Надежность и безопасность структурно-сложных систем

 Рябинин И.А., д.т.н., проф.,  контр-адмирал, Санкт-Петербург

Большинство реальных систем относятся к классу структурно-сложных систем (ССС). Из-за трудностей  математического характера и сложностей структурирования задач подобного рода они, как правило, изучаются описательным путем, что явно недостаточно для сегодняшнего уровня развития техники.  Специальная часть современного математического аппарата — логико-вероятностные методы (ЛВМ) позволяет более  простым и удобным способом решать задачи обеспечения надежности и безопасности ССС при их проектировании и эксплуатации.
 

Логика нужна не только для того, чтобы умело проектировать и эксплуатировать ЭВМ,
логика - в первую очередь элемент общения
Я.Голота, математик

Феномен сложности современных технических систем (отраслевых и региональных информационно-вычис­лительных систем, робототехнических комплексов, атомных элек­тростанций и ледоколов, АПЛ и надводных кораблей, пилотируемых орбитальных станций и косми­ческих кораблей, и др.), не познан до конца в научном плане и не решен удовлетворительно в прикладном смысле. 

Не смотря на то, что вероятности аварий на больших технических системах меньше, чем у простых систем, их последствия более масштабны и ликвидируются тяжелее. А работа таких больших систем подчас зависит от нескольких операторов, их квалификации и мастерства. Поэтому в условиях дальнейшего нарастания сложности и числа больших ССС, вопросы надежности и безопасности техники, порядка и организованности приобретают всё большее значение в мировом масштабе.

Единственным практически реальным путем для проектирования и исследования ССС является моделирование. ССС описываются сценариями сетевого типа, а при решении задач используются логико-вероятностные модели. Логико-вероятностные методы предоставляют большие возможности при анализе влияния любого элемента на надежность и безопасность структурно-сложной системы.

Становление теории надежности, живучести, безопасности (НЖБ)

К решению проблем надежности и безопасности автору пришлось обратиться ещё в 1958 г., когда начальник «Электротехнического факультета» ВМА контр-адмирал Веретенников Л.П. приказал мне, в то время преподавателю кафедры «Корабельных электроэнергети­ческих систем», переключиться с традиционной электротехники на разработку математического аппарата для решения проблем надёжности и живучести корабельных электроэнергетических систем (КЭС). Такое решение было принято в связи с указанием  Управления Кораблестроения ВМФ СССР вплотную заняться ком­плексным решением проблем надёжности и живучести АПЛ.

Стремительное развитие атомной энергетики, соз­дание ядерного щита страны на суше и на море в 1950-е гг.  потребовали от ученых, инженеров, специалистов поиска принципиально новых подходов решения проблем надёжности и живучести сложных технических систем, в том числе, подводных и над­водных кораблей, оснащённых ядерными энергетическими установками (ЯЭУ). Использование тради­ционных методов становилось неэффективным. К разработке новых методов и подходов я как военный инженер, защитивший кандидатскую диссертацию по электроэнергетическим системам кораблей, был привлечен в конце 1958 г.  В июле 1959 г. в Обнинске состоялось мое знакомство с первой в мире АЭС и действующей корабельной атомной энергоустановкой. В мае 1960 г. прошел ста­жировку на первой серийной ПЛА проекта 627А в Западной Лице.

Математический аппарат логико-вероятностного метода (ЛВМ), разработанный на базе теоретических трудов Дж. Буля, увидевшего связь между логикой и вероятностью, и К. Э. Шеннона, создателя теории информации и связи, впервые я представил в учебном пособии «Теоретические основы проектирования электроэнергетических систем кораблей» [5] в 1964 г.

В 1967 г. в «Основах теории и расчёта надёжности судовых электроэнергетических систем» [6] логико-вероятностный метод для их исследования был определен как метод для расчёта надёжности КЭС, при котором структура судовой энергетической системы описыва­ется средствами математической логики, а количественная оценка надёжности произво­дится с помощью теории вероятностей. Докторская диссертация (1967 г.) была посвящена разработке теории и методов количественной оценки надежности электроэнергетических систем атомных подводных лодок [3].

В условиях строжайшей секретности, для того чтобы опубликовать результаты исследований на­дёжности электроэнергетических систем атомных подводных лодок в открытой печати, пришлось ссылаться на примеры СЭС атомного ледокола «Ленин» (в монографии «Основы теории и расчёта надёжности судовых электроэнергетических систем», переизданной в 1971 г. большим тиражом, а в 1976 г. и на английском языке). Таким образом удалось донести до заинтересованных специалистов новые методы решений проблем надёжности и живучести таких структурно-сложных систем, как ПЛА.

Рис. 1. Принципиальная схема генерирования и распределения электроэнергии атомного ледокола Ленин»: ГРЩ1 и ГРЩ2 — носовой и кормовой главные распределительные щиты; АРЩ — аварийный распределительный щит; ТП—ТГ5 — турбогенераторы мощностью 1000 кВт; ДГ6 — дизель-генератор мощностью 1000 кВт. ЛДП и ЛДГ2 — аварийные дизель-генераторы мощностью по 100 кВт; ЩАПГ1. 1ЦАПГ2 — щиты атомной парогснераторной установки правого и левого бортов; ЩР — шит рулевого устройства; ЩЭ1 — шит систе­мы элсктродвижения среднего винта; ЩТГО! и ЩТГ02 — щиты носового и кормового турбогенераторных отделений: ЯП1. ЯП2 — ящики с переключателями; Р1Ц — вторичные распределительные щиты; 1ЦПБ1 и 1ЦПБ2 — щиты питания с берега (носовой и кормовой); ЩКС — шит креновой системы.

Логико-вероятностная теория безопасности

К разработке логико-вероятностной теории безо­пасности (ЛВТБ) вплотную я приступил в середине 1970-х гг. Большинство учёных в то время отвергало само понятие «безопасность», пытаясь приспособить теорию надёжно­сти к оценке безопасности. Последующее десятилетие с Чернобыльской трагедией 1986 г. подтолкнуло человечество к пониманию того, что надёжная и живучая система может быть весьма опасной.  До неё это казалось принципиально невозможным.

Советские атомные электростанции академик А. П. Александров считал «абсолютно безопасными». Академик В. А. Легасов в те годы писал: «...в руках квалифици­рованных людей наши аппараты казались и надежными, и безопасно эксплуатируемыми. Беспокойство о повышении безопасности АЭС казалось надуманным вопросом, потому что это была среда вы­сококвалифицированных специалистов, они были убеждены, что вопро­сы безопасности решаются исключительно квалификацией и точностью инструктирования персонала. <...> Я не видел ни одного в Советском Союзе коллектива, который мало-мальски компетентно ставил бы и рас­сматривал эти вопросы» [4].

Академик Ю. Н. Руденко в том же 1986 г. утверждал, что: «...в процессе нормальной эксплуатации АЭС загрязнение окружающей сре­ды на несколько порядков меньше загрязнения, создаваемого электро­станциями, работающими на угле. Поэтому, говоря о проблеме безопас­ности в энергетике, следует иметь в виду не только и даже не столько АЭС, а средства добычи, переработки, передачи, хранения и распределения различных видов энергии и энергоносителей...» [5].

После Чернобыльской трагедии, в конце 1980-х гг. была сформирована Государственная науч­но-техническая программа (ГНТП) «Безопасность», к работе по которой приступили в 1991 г. [6]

Требовалось объединить науки о надёжности, живучести и безопас­ности в единую комплексную науку НЖБ.

Понятия надёжность и живучесть характеризуют свойства системы сохранять работо­способность при штатных и форс-мажорных воздействиях на неё. Безопасность же определяет способность системы не причинять ущерба большого масштаба окружающей среде и самой себе, в том числе [7]. Кому как не военным морякам, ученым была понят­на необходимость комплексного решения проблем НЖБ ещё до Чернобыльской трагедии. Ведь только на атомных подводных лодках ВМФ СССР за 25 лет (с июля 1961 г. по декабрь 1985 г.) произошло 10 аварий, в том числе, ядерных, унесших  жизни 465 молодых и здоровых мужчин.

В сентябре 1986 г. на Всесоюзном сове­щании по проблемам управления (в Алма-Ате) я представил свою версию концепции НЖБ,  в которой главный акцент делался на том, что возникновение коллапса возможно даже в надёжной и живучей системе, а значит необходимо заблаговременно выявлять все воз­можные пути опасного функционирования системы.

Кроме смешения понятий надежность и безопасность, проектировщики зачастую за безопасность системы выдают её отказоустойчивость. Повышение надежности элементов, введение структурной и временной избыточности, применение взаимозаменяемости и восстановления, а также другие меры повышения надежности систем, гарантируют только отказоустойчивость системы, то есть ее способность правильно функционировать при отказах нескольких элементов.

Но для структурно-сложных систем характерна возможность сложных (многократных) комбинаций событий, вероятность каж­дого из которых мала, а в сумме таких «невероятных» событий набира­ется немало. Усилия, направленные на повышение отказоустойчивости системы, необходимы, но недостаточны для обеспечения её безопасности. Даже специальные системы контроля и защиты, ориентированные на простой перебор возможных опасных ситуаций, не могут гарантиро­вать защиты системы от произвольных комбинаций отказов, нарушений правил эксплуатации и иных неблагоприятных воздействий.

ЛВМ для решения проблем надежности и безопасности

В монографии «Надежность и безопасность структурно-сложных систем», изданной в 2000 и 2007 г. [8, 9] на многочисленных примерах я показал возможности математического аппарата логико-вероятностного анализа (ЛВА) для комплексного реше­ния проблем надёжности, живучести и безопасности структурно-сложных систем в различных сферах.

В теории надежно­сти, насчитывающей уже более 40 лет, по-прежнему сохраняются «белые пятна», связанные с проблемой получения объективных исходных данных о безотказности элементов, статистическая информация о которых ввиду малого объема вы­борки принципиально не может быть достаточной для стандартной обработки.

Но даже при полном отсутствии статистической информации (из-за новизны разрабатываемых образцов, принципиально новых режимов работы, отсутствия прототипов), проведение сравнительных расчетов надежности вариантов ССС весьма полезно. То же самое относится и к случаю, когда элементы используются в необычном режиме работы и, следовательно, статистическая информа­ция о надежности отдельных элементов практически отсутствует. В большинстве случаев даже проведение чисто параметри­ческих расчетов позволяет выявить предпочтительный вариант системы при определенных значениях параметров, установить допустимую область применения того или иного варианта построения системы.

Современная прикладная математика позволяет в большинстве случаев корректно поставить задачу, чет­ко сформулировать условия и допущения, в которых она решается. А её специальный раздел -- логико-вероятностные методы, связанный с логико-вероятностным исчислением (ЛВИ), дает возможность эффективно исследовать структурные проблемы надежности и безопасности ССС. Привлекательность математической логики, ЛВМ для инженеров заключается в их четкости, однозначности и больших возможностях при анализе влияния любого элемента на надежность и безопасность системы в целом.

Использование математического аппа­рата теории надежности необходимо уже на этапе задания требований по надежности ССС вследствие сложности структуры и алгоритмов её функционирования. Но задание требований по надежности  системы в целом задача весьма сложная, требующая глубоких знаний особенностей функционирования системы в целом. На первом этапе проектирования ССС требуется построить рациональную структуру, определить алгорит­мы функционирования.

Исходными данными для логико-вероятностных моделей надежно­сти и безопасности ССС являются вероятности истинности отдельных аргу­ментов в функциях алгебры логики (ФАЛ), описывающих работоспособность системы (в теории надежности) или ее опасное состояние (в теории безопасности).

Исходные данные для ЛВМ получают из длительных на­блюдений за работой элементов в реальных условиях эксплуатации или за случаями инициирующих событий, которые могут привести к опас­ности.

Оценка количественных характеристик надежности и безопасности производится либо по результатам специальных испытаний на надежность (безопасность),  либо по результатам работы элементов в реальных условиях эксплуатации. Проведение испытаний на надежность связано с трудностями имитации внешних условий, большой стоимостью и длительностью испытаний. Во втором случае стоимость работ минимальна, а длительность наблюдения и массив статистической информации определяются продолжительностью процесса эксплуатации и количеством действующих объектов.

В начале становления теории надежности профессор В.И.Нечипоренко писал: «Решая вопрос о распределении усилий по обеспечению надежности отдельных элементов в целях достижения заданной надежности системы, необходимо знать, какой элемент наиболее значимый. Иначе говоря, необходимо знать, какое влияние оказывают на общую надежность системы выход из  строя того или иного элемента». Проанализировать важность элементов ССС  полезно также с точки зрения определения очередности осмотров, диагностирования и ремонтов. Знание важности отдельных элементов системы необходимо для поиска неисправностей, разработки стратегии оптимального резерви­рования, распределения требований по показателям надежности и др.

Математическая модель работоспособности системы в виде логиче­ской ФРС и полученная на ее основе вероятностная функция позволяют оценить степень участия каждого элемента в общей ха­рактеристике системы.

Автором была предложена новая характери­стика  для оценки важности отдельных элементов системы (не зависящая от вероятностей) на базе понятия булевой разности и использования логико-вероятностного метода исследования надежно­сти ССС, названная «весом».  «Вес» логической ФРС, состоящей из т элемен­тов, определяется как доля работоспособных состояний системы среди всех 2^тсо­стояний. «Вес» булевой разности характеризует роль (ранг) элемента в структурной надежности системы.

Математическое моделирование аварий

Научный подход к проблеме безопасности требует проведения комплексного анализа, классификации аварий и катастроф с учетом характера и размера их последствий, основных поражающих факторов, учета предельных физических параметров, надежности, риска и живучести технических объектов, персонала и окружающей среды. Для решения этих вопросов необходимы соответствующие методы математического моделирования, физические модели возникновения и развития катастроф.

Анализ произошедших ава­рий показывает, что независимо от географии, времени и типа производства они подчиняются определенным закономерностям. Как правило, аварии предшествует фаза накопления де­фектов в оборудовании или отклонений от номинальных процедур веде­ния процесса, продолжительность которой может измеряться минутами или даже годами. Сами по себе дефекты и отклонения угрозы еще не пред­ставляют, но в критический момент они могут сыграть роковую роль. Накопление отклонений от нормы связано с ненаблюдаемостью работы отдельных элементов (из-за отсутствия соответствующей диагностики) и с привыканием обслуживающего персонала к подобного рода отклонениям.

На второй фазе — фазе инициирующего со­бытия система быстро (взрывным образом) переходит в опасное состояние, наносящее ущерб большого масштаба. У личного состава не оказывается ни времени, ни средств для эффектив­ных действий в эти мгновения. И, наконец, в фазе развития аварии человеческий фактор может сыграть как положительную, так и отрицательную роль. Опуская элементарное технологическое невежество, некомпетент­ность и безответственность лиц, причастных к авариям, принципиальными причинами неблагополучия в этой области являются:

- недопустимая подмена понятий живучести и безо­пасности понятием надежность. Рассмотрение безопасности как одного из свойств надежности приводит к тому, что безопасности исходно не уделяется должного и специального внимания, не формируются обязательные требования к анализу безопасности проек­тов создаваемых комплексов;

- вера в «абсолютную» безопасность, бы­товавшая в свое время, например, относительно АЭС;

- отсутствие новых методов и тех­нических средств комплексной оперативной диагностики аварийных ситуаций.

В моделях надежности сложных технических систем, в основном, элементный состав системы, связи между ними, режимы работы системы и пр. А в про­блеме безопасности на первом плане должны быть не учитываемые в теории надежности компоненты, такие как: среда, в которой функционирует система; защитные сооружения; неблагоприятные внешние воздействия; умышленные или безответственные действия людей. Специалист по безопасности должен иметь психологию «диверсан­та», т. е. продумывать, как проще всего привести систему в опасное состояние, в отличие от специалиста по надежности, думающего о со­хранении ее работоспособности.

При проектировании ССС, разработке алгоритмов управления ими должно быть тщательно рассмотрено все множество опасных состояний, логика их возникнове­ния, необходимо точно знать, как могут возникнуть по­жар, взрыв, разгерметизация и прочие разрушения объекта. Знание усло­вий возникновения неблагоприятных воздействий позволяет разработать безопасный алгоритм управления сис­темой, заблаговременно принять соответствующие меры за­щиты.

Поскольку проведение полноценных экспериментов для оценки безопасности ССС невозможно, решением проблемы является про­игрывание вариантов развития аварийной ситуации на математических моделях. Разработка сценариев вероятного развития аварийных ситуаций и потенциальных последствий производится, как правило,  при недостатке или отсутствии полной и достоверной инфор­мации.

Любой риск представляет собой многокритериальную величину и не может оцениваться по одной компоненте. И чем больше информации поступает о каком-либо процессе, тем большее число факторов необходимо учесть при анализе риска. Тем более сложным становится процесс анализа, повышая значение разработки концепту­альной основы выбора факторов, подлежащих приори­тетному учету.

Теория безопасности ССС

Теорию безопасности ответственных объектов и сложных технических сис­тем для случаев возникновения аварий и катастроф с серьезными по­следствиями целесообразно разрабатывать с учетом не толь­ко стандартных (проектных) условий их функционирования, но и обяза­тельным учетом запроектных разру­шающих воздействий и грубых (непреднамеренных или сознательных) нарушений правил их эксплуатации.

Первоочередной задачей ТБ ССС является разработка методов количественной оценки риска возникновения аварии и прогнозирования ее воз­можных последствий. Для ограничения числа ситуаций, которые могут привести систему в опасное состояние, необходимо четко  пред­ставлять суть опасного состояния. Если это авария от взрыва, требуются знания всей химии и физики возможного взрыва. Если оценивается риск гибели судна, необходимо быть специалистом по корабле­строению, навигации, судовождению и пр. Конкретизация и дифференциация исследуемого опасного состояния позволяют существенно сократить множество вариантов возможных опасных состояний системы.

Объект исследова­ния следует ограничивать разумными пределами не только в пространственных границах, но, что ещё более важно, в пределах дробления системы на отдельные элементы.

При составлении сценария развития событий, при­водящих систему в опасное состояние, важно следовать строгой логике перебора возможных ситуаций. Целесообразно двигаться не «снизу вверх» (от отдельной поломки, отказа, нежелательного ини­циирующего события), а «сверху вниз» (от исследуемого опасного со­стояния к причинам, способным его вызвать). То есть в первую очередь разработать логическую часть теории безопасности, не пренебрегая при этом другими областями знаний (физики, химии, механики, электротехники и пр.), объясняющих причинно-следственные связи в каждой веточке сценария событий.

Особенно трудно поддаются учету так называемые «поперечные» связи (в отличие от «продольных», идущих от опасного состояния системы к конкретному инициирующему событию), которые образуются в результате совместного взаимодействия факторов че­рез явные и неявные перемычки (поля, структуры). Именно эти факторы чаще всего упускаются из виду в расчете на их отсутствие или несуще­ственность.

Для решения задачи по перебору вариантов на ЭВМ, она должна быть формализована на удобном математическом языке (теории графов, алгебры логики и пр.).

Требования к теории безопасности при проектировании ССС

Серьёзной помехой в продвижении науки о безопасности является недопонимание важности понятия опасного состояния, связанного с ущербом большого масштаба. Но не только нежелание вкладывать средства в эту затратную нау­ку, но и отсутствие реальных возможностей решить ее в те годы тормозило разработку общей теории безопасности ССС.

От теории безопасности при проектировании ССС требовалось:

- объективное определение инициирующих условий, вносящих наибольший вклад в «копилку» опасности, то есть опреде­ление факторов, подлежащих приоритетному учету;

- обнаружение комбинаций, предотвращающих попадание систе­мы в опасное состояние, т. е. нахождение самых выгодных средств за­щиты от чрезвычайной ситуации;

- оценка возможного риска создаваемой системы и сравне­ние его с прототипом или фоновым риском в конкретной ситуации.

Логико-вероятностная теория безопасности (ЛВТБ) отвечает этим требованиям, предоставляя основные знания по расчетам опасности возникновения аварий и катастроф структурно-сложных систем, которые базируются на логическом представлении развития опасных состояний и математических методах вычисления истинности функций алгебры логики, представляющих функции опасных состояний. ЛВТБ позволяет объективно выявлять наиболее опасные места, причины и инициирующие условия. Достоинством этой теории является ее рабо­тоспособность и при отсутствии исходных вероятностей инициирующих событий, что, как правило, представляет собой принципиальную трудность при количественной оценке опасности редких событий.

Детерминированная логическая модель выявляет наиболее существенные комбинации инициирующих условий, защита от которых предотвращает попадание системы в опасное состояние. Не отрицая целесообразности развития модели надежности в направлении безопасности, на наш взгляд, целесообразнее разрабатывать модель безопасности с учетом надежности входящих в нее компонент.

Наиболее творческой, трудной и не формализуемой частью анализа безопасно­сти является состав­ление сценария опасного состояния (СОС). Для выработки рекомендаций по активной защите системы от попадания ее в опасное состояние целесообразен не перебор как можно большего числа инициирующих условий, а движение от малого к большему - от минимально учитываемых условий («ядра» системы) к включению дополнительных обстоятельств,  добавляемых к «ядру». Для  того чтобы «за деревьями увидеть лес», всегда нужно уметь остановиться.

А знание «веса» инициирующих событий позволяет оценить их роль в создании опасного состояния системы (ОСС) с учетом логики развития возможных событий и оптимизировать процесс выработки рекомендаций.

Заключение

- Логико-вероятностные методы для исследования проблем надежности и безопасности ССС помогают сформировать иное мировоззрение разработчиков, инженеров, побуждая их рассматривать систему в целом, кон­центрировать усилия на решении первостепенных задач, а не распыляться на второстепенные проблемы. А ранжирование эле­ментов сложной системы по важности усиливает объектив­ность распределения сил и внимания на решение проблемы надежности и безопасности ССС.

- Современные знания о высокоорганизованных системах до сих пор  носят полуэмпирический-полутеоретический характер. Фундаментальная, теоретическая часть ЛВТБ опирается на доказанные теоремы и строгие закономерности, делает «что может, но как нужно». Прикладная математика, опирающаяся на гипотезы, эксперименталь­ные данные и здравый смысл, пытается решать проблемы «что нужно, но как может».

- Эра «что нужно и как нужно» пока еще не наступила. И, тем не менее, математический аппарат ЛВМ уже завоевал значительный сегмент в области научных исследований проблем безопасности и рисков в различных сферах: технике, информации, экономике, банковской деятельности, управлении, педагогике и даже медицине [10].

- Число заинтересованных в овладении этими методами растет год от года, подтверждением чему является постоянно возрастающее число участников ежегодно проводимой Международной научной школы «Моделирование и анализ безопасности и риска в сложных системах», которая в 2010 г. провела свое юбилейное десятое заседание.

Литература

1. Рябинин И.А. Теоретические основы проектирование электроэнергетических систем кораблей. Ленинград, ВМА, 1964
2. Рябинин И.А. Основы теории расчета надежности судовых электроэнергетических систем. Ленинград, Судостроение, 1967
3. Рябинин И.А. Теория и методы количественной оценки надежности электроэнергетических систем атомных подводных лодок. Диссертация на соискание ученой степени доктора технических наук. Ленинград, ВМА, 1967
4. Легасов В.А. Проблемы безопасного развития техносферы. Коммунист №8 1987
5. Руденко Ю.Н., Ушаков И.А. Надежность систем энергетики. Москва, наука, 1986
6. Бурдаков Н.И., Грацианская Е.Б., Махутов Н.А., Государственная научно-техническая программа «Безопасность населения и народно-хозяйственных объектов  с учетом риска возникновения природных и техногенных катастроф». Проблемы безопасности при чрезвычайных ситуациях №3, 1993
7. Бурков В.Н. Эффективность экономических механизмов управления риском. Проблемы безопасности при чрезвычайных ситуациях №1, 1994
8. Рябинин И.А. Надежность и безопасность структурно-сложных систем. СПб, изд. «Политехника», 2000
9. Рябинин И.А. Надежность и безопасность структурно-сложных систем. Издание второе, дополненное и переработанное. СПб, изд. СПбГУ, 2007
10. Рябинин И.А. Логико-вероятностный анализ и его современные возможности. «Биосфера» т.2, №1 2010

Материал подготовила Т.А.Девятова