежности систем дистанционного управления
На технологических объектах перемещение задвижек и клапанов, вращение лопаточных аппаратов насосов, вентиляторов и дымососов осуществляется с помощью электрических, гидравлических или пневматических приводов. Функцией подсистемы дистанционного управления АСУ ТП является передача команд управления от оператора к приводам. Наиболее широкое распространение в промышленности получил электропривод, для систем управления которым ниже рассмотрены общие принципы расчета надежности. Ввиду общности задач дистанционного управления использование пневматических или гидравлических исполнительных механизмов с соответствующими пневматическими или гидравлическими командными, усилительными, передающими и коммутационными элементами не вносит существенных изменений в методику расчета надежности цепей управления.
Подсистема дистанционного управления АСУ ТП представляет собой совокупность локальных систем дистанционного управления различными приводами, каждая из локальных систем включает в себя три группы элементов: командную, управляющую и силовую. Последняя представляет собой силовой коммутационный аппарат, подключающий силовое напряжение к обмоткам двигателя. В зависимости от мощности двигателя в качестве силового коммутационного аппарата используют масляные выключатели с соленоидным приводом, воздушные автоматы, магнитные пускатели. Перечисленные устройства содержат элементы автоматики, осуществляющие электрическую и технологическую защиту двигателя и управляемого им механизма. Принципы построения защит и их надежность рассмотрены в п. 3.7. Эти защиты включают реле тока, напряжения, дат чики давления, температуры и др.
Командная группа элементов, содержащая кнопки и ключи, служит для формирования оператором сигнала управления. Его передача к силовому коммутационному аппарату осуществляется управляющей группой элементов, включающей релейную аппаратуру, предназначенную для усиления сигналов командных элементов, выполнения логической программы управления, контроля цепей, реализации блокировочных связей между механизмами.
Схемная и техническая реализации управляющей части, подробно рассмотренные в [3, 14, 15, 18], зависят от разновидности используемых способов управления, которые разделяют на индивидуальное, избирательное и управление функциональными группами. При любом способе управления структура управляющей части для исключения ошибочных действий оператора и обеспечения надежного пуска и останова двигателей должна предусмотреть включение привода простым поворотом ключа или нажатием кнопки; индикацию включения привода и положения управляемого механизма; возможность автоматического включения и выключения привода защитной автоматикой со светозвуковой сигнализацией выполнения этих операций; сигнализацию неисправностей; питание схем управления оперативным током, сохраняемым при потере силового напряжения; индикацию наличия питания силового и управления.
Таким образом, элементы локальной системы дистанционного управления помимо своей основной функции – включения или отключения двигателя по командам оператора, технологи- ческой защиты или системы автоматического ввода резерва (АВР) – выполняют ряд контрольных функций, обеспечивающих требуемую надежность реализации основной. Система дистанционного управления имеет несколько неработоспособных состояний, вероятность которых зависит от ее структуры, технической реализации, диагностики отказов элементов и методов представления ее результатов. В качестве последних обычно используются способы, перечисленные ниже:
| Состояние двигателя | Способ индикации |
| Двигатель включен | Горит красная лампа |
| Двигатель включен АВР | Мигает красная лампа, звенит звонок |
| Двигатель отключен | Горит зеленая лампа |
| Двигатель отключен защитой | Мигает зеленая лампа, звучит сирена |
| Неисправность системы управления | Горит световое табло, звенит звонок |
Отказы системы управления складываются из отказов, связанных с невыполнением команд на включение и отключение двигателя, и отказов, вызванных ложным размыканием цепи при включенном двигателе и его ложном включении, когда система управления находится в режиме ожидания. Прохождение команд от оператора, защиты или АВР связано со срабатыванием различных элементов, в связи с чем структурные схемы составляют для каждого вида команд. Составлению структурной схемы предшествует формирование набора базисных событий, включающего состояния элементов, вызывающие непрохождение команд, ложное отключение или включение двигателя. Отказы элементов, состояние которых контролируется или не влияет на прохождение команды, не включаются в набор базисных событий, а эти элементы — в структурную схему.
Рис. 3.21. Электрическая схема системы дистанционного включения двигателя: а – схема цепей управления магнитным пускателем; б – схема цепи контроля.
Если для прохождения команды i требуется реализация набора определенных состояний п элементов и изменение состояния любого из них приводит к отказу цепи управления по данной команде, то в структурной схеме эти элементы включаются последовательно и 
, где рj - вероятность изменения состояния элемента при подаче или снятии сигнала управления.
Последовательность расчета надежности локальной системы дистанционного управления рассмотрим на примере расчета надежности наиболее простой системы управления магнитным пускателем МП двигателя Д, изображенного на рис. 3.21 и подробно рассмотренного в [18].
Силовое напряжение от шин А, В, С на контакты магнитного пускателя МП подается через контакты воздушного защитного автомата АВ. Аппаратура управления питается от шин управления ШУ через защитный автомат АВ1. Включается двигатель поворотом ключа КУ. Схема содержит промежуточные реле РП, двухобмоточное реле с фиксатором РФ, в котором обмотка 1 включающая, а 2 – выключающая, контакты магнитного пускателя 1В и 2В. Реле времени РВ с выдержкой времени на отпускание при обесточивании катушки выполняет в цепи управления несколько функций. При отключенном двигателе с его помощью контролируется подготовка цепи управления к пуску и подача силового напряжения при включении автомата АВ. На рис. 3.21,б при отключенном двигателе и отсутствии силового питания верхняя цепь замкнута и включается световое табло отсутствия силового питания, одновременно звенит звонок. Загорание табло при подаче команды на включение двигателя говорит о несрабатывании магнитного пускателя и неисправности цепи управления. При наличии команды от системы автоматического ввода резерва АВР срабатывают реле РФ и последующие элементы канала. Срабатывание цепи защиты и снижение напряжения силового питания до уровня отпускания реле РВ приводят к подаче напряжения на отключающую обмотку реле РФ, что влечет отпускание МП.
Таким образом, рассматриваемая система дистанционного управления выполняет пять команд: включение двигателя; отключение двигателя; включение двигателя по команде АВР; отключение двигателя по команде защиты; отключение двигателя при снижении напряжения питания. Состояние элементов системы управления при выполнении каждой из команд показано в табл. 3.3. Знаки «+» и «–» соответствуют замкнутому и разомкнутому состояниям контактов. При составлении таблицы учитывалось, что команды посылаются при соответствующем состоянии канала: команда на отключение подается при работающем двигателе, а на включение – при наличии силового питания и питания цепей управления.
Таблица 3.3.
| Номер схемы на рис.3.22 | Команда | Состояние элемента канала | ||||||||||||||||
| КУ | РП1 | РП2 | АВР | РВ | Защита | РФ | МП | |||||||||||
| В | ||||||||||||||||||
| Передача команды на включение | - | + | + | - | - | + | + | - | + | - | + | + | + | + | ||||
| Передача команды на отключение | + | - | - | + | + | - | + | - | - | + | - | - | - | - | ||||
| Включение от АВР | + | - | - | + | + | - | + | + | - | + | - | + | + | + | + | |||
| Отключение защитой | - | + | + | - | - | + | + | - | + | - | + | - | - | - | - | |||
| Отключение при снижении напряжения питания | - | + | + | - | - | + | - | + | - | + | - | - | - | |||||
Рассмотренная система может иметь отказы семи видов, связанные с невыполнением перечисленных команд и с ложными отключением работающего двигателя или его включением. Любой из коммутационных элементов, входящих в систему управления, может иметь четыре вида отказа, два из которых были рассмотрены выше: несрабатывание (обрыв) при наличии сигнала управления (01); срабатывание (короткое замыкание) при отсутствии сигнала управления (02); сохранение замкнуто- го состояния при снятии сигнала управления (03) (этот отказ характерен для контактных коммутационных аппаратов и связан с «привариванием» контактов); самопроизвольный разрыв цепи при наличии команды управления и первоначального правильного срабатывания (04). В табл. 3.4 указаны виды отказов элементов, вызывающие отказы канала дистанционного управления и образующие наборы базисных событий.
В соответствии с табл. 3.4 на рис. 3.22 приведены структурные схемы по рассмотренным видам отказов. Максимальное число элементов участвует в выполнении команд на включение и отключение двигателя оператором, в сохранении включенного и отключенного состояния, готовности, минимальное — в аварийном отключении двигателя.
Таблица 3.4.
| Номер схемы на рис.3.22 | Вид отказа | Состояние элемента канала | |||||||||||||
| КУ | РП1 | РП2 | РВ | РФ | МП | ||||||||||
| В | |||||||||||||||
| Невключение от КУ | |||||||||||||||
| Неотключение КУ | |||||||||||||||
| Невключение по команде АВР | |||||||||||||||
| Неотключение защитой | |||||||||||||||
| Рис. 3.22. Структурные схемы локальной системы дистанционного управления |
В соответствии с государственными стандартами на коммутационные аппараты защиты и автоматики в ТУ на промежуточные реле, реле времени, пускатели, переключатели нормируется коммутационная износостойкость, определяющая среднее число циклов срабатывания аппаратов до возникновения отказа. Согласно методике испытания реле, изложенной в ГОСТ 17523-85, этот показатель определяется средней наработкой до отказов вида 01 и 03. Вероятности сохранения коммутационным аппаратом замкнутого и разомкнутого состояния в течение заданного времени не нормируются. В связи с этим в соответствии с табл. 3.4 для канала дистанционного управления может быть определено среднее число циклов наработки до отказов первых пяти видов. Рассчитать вероятности самопроизвольного включения или отключения привода из-за отказа канала управления не представляется возможным ввиду отсутствия исходных данных по соответствующим показателям надежности элементов. Следует отметить, что отказы этих видов встречаются значительно реже, чем пяти остальных.
Предположим, что для каждого i-го элемента задана средняя наработка до отказа тi в циклах. Так как тi велико (порядка десятков и сотен тысяч), то можно принять допущение об аппроксимации распределения дискретной случайной величины - наработки до отказа в циклах непрерывной плотностью распределения. Примем далее, что это распределение – экспоненциальное с параметром li=1/тi.При числе элементов n в системе средняя наработка до отказа системы в циклах составит
. (3.34)
При известной частоте r посылки командных сигналов оператором или системами защиты может быть определена средняя наработка до отказа системы дистанционного управления по каждому виду команд во времени: t=М/r.
Подсистема дистанционного управления АСУ ТП реализует составную дискретную функцию; показателем надежности локальной системы дистанционного управления, реализующей простую дискретную функцию, является вероятность R успешного выполнения заданной процедуры (например, включения двигателя) при возникновении запроса. Для расчета этого показателя должны быть известны вероятности безошибочного срабатывания Rci элементов системы:
.
В принципе этот показатель относится квосстанавливаемым системам. При отсутствии восстановления показатель R интерпретируем следующим образом. Приближенно можно принять, что для момента t величина 
, где fi(t) - аппроксимирующая плотность распределения наработки до отказа (в циклах); Dt соответствует одному циклу. Величина 
монотонно увеличивается с наработкой, ее усредненное значение на отрезке (0, z):
.
С большей степенью приближения можно оценить для z<<mi при экспоненциальной аппроксимации распределения на- работки до отказа. Тогда »li=1/mi, а вероятность безошибочного срабатывания системы
. (3.35)
Из проведенного выше анализа надежности системы дистанционного управления вытекает следующая последовательность расчета средней наработки до того или иного вида отказа:
1) определение команд, выполняемых системой управления;
2) составление таблицы состояний элементов, обеспечивающих выполнение определенной команды;
3) определение набора базисных событий, вызывающих отказ выполнения, и составление структурной схемы по каждому виду отказа;
4) расчет по (3.34) и (3.35) средней наработки до того или иного вида отказа.
Пример 3.3: Для рассмотренной схемы управления двигателем (рис. 3.21) рассчитать среднюю наработку до отказа (в циклах и во времени) при выполнении команды оператора и вероятность безотказной работы по этим командам за 8000 ч, если средняя частота командных сигналов составляет 0,1 вкл/час и у контактных релейных элементов отказы типа 01 и 03 равновероятны. В соответствии с техническими условиями на элементы средние наработки до отказа имеют следующие значения: пакетный переключатель КУ – 105 циклов, реле РП - 106 циклов, реле РФ - 105 циклов, реле времени - 106 циклов, магнитный пускатель – 106 циклов.
Решение:
Интенсивность отказа системы по невключению двигателя по команде оператора
l1=0,5×10-5+2×0,5×10-6+0,5×10-6+0,5×10-5+0,5×10-6=1,2×10-5 циклов-1
средняя наработка до отказа
М1=1/l1=8,3×104 циклов.
Интенсивность отказов системы по неотключению двигателя по команде оператора составляет
l2=0,5×10-5+0,5×10-6+0,5×10-5+0,5×10-6=1,×10-5 циклов-1
средняя наработка до отказа
М2=1/l2=9,1×104 циклов.
При частоте включений 10-1 вкл/ч средняя наработка до отказа первого вида составит t1=М1/r=8,3×105 ч; а второго вида – 9,1×105 ч. Вероятность безотказной работы по отказам первых двух видов
Р1,2(8000)=1-q1(8000)- q2(8000)+ q1(8000) q2(8000),
где q1(8000)= 
=0,01; q2(8000)= 
=0,009; откуда
Р1,2(8000)=1-0,01-0,009+0,010,009=0,98.
Таким образом, за 8000 ч при частоте включений 0,1 ч-1 в 100 локальных системах дистанционного управления произойдет в среднем два отказа в выполнении команды оператора.
Из проведенного выше анализа надежности системы дистанционного управления вытекает следующая последовательность расчета средней наработки до того или иного вида отказа: а) определение команд, выполняемых системой управления; б) составление таблицы состояний элементов, обеспечивающих выполнение определенной команды; в) определение набора базисных событий, вызывающих отказ выполнения и составление структурной схемы по каждому виду отказа; г) расчет по (3.34) и (3.35) средней наработки до того или иного вида отказа.
3.7. Расчет надежности систем защиты технологического оборудования
Основное оборудование тепловых и атомных электрических станций, предприятий металлургической и химической отраслей промышленности представляет собой объекты повышенной опасности, поскольку протекающие в них технологические процессы связаны с высокими температурами и давлениями, участием в них радиоактивных и агрессивных сред. Аварии таких объектов, вызванные частичным или полным выходом из строя отдельных агрегатов, резкими изменениями нагрузки или неправильными действиями персонала, сопровождаются большим экономическим ущербом и создают опасность для здоровья и даже жизни не только обслуживающего персонала, но и жите- лей близлежащих населенных пунктов.
Учитывая мощности современных технологических агрегатов, сложность алгоритмов их управления, трудно ожидать от обслуживающего персонала безошибочной ориентации в каждой возможной аварийной ситуации и правильных оперативных действий, направленных на ликвидацию нарушений технологического процесса. В связи с этим в состав АСУ ТП помимо подсистемы автоматического регулирования, обеспечивающей при нормальном режиме работы поддержание параметров в заданных пределах, часто входит подсистема защиты и блокировки, призванная путем автоматического переключения и введения резервного оборудования, снижения мощности или останова агрегата предотвратить развитие аварии.
Учитывая важность функций, выполняемых подсистемой защиты, к ней предъявляют более жесткие требования по надежности, чем к остальным подсистемам АСУ ТП. Особенно это относится к системам защиты основного оборудования АЭС. В соответствии с ГОСТ 17605 - 72 наработка на отказ системы аварийной защиты реактора должна быть не ниже 2 105 ч. Требования по надежности к подсистеме защиты значительно превышают соответствующие показатели надежности отдельных устройств, входящих в их состав, и могут быть выполнены лишь при использовании специальных схемных решений.
Подсистема защиты теплового энергоблока [14, 18] в существующей наиболее распространенной форме представляет собой древовидную структуру, ярусы которой определяются глубиной воздействия на технологический объект. К нижнему ярусу защит относятся системы автоматического включения резерва АВР и блокировки. Последние призваны предупредить ошибочные действия персонала при включении или отключении агрегатов либо изменении их нагрузки. Так, включение двигателей шнеков подачи сырого угля на мельницы возможно лишь при включенном ленточном транспортере. Команда на открытие подачи топливного газа к котлу может быть выполнена лишь при наличии расхода воздуха к горелкам и т. д.
К верхнему ярусу подсистемы защиты относится система, вызывающая останов энергоблока. Этой системе подчинены системы защиты основных агрегатов: котла, турбины, которые в свою очередь содержат индивидуальные защиты элементов агрегатов и отдельных механизмов, вспомогательного оборудования. Подсистема защиты теплового энергоблока 300 МВт насчитывает 63 защиты различных наименований.
Для обеспечения работоспособности такой сложной системы должны быть соблюдены общие принципы построения защит, определяемые правилами технической эксплуатации [19]:
1. После отключения защитой агрегата его включение может производиться только оператором после устранения причин, вызвавших срабатывание защиты.
2. При одновременном срабатывании защит приоритет имеет защита, вызывающая большую степень разгрузки агрегата.
3. Защита должна иметь одностороннюю направленность, осуществляя либо только открытие (закрытие), либо включение (отключение) .
4. Защита должна работать до завершения самой длительной операции.
5. Наличие сигнализации срабатывания защиты и регистрации первопричины ее срабатывания.
6. Возможность автоматического или ручного отключения защит при пусках и остановах агрегатов.
В технической структуре защит, как и в рассмотренных выше цепях дистанционного управления, могут быть выделены три группы элементов:
1. Информационная часть, включающая источники информации о состоянии объекта: первичные преобразователи, измерительные приборы, аналого-релейные преобразователи, вторичные приборы, контакты пускателей, контакты выключателей и др.
2. Управляющая часть, включающая релейные контактные или бесконтактные элементы, в том числе с выдержкой времени, и реализующая алгоритмы управления защитой.
3. Исполнительная часть, включающая силовые коммутационные аппараты соответствующих цепей дистанционного управления, электропривод, запорную арматуру.
Согласно статистическим данным наименее надежной частью систем защиты является первая группа элементов: первичные преобразователи с импульсными линиями, вторичные приборы и аналого-релейные преобразователи. Для достижения требуемого уровня надежности реализация этой части системы осуществляется с использованием различных способов постоянного резервирования, направленных на снижение вероятностей не- срабатывания и ложного срабатывания, вызванных внезапны- ми или метрологическими отказами средств измерения.
На рис. 3.23 представлено пять вариантов включения средств измерений в системах защиты, там же приведены электрические схемы включения контактов и структурные схемы по обоим видам отказов. Схема на рис. 3.23,а включения измерительного прибора без резервирования используется при высоконадежных измерительных приборах в системах, где ложное срабатывание защиты не связано со значительными материальными потерями. По такой схеме включаются манометры в системах автоматического ввода резерва. Защита от осевого сдвига ротора турбины также включает один датчик, поставляемый с турбиной,
| Рис.3.23. Схемы вариантов резервирования информационной части систем защиты: I – принципиальные; II – включения электрических контактов; III – структурные по отказам КЗ и Обрыв |
По схеме на рис. 3.23,б приборы включаются в том случае, если требуется высокая надежность защиты при сравнительно невысокой надежности средств измерений, а ложные срабатывания, по отношению к которым этот способ включения дает снижение надежности, не приводят к значительным потерям. По этой схеме включаются приборы в схеме защиты от превышения давления острого пара за котлом, воздействующей на открытие предохранительного клапана. Для схемы на рис. 3.23,6 при равных вероятностях отказа q типа КЗ и Обрыв каждого из приборов в соответствии с (3.1)
; 
;
; 
.
При использовании средств измерения с невысокой надежностью, что имеет место при измерении параметров измерительными комплектами, включающими первичные преобразователи и вторичные приборы, вероятность ложного срабатывания и несрабатывания защит повышается. Для их снижения используются варианты на рис.3.23, в,г,д включения приборов. Соединяя приборов по схеме на рис.3.23в снижаем вероятность ложных срабатываний, что приводит к увеличению вероятности отказа типа Обрыв по сравнению с нерезервированной системой.
Снижение этой вероятности, как было указано выше, достигается использованием сигнализации об одиночных срабатываниях приборов. Такие схемы применяются в защитах от повышения и понижения температуры пара за котлом, уровня в барабане. котла, понижения давления газа перед горелками. Для варианта 3.23,в вероятность отказов типа КЗ и Обрыв определяются выражениями:
; 
; 
; ; 
.
Варианты защит на рис. 3.23,г и д обеспечивают снижение вероятности по обоим видам отказов. В варианте на рис. 3.23,г ложное срабатывание любых двух приборов (1, 2 или 3, 4) приведет к соответствующему отказу цепи, т. е. при резервном со- единении приборов 1, 2 и 3, 4 по отказу типа КЗ группы из двух приборов находятся в основном соединении. По этому виду отказов в варианте на рис. 3.23,г осуществляется поэлементное резервирование. Для отказов типа Обрыв наличие параллельной группы контактов приводит к общему резервированию по этому виду отказов.
Для схемы на рис. 3.23,г вероятность ложного срабатывания контактной цепи
.
откуда 
, а вероятность несрабатывания контактной цепи
,
тогда 
.
Как было рассмотрено выше, схема на рис. 3.23,д соответствует мажоритарному резервированию средств измерений. Отказы контактной цепи по ложным срабатываниям и несрабатываниям равновероятны
; 
.
При защите котла от снижения расхода питательной воды на его входе расходомеры включаются по схеме на рис. 3.23,г. По схеме на рис. 3.23,д приборы соединяются в системах защиты оборудования АЭС.
Ниже приведены результаты расчета BQкз и BQоб рассмотренных схем резервирования по обоим видам отказов:
Наличие в системах защиты цепей «несоответствия», сигнализирующих о срабатывании одного из приборов, позволяет в значительной мере выявить их отказы и произвести своевременный ремонт. Следует отметить, что легко выявляются отказы типа КЗ, отказы типа Обрыв обнаруживаются только при аварийных отклонениях параметров, когда происходит несрабатывание одного из приборов или всей защиты. Трудности контроля наличия отказов этого вида частично устраняются путем контроля правильности срабатывания защиты при пусках и остановах агрегатов, резких изменениях нагрузки, при которых исполнительная часть защиты отключается.
Чем глубже воздействие защиты на технологический объект и выше ступень иерархии, тем больше число входящих в алгоритм управления величинами, сложнее их связи. Аналогичное усложнение с повышением ступени иерархии наблюдается и у исполнительной части систем защиты. Если в системах АВР исполнительной частью служит силовой коммутационный аппарат включения резерва, то в системе останова энергоблока - это совокупность аппаратов, в определенной последовательности выполняющих операции по останову энергоблока.
Подсистема защиты АСУ ТП выполняет составную дискретную функцию. Приведенные на рис. 3.23 локальные системы защиты по одному технологическому параметру - простые дискретные функции. Их показателями являются вероятность успешного выполнения заданной процедуры - срабатывания при возникновении запроса, вероятности безотказной работы за заданное время по каждому из видов отказов — несрабатыванию и ложному срабатыванию. Характерным показателем безотказности при учете восстановления служит параметр потока ложных срабатываний (средняя наработка на ложное срабатывание).
Особенности расчета надежности систем защиты обусловлены характером работы их элементов и системы в целом. Так, информационная часть в своей наименее надежной части - первичные преобразователи, вторичные приборы, импульсные линии - работает непрерывно и ее надежность определяется рассмотренными выше метрологическими и внезапными отказами соответствующих элементов. Управляющая и исполнительная части включаются в работу только при сравнительно редких аварийных отклонениях параметров. Надежность входящих в их состав коммутационных аппаратов, как было показано в п. 3.6, определяется числом циклов наработки до отказа, составляющим в среднем 105 - 106 циклов. Поскольку частота аварийных отклонений параметров низка, то исполнительная и управляющие части имеют достаточно высокую надежность. Как показывает опыт эксплуатации, только пятая часть отказов систем защит обусловлена отказами элементов управляющей и исполнительной частей. Система защиты, как и дистанционного управления, имеет два состояния - наличие и отсутствие сигнала управления электроприводом. В связи с этим методика расчета надежности систем защиты имеет много общего с рассмотренной выше методикой расчета надежности дистанционного управления. При выполнении расчета также можно выделить следующие этапы: а) составление таблицы состояний элементов при нахождении системы в состоянии ожидания и при срабатывании; б) определение набора базисных событий, вызывающих ложное включение и невключение защиты, и составление структурных схем; в) расчет показателей надежности системы.
| Рис.3.24. Схема системы АВР: а – общие цепи; б – технологическая схема включения насосов; в – выходные цепи включения резервного двигателя; г – цепь готовности; д, е – структурные схемы |
Методику расчета надежности защиты рассмотрим на при- мере системы автоматического ввода резерва (ABP) для двух насосов (рис. 3.24,а). Система подобного типа фигурировала в приведенной выше цепи дистанционного управления двигателем (см. рис. 3.21). В рассматриваемой системе один насос работает, а другой находится в резерве. Срабатывание ABP осуществляется при снижении давления на напорной стороне работающего насоса или при его аварийном отключении защитой. На напорной стороне каждого из насосов (рис. 3.24,6) включен обратный клапан ОК, отсекающий насос от магистрали при падении давления на напорной стороне насоса, и электроконтактный манометр ЭКМ, измеряющий это давление и имеющий две пары контактов: пара 1ЭКМ1, 1ЭКМ2 замкнута при пониженном давлении на напорной стороне насоса, пара 2ЭКМI, 2ЭКМ2- при достижении нормального значения давления (рис. 3.24,a).
Положения I, II ключа ПВ служат для выбора резервного насоса, третье — для выключения ABP. Система ABP переходит в нормальный режим при включении рабочего насоса и достижении заданного давления. При этом контакты 2ЭКМ1 замыкаются и запитывается реле РИ1, самоблокирующееся контактом IРИI. В этом режиме контакты 1ЭКМ1 и 1В1 разомкнуты, а 2РИ1 замкнуты. При отключении насоса 1 замыкаются размыкающие контакты выключателя IBI, что приводит к поступлению сигнала на выходное реле РА и при соответствующем положении ключа ПВ к замыканию контакта ЗРА и включению цепи питания насоса 2 (рис.3.24,в). К аналогичному срабатыванию АВР приводит замыкание контактов 1ЭКМ1 при падении давления на напорной стороне насоса 1. Выходное реле РА контактом 1РА разрывает цепь обмотки реле РИ, возвращая систему АВР в исходное состояние.
При работающем насосе 1 готовность к работе системы АВР определяется состоянием реле РИ1, которое зависит от работоспособного состояния манометра ЭКМ1 и замыкания его кон- тактов 2ЭКМ1 при нормальном давлении. Наличие цепи в схеме рис. 3.24,г говорит о готовности АВР к работе.
Вероятность правильного срабатывания АВР определяет отношение числа своевременно произведенных системой включений резервного насоса к общему числу аварийных ситуаций, требовавших его включения. Поскольку система АВР является дополнительным элементом канала дистанционного управления механизмами, то она может служить источником отказов, приводящих к ложному включению резервного насоса.
У рассматриваемой АВР информационная часть состоит из четырех элементов: ЭКМ1, ЭКМ2, В1, В2. Управляющая включает реле РИ1, РИ2, РА. Исполнительная часть, содержащая управляющий коммутационный аппарат, включает дополнительно ряд релейных элементов. Так, в цепи управления магнитным пускателем (см. рис. 3.21) сигнал управления от АВР вызывает перекоммутацию реле РФ и РВ, управляющих пускателем МП. Их надежность учитывается при расчете надежности исполнительной части АВР, как это было сделано в п.3.6.
Поскольку все элементы системы АВР имеют релейные характеристики и им свойственны четыре вида отказов, рассмотренные в п 3.6 и обозначенные как 01, 02, 03, 04, то в табл. 3.5 по аналогии с табл. 3.3, 3.4 указаны состояния элементов при четырех работоспособных состояниях системы, приведены неработоспособные состояния и вызвавшие их разновидности отказов элементов. Исполнительная часть системы защиты, включающая перечисленные выше элементы, в табл. 3.5 представлена в виде одного обобщенного элемента - исполнительного коммутационного аппарата КА. Наличие цепей контроля (рис. 3.24,г) позволяет своевременно выявить неподготовленность цепей управления АВР, вызванных отказом реле РИ1, РИ2 или контактов В1, В2. В связи с этим при допущении о без- отказной работе цепи контроля и оператора отказ реле РИ исключен из числа отказов элементов, вызывающих несрабатывание защиты. В табл. 3.5 не содержатся отказы АВР, связанные с ее неподготовленностью, поскольку перевод АВР на второй резервный насос производится оператором ключом ПВ при контроле состояния готовности.
Как видно из таблицы, показатели надежности системы защиты при любом работающем и резервном насосе одинаковы. На рис. 3.24,д представлена структурная схема по отказам типа «ложное срабатывание», а на рис. 3.24,е - несрабатывание при работающем первом насосе. Как было указано в п. 3.6, у релейных элементов 3 — 9 вероятности ложных срабатываний за время t не нормируются и, как правило, невелики. В связи с этим
Надежность теплообменного оборудования паротурбинных установок
Задача оценки надежности элементов паротурбинных установок (ПТУ), как правило, сводится к определению численных значений показателей надежности функционирования конкретного оборудования (группы оборудования). Решение этой задачи предусматривает, кроме расчета самих показателей надежности, представление результатов в таком виде, чтобы иметь возможность сформулировать соответствующие рекомендации не только техническому персоналу, но и руководству ТЭС [1]. Наибольшую ценность эти данные будут иметь при использовании реальных показателей надежности оборудования. В связи с этим появилась необходимость создания базы данных по надежности оборудования (в том числе и в рамках создания экспертной системы диагностики) с периодическим обновлением ее содержания. При рассмотрении надежности оборудования ПТУ в данном аспекте, по нашему мнению, имеет смысл рассматривать понятие надежности, условно классифицируя его в зависимости ют интервала времени, на котором рассматривается работа оборудования ПТУ. При рассмотрении надежности оборудования на большом интервале времени (до нескольких лет) целесообразно применять расчеты показателей надежности при сопоставлении и выборе перспективного энергетического оборудования, экономической оценке риска, стратегии инвестирования в объекты энергетики и т.д. В настоящее время в условиях практически полного отсутствия ввода новых мощностей в энергетике [2] не- обходимо обратить особое внимание, используя результаты расчета надежности, на Эффективность использования существующего оборудования и целесообразность модернизации или частичной его замены. Основными критериями принятия решений. Здесь будут уменьшение затрат материалов, а также эксплуатационных и капитальных Затрат в контексте общей эффективности оборудования. В связи с этим показатели надежности приобретают ярко выраженный финансовый