2014-02-17
381
Оглавление
Надежность и диагностика информационно-управляющих систем
Санкт-Петербург
2012 г.
Настоящее учебное пособие включает базовые положения современной теории надежности и технической диагностики. При этом обсуждаются новые характерные для некоторых информационно-управляющих систем понятия информационного отказа и информационной надежности. Описываются основные идеи тестового и функционального диагностирования, алгоритмы синтеза средств диагностирования и подходы к их организации. Пособие может быть использовано при подготовке магистров по направлению «Системы управления движением и навигации».
Введение. 5
Часть 1. Надежность технических систем. 6
1. Вероятностная оценка надежности технической системы.. 6
1.1. Экспоненциальный закон надежности. 8
1.2. Системы, резервированные по методу голосования. 10
1.3. Резервированные системы с параллельным включением резервных элементов 11
Вопросы.. 12
2. Простейший поток событий и марковские модели функционирования технической системы.. 12
2.1. Потоки событий. Простейший поток и его свойства. 12
2.2. Аппроксимация потока редких событий пуассоновским потоком. 15
2.3. Марковские модели функционирования технической системы.. 16
2.4. Непрерывные цепи Маркова. 17
2.5. Резервированные системы с восстановлением. Уравнения Колмогорова 19
Вопросы.. 22
3. Аппаратурная и информационная надежность навигационной системы 23
Часть 2. Техническая диагностика. 29
4. Основные принципы проектирования средств диагностирования. 29
4.1. Назначение и достоверность средств диагностирования. 29
4.2. Математические модели объектов диагностирования. 36
4.2.1. Модели безынерционных преобразователей. 36
4.2.2. Динамические модели. 39
4.2.3. Логико-динамические модели мультирежимных систем. 45
4.3. Иерархический подход к проектированию и организации средств диагностирования. 47
4.4. Организация диагностирования. Безусловные и условные диагностические эксперименты.. 50
4.5. Диагностические экспертные системы.. 54
4.6. Структура средств диагностирования навигационной системы.. 58
Вопросы.. 62
5. Методы тестового диагностирования. 63
5.1. Тестовое диагностирование безынерционных преобразователей. 63
5.2. Тестовое диагностирование динамических устройств. 65
5.2.1. Тестовое диагностирование дискретных устройств. Общий подход 65
5.2.2. Тестовое диагностирование линейных дискретных устройств. Структурный подход. 66
5.2.3. Тестовое диагностирование линейных дискретных устройств. Абстрактный подход. 72
5.2.4. Тестовое диагностирование аналоговых линейных устройств. 74
5.3. Тестовое диагностирование мультирежимных систем. 77
5.3.1. Принципы тестового диагностирования мультирежимных систем. 77
5.3.2. Тестовое диагностирование процессора. 79
5.4. Тестовое диагностирование распределенных информационно-управляющих систем 81
5.4.1. Структура средств диагностирования. 81
5.4.2. Построение проверяющего теста. Управляемость и наблюдаемость периодически нестационарной системы.. 82
5.4.3. Синтез модели системы обмена. 84
6. Методы функционального диагностирования. 89
6.1. Методы функционального диагностирования для обнаружения отказов 90
6.2. Функциональное диагностирование при поиске структурных нарушений 98
6.3. Функциональное диагностирование при поиске отказов в пространстве сигналов 104
6.4. Функциональное диагностирование при поиске отказов в пространстве параметров. 110
6.5. Функциональное диагностирование информационных отказов в интегрированной навигационной системе. 116
Вопросы.. 119
Приложение 1. Основные понятия теории вероятностей. 119
Приложение 2. Модели представления знаний. 122
Приложение 3. Основы нечеткого анализа. 130
Литература. 137
Введение
Представленные в этом учебном пособии два научных направления – теорию надежности и теорию технической диагностики – в последние годы принято рассматривать во взаимосвязи, имея в виду их взаимное проникновение и влияние. Каждое из них имеет славную историю, отраженную в многочисленных публикациях. Затрагиваемые далее вопросы решаются разработчиками по отношению к любой технической системе, причем не обязательно информационно-управляющей. В связи с этим и учебные дисциплины, освещающие эту проблематику, давно стали необходимым элементом инженерного образования.
Пособие состоит из двух частей, первая из которых посвящена теории надежности, а вторая – теории технической диагностики. Подбор материала осуществлен с учетом требований к подготовке магистров по направлению «Системы управления движением и навигация».
Теорию надежности технических систем с одной стороны можно охарактеризовать как весьма математизированную дисциплину, а с другой стороны как дисциплину, практическая значимость которой не безусловна. Действительно, нельзя не согласиться с важностью вопросов, обсуждаемых в теории надежности, главным среди которых является вопрос о предполагаемой надежности разработанной системы. При этом практическая значимость этой теории всё-таки не безусловна, поскольку можно поспорить об адекватности предлагаемых ею оценок.
В отличие от теории надежности теория диагностирования не столь математизирована. Для нее подчас характерно использование эвристических приемов диагностирования, эффективность которых может быть определена лишь на интуитивном уровне. При этом практическая значимость теории диагностирования ни у кого не вызывает сомнения. Каждый инженер, разработавший узел, устройство или систему, обязан и вынужден проверять работоспособность своей разработки и при необходимости заниматься поиском в ней отказов.
Материал первой части пособия в значительной степени традиционен. При этом в ней сделан акцент на рассмотрении различных вариантов избыточных систем. Особенностью представленного материала является рассмотрение вопросов информационной надежности навигационных систем.
Материал второй части пособия, хотя и содержит признанные специалистами результаты, но в существенно меньшей степени апробирован в учебном процессе. В него включены сведения об общих принципах проектирования средств диагностирования, а также информация о конкретных методах обнаружения и поиска отказов.
Материал, приводимый ниже, содержит лишь начальные сведения по обоим этим направлениям. Углубить свои знания возможно, обратившись, например, к литературе, приведенной в конце настоящего пособия.
Часть 1. Надежность технических систем
1. Вероятностная оценка надежности технической системы
В первых двух разделах излагаются элементарные сведения из теории надежности информационно-управляющих систем, которая позволяет отвечать на следующие важные вопросы. Как долго конкретная техническая система может проработать без отказов? Как часто она будет отказывать? Как ответы на эти вопросы зависят от структуры системы, а также от качества средств обнаружения и поиска отказов? Все эти вопросы и, как следствие, ответы на них носят прогнозный характер и формулируются на языке теории вероятностей. С основными понятиями теории вероятностей можно познакомиться по материалам Приложения 1.
Всем понятно, что надежность – это одна из наиболее важных характеристик эффективности для любой информационно-управляющей системы. Однако попробуем определить это понятие формально, предварительно остановившись на термине работоспособное состояние системы. Эти слова интуитивно понятны любому человеку и вроде бы не требуют каких либо пояснений. Тем не менее, государственный стандарт дает этому понятию достаточно сложное определение как состояния, в котором система. должна быть способна выполнять заданные функции, сохраняя значения основных параметров в пределах, установленных нормативно-технической документацией. При этом свойство системы сохранять работоспособное состояние в определенных условиях эксплуатации и называют ее надежностью. Время от времени в системе могут возникать нарушения работоспособности – отказы. Если отказ - самоустраняющийся и кратковременный, то его называют сбоем.
Любой отказ системы является следствием некоторой причины. Традиционно полагается, что к отказам приводят дефекты элементов системы, т.е. любые несоответствия элемента предъявляемым требованиям [6, 14]. Дефекты различают по их влиянию на работу элемента и, в частности, выделяют малозначительные и критические дефекты. Малозначительные дефекты несущественны для дальнейшего использования элемента, критические же, наоборот, приводят к отказу элемента, который, в свою очередь, может повлечь за собой отказ системы. Появление дефекта необязательно сопровождается немедленным отказом системы. Отказ может либо произойти позже, либо вообще не произойти. Причиной задержки в появлении отказа системы может служить слабое влияние дефекта на работоспособность системы в момент его возникновения и на некотором последующем отрезке времени. Причиной непоявления отказа при наличии дефекта является избыточность системы.
Традиционно используемый на практике подход к оценке надежности системы состоит в учете лишь тех отказов, которые являются следствием возникновения критических дефектов (отказов) в элементах аппаратуры и при которых восстановление системы возможно лишь путем замены дефектного (отказавшего) элемента [6, 14]. Надежность системы зависит от состава и количества входящих в нее элементов, от надежностных характеристик каждого из элементов, от способа соединения этих элементов в систему, а также от используемой дисциплины обслуживания системы (используемых средств и процедур диагностирования и восстановления). Заметим, что деление на системы и элементы условно и зависит от постановки задачи. Так, например, процессор ЭВМ может рассматриваться как система, состоящая из логических элементов, проводников, конденсаторов и т.п., или как элемент более сложной системы – ЭВМ. Для оценки надежности системы или элемента используют целый ряд количественных характеристик. Для краткости ниже в основном говорится о надежностных характеристиках для элемента, однако аналогичные определения могут быть приведены и для системы.
Процесс возникновения отказов является случайным ввиду множественности причин, влияющих на их появление. В связи с этим для оценки надежности системы используются различные статистические характеристики, показывающие степень подверженности системы отказам, например, вероятность 
безотказной работы системы на интервале [0, t]. Эта характеристика системы определяется через аналогичные характеристики для ее элементов. Последние же представляют собой справочные данные, получаемые в результате проведения испытаний элементов на надежность.
Основной надежностной характеристикой элемента является вероятность 
его безотказной работы (ВБР), под которой понимается вероятность того, что данный элемент в данных условиях будет работать безотказно на интервале времени 
. Часто эту характеристику называют надежностью элемента или законом надежности. Вероятность 
противоположного события, а именно того, что элемент на интервале времени откажет, называется вероятностью отказа элемента.
Рассмотрим время 
безотказной работы элемента как непрерывную случайную величину. Тогда функция распределения вероятностей 
этой случайной величины, определяемая как вероятность того, что 
, т.е. 
, представляет собой вероятность отказа элемента на интервале времени . Имеем:
. (1.1)
При этом производная от функции есть плотность распределения вероятности времени безотказной работы
. (1.2)
В качестве характеристики надежности элемента часто применяется среднее время безотказной работы 
, т.е. математическое ожидание величины 
,
Еще одна характеристика надежности – это интенсивность отказов 
. Она задается отношением
(1.3)
и представляет собой условную плотность вероятности отказа элемента в данный момент времени 
при условии, что в предшествующий момент времени он работал безотказно. Этот факт становится очевидным, если на основе последнего выражения записать вероятность отказа элемента на интервале 
.
Для уточнения физического смысла понятия интенсивности отказов, кроме вероятностной трактовки (1.3), приведем также и статистическую трактовку. Представим себе процесс испытания элементов на надежность. Пусть при этом одновременно испытывается большое число N однотипных элементов, каждый до момента своего отказа. Обозначим через n (t) – число элементов, исправных к моменту t, а через m (t, t+ ∆ t) – число элементов, отказавших на малом отрезке времени (t, t+ ∆ t). В этих обозначениях вероятность p (t) безотказной работы элемента на интервале времени [0, t ] приближенно определяется выражением
, (1.4)
а вероятность отказа элемента на интервале (t, t+∆t) выражением
. (1.5)
Тогда выражение для плотности вероятности отказа имеет вид
. (1.6)
Поделив в соответствии с (1.3) выражение (1.6) на выражение (1.4), получаем для
,
т.е. поскольку 
есть среднее число отказов в единицу времени, то интенсивность отказов представляет собой среднее число отказов в единицу времени, приходящееся на один работающий элемент. Именно этой трактовкой можно объяснить выбранное для рассматриваемой характеристики название «интенсивность».
1.1. Экспоненциальный закон надежности
Можно выразить надежность элементачерез интенсивность его отказов. Действительно, используя соотношение (1.3), и с учетом правил дифференцирования натурального логарифма получаем
откуда
.
В частном случае, когда 
и с учетом начального условия p (0)=0 получаем экспоненциальный закон надежности
(1.7)
Для этого закона функция распределения времени безотказной работы имеет вид
а плотность распределения и среднее время безотказной работы будут:
; (1.8)
.
Во многих практических случаях предположение о постоянстве интенсивности отказов выполняется. В связи с этим экспоненциальный закон надежности получил на практике широкое распространение. Физическое обоснование этому факту обычно видят в следующем. Все время существования технической системы разбивают на три этапа (рис. 1.1).
На начальном этапе (этапе разработки) (0, t 1) система подвергается испытаниям, во время которых отказывают и заменяются новыми все ненадежные элементы, т.е. система характеризуется повышенной интенсивностью отказов. На втором этапе (t 1, t 2) система эксплуатируется при постоянной интенсивности отказов, на третьем этапе t > t2 интенсивность отказов увеличивается из-за процессов старения элементов. Заметим, что в теории надежности технических систем используется не только экспоненциальный закон. Так, описание процессов старения осуществляется на основе гауссовского (нормального) распределения времени наработки на отказ.
Рассмотрим задачу определения надежности системы по характеристикам надежности ее элементов. Пусть система s состоит из
n элементов: 
. Допустим, что характеристики надежности элементов известны. Необходимо определить надежность системы. Она будет зависеть не только от надежности элементов, но и от того, насколько работа каждого элемента необходима для работы системы в целом. Предположим, что отказ любого элемента приводит к отказу системы. Такие системы называются простыми или нерезервированными. Выразим ВБР 
простой системы s на интервале (0, t) через ВБР 
ее элементов на этом же интервале
.
Обозначив через 
– интенсивность отказов системы, а через 
- интенсивность отказов i –го элемента (
), получим
.
Отсюда следует равенство
,
которое показывает, что надежность системы возрастает с уменьшением числа составляющих ее элементов и повышением их надежности.
В случае, когда надежность системы оказывается недостаточной, для ее повышения прибегают к использованию, например, структурной избыточности или структурного резервирования, при котором предусматривается использование избыточных структурных элементов [6].
1.2. Системы, резервированные по методу голосования
Исторически первыми появились системы, резервированные по методу голосования, или мажоритарные системы (системы с мажоритарной структурой). Такие системы содержат n одинаковых элементов (e1…en), объединенных схемой голосования «k из n»(k/n) (k<n) (рис. 1.2). 
Последняя представляет собой безынерционную схему выявления отказавших элементов, в основу которой положен логический анализ результатов всевозможных попарных сравнений выходных параметров элементов. На выход мажоритарной системы передается информация y, совпадающая с выходной информацией, по крайней мере, в k из n элементов. Отказавшие элементы системы не восстанавливаются после отказа. По этой причине подобные системы относят к классу резервированных систем без восстановления.
Здесь, как и во всех ниже рассматриваемых структурах, уровень сложности элемента может быть любой (функциональный узел, блок, система). Недостатком рассмотренного варианта является неполное использование аппаратурных ресурсов, поскольку отказ системы наступает, когда в ее составе присутствуют k -1 исправных элементов. Заметим, что для простоты здесь и далее не учитывается ненадежность схемы голосования.
Пример. Пусть система состоит из трех одинаковых элементов, характеризующихся на заданном интервале времени надежностью 
; 
= 1-
= 0,3 и пусть используется правило голосования 2/3. При этом отказ системы наступает, когда один из ее элементов еще исправен. Тогда ВБР системы при n=3 и k=2 равна
.
1.3. Резервированные системы с параллельным включением резервных элементов
Недостаток мажоритарной системы, состоящий в неполном использовании аппаратурных ресурсов, преодолевается при применении резервирования («горячего» или «холодного») с параллельным включением резервных элементов. Эти системы так же, как и предыдущие, относятся к классу резервированных систем без восстановления. При «горячем» резервировании (рис. 1.3), как и в случае с мажоритарными системами, обычно нет четкого разделения на основные и резервные элементы, поскольку питание включено на всех элементах, и во всех элементах одновременно реализуется процесс обработки информации.
При использовании резервирования формирование выходной информации осуществляется не на основе схем голосования, а с опорой на встроенные в каждый элемент средства диагностирования (СД). Последние представляют собой аппаратурные или программные средства, позволяющие обнаруживать и диагностировать (указывать место) возникающие сбои и отказы. СД каждого элемента 
при обнаружении отказа или сбоя вырабатывают сигнал ошибки 
, на основании которого специальный решающий орган (РО) запрещает участие данного элемента в формировании выходной информации системы.
Выражение для оценки надежности системы по надежности 
ее элементов в случае «горячего» резервирования и при условии независимости отказов элементов (когда отказ одного элемента не приводит к отказу другого) имеет вид
. (1.9)
Заметим, что как мажоритарная система, так и система с «горячим» резервированием в процессе эксплуатации даже при постоянстве 
по мере отказов элементов постепенно деградируют, снижая свою надежность. При этом суммарная интенсивность отказов элементов системы также постепенно снижается – сначала она равна 
, затем 
и т.д.
Случай «холодного» резервирования будет рассмотрен в разделе 2.
Пример. Пусть система, содержащая один элемент, имеет надежность на заданном интервале времени t: 
. Тогда при «горячем» трехкратном резервировании ее надежность в соответствии с (1.9) равна:
.
Вопросы
1. Понятия отказа, работоспособного состояния и надежности технической системы.
2. Понятие аппаратурного отказа навигационной системы.
3. Понятие информационного отказа и информационного нарушения навигационной системы.
4. Понятия аппаратурной надежности навигационной системы.
5. Понятия информационной надежности навигационной системы.
6. Интенсивность возникновения отказов.
7. Экспоненциальный закон надежности.
8. Основные характеристики надежности невосстанавливаемых систем.
9. Основные характеристики надежности восстанавливаемых систем.
10. Определение надежности простой системы по надежности ее элементов.
2. Простейший поток событий и марковские модели функционирования технической системы
2.1. Потоки событий. Простейший поток и его свойства
Потоком событий называется последовательность однородных событий, следующих одно за другим в какие-то обычно случайные моменты времени.
Примерами потоков могут служить: поток двигающихся по некоторому маршруту судов, поток отказов системы, поток выбросов случайного процесса за заданный уровень и т.д. На практике чаще всего встречаются потоки событий, для которых моменты наступления событий и, как следствие, промежутки времени между ними случайны. В качестве математической модели реальных потоков, как правило, используется так называемый простейший (стационарный пуассоновский) поток. Этот поток обладает тремя свойствами: стационарность, отсутствие последействия, ординарность. Определим эти свойства.
Поток событий называется стационарным, если вероятность попадания того или иного числа событий на интервал времени (0, t) зависит только от длины интервала и не зависит от того, где именно на оси времени расположен этот интервал.
Здесь и далее будем полагать, что точка начала координат (t =0) произвольно может быть размещена на оси времени, отмечая, например, момент начала работы рассматриваемой системы.
Поток событий называется потоком без последействия, если для любых непересекающихся интервалов времени число событий, попадающих на один из них, не зависит от того, сколько событий попало на любой другой интервал.
Поток событий называется ординарным, если вероятность попадания на достаточно малый интервал двух и более событий пренебрежимо мала по сравнению с вероятностью попадания одного события.
Простейший поток играет среди других потоков особую роль, поскольку можно доказать [6], что при суперпозиции достаточно большого числа потоков, обладающих последействием (лишь бы они были стационарны, ординарны и сравнимы по интенсивности), образуется суммарный поток, который можно считать простейшим, и тем точнее, чем больше потоков суммируется.
Если поток событий не имеет последействия, ординарен, но не стационарен, он называется нестационарным пуассоновским потоком. В таком потоке интенсивность (среднее число событий в единицу времени) зависит от времени 
, тогда как для простейшего потока 
.
Простейший поток дополнительно называется пуассоновским, поскольку время между событиями в этом потоке распределено по экспоненциальному закону и, как следствие, число событий, попадающих на любой из временных интервалов, распределено по закону Пуассона. Первый факт является следствием трех базовых свойств простейшего потока. Его справедливость следует из соотношений, которые были рассмотрены в предыдущем разделе при обсуждении экспоненциального закона надежности технической системы и основаны на выражении (1.3) для интенсивности возникновения отказов. Проанализируем эти соотношения еще раз уже в новом контексте с учетом свойств простейшего потока.
Пусть некоторое событие потока возникло в момент времени t= 0. Запишем вероятность dq (t) появления следующего за ним события потока (одиночного события в силу ординарности потока) на интервале (t, t+dt). Эта вероятность в силу отсутствия последействия не будет зависеть от предыстории потока, т.е. от того, какие значения принимал временной интервал между событиями в прошлом
