-9.

1-

Hoofdstuk 9

BETROUWBAARHEIDSREKENING

(

\,

( ,

-9.63-

In dit geval z1Jn U2 3' U1 3 en U1 2 de kansen op falen alvorens de

, , ,

reparatie van respectievelijk component 1, component 2 en component

3 voltooid is. Dit houdt in:

2

U2,3 = A"2A301

2

U1,3 = AIA302

2

U1,2 = A1A203

r

Dan is de niet-beschikbaarheid door reparatie gelijk aan:

U syst.

=

(9.59)

De faalkans door reparatie voor het testinterval Tis:

2 = AIT . A2A301

= AIA2A3T (0/

9.6.4 Het 2-uit-3-systeem

=

(9.73)

Ook hier kan men met behulp van formules voor het l-uit-2-systeem de desbetreffende formules voor het 2-uit-3-systeem af leiden.

\

,

Q

Fig. 9.11

b

-9.64-

In fig. 9.II.a is het 2-uit-3-systeem weergegeven. In fig. 9.II.b is de foutenboom voor het 2-uit-3-systeem getekend.

De minimale sneden (= deelverzamelingen; zie hoofdstuk 4) van het 2-uit-3-systeem uit fig. 9.11 zijn: CI = (1,2), C2 = (1,3) en

C3 = (2,3).

Nu geldt voor de niet-beschikbaarheid van het 2-uit-3-systeem, dat

u < U + U + U *)

syst. cI c2 c3

(9.74)

Hier is U de niet-beschikbaarheid voor de minimale snede C.

CI 1

(i = I, 2, 3).

Evenzo geldt voor de faalkans van het 2-uit-3-systeem, dat

F (T) < F (T) + F (T) + F (T)

syst. cI c2 c3

*)

(9.75)

Hier is F (T) de faalkans voor de minimale snede C. (i = I, 2, 3).

cI 1

De formules (9.74) en (9.75) zijn in feite bovengrenzen, maar in de

praktijk zijn ze meestal een goede eerste orde benadering.

Het falen van een l-uit-2-systeem komt overeen met het optreden van een minimale snede Ci. Het optreden van bijvoorbeeld CI komt overeen met het falen van het l-uit-2-systeem bestaande uit de componenten I en 2. Derhalve is de niet-beschikbaarheid c.q. de faalkans voor CI gelijk

aan de niet-beschikbaarheid c.q. de faalkans van het l-uit-2-systeem bestaande uit de componenten I en 2. Dit geldt tevens voor C2 en C3.

Op deze'manier doen de formules voor het l-uit-2-systeem hun intrede bij het bepalen van de formules voor het 2-uit-3-systeem. We geven een tweetal voorbeelden.

Voorbeeld.

Laat het falen van de drie componenten zelfmeldend zijn. De niet-beschikbaarheid door testen is gelijk aan:

U test

(9.76)

*) Zie [9].

-9.65-
utest 1 (A2t1 2 2 volgens (9.18)
Hier is = + Alt2 )
c1 2T
utest 1 2 2 utest 1 2 2
Evenzo is = (A3t1 + Al!3 ) en = (A3t2 + A2 t3 )
c2 2T c3 2T Dit resulteert dan in:

U test

(9.77)

Voorbeeld.

De faalkans voor het testinterval T is in eerste benadering gelijk

aan:

F (T) = F (T) + F (T) + F (T)

syst. c1 c2 c3

(9.78)

Volgens (9.41) is F (T) c1

Dit resulteert in de faalkans voor het testinterval T, zijnde:

F syst. (T)

(9.79)

\

-9.66-

9.7 Common mode en Common cause failures

Er bestaat tQt op dit moment geen algemeen geaccepteerde definitie voor de begrippen common mode failure (cmf) en common cause failure (ccf ) .

We volstaan daarom met het benadrukken van een tweetal eigenschappen van cmf/ccf, die in definities voor deze begrippen veelvuldig genoemd worden.

1. Gebeurtenissen die aangeduid worden met cmf/ccf worden onderscheiden naar twee categorieen:

1.1 gebeurtenissen die leiden tot het falen van meerdere (mogelijk geheel yerschillende) componenten op hetzelfde tijdstip (ccf ) .

1.2 gebeurtenissen die leiden tot het falen van identieke componenten, waarbij het moment van falen in principe per component verschillend kan zijn (cmf).

2. Er moet een afhankelijkheid bestaan tussen het optreden van de faalgebeurtenissen voor de betrokken componenten.

We zullen trachten de begrippen.te illustreren aan de hand van enkele voorbeelden.

Ten eerste common cause failures.

Het waterleidingnet van Los Angeles (Californie) wordt doorsneden door een breuklijnin de aardkorst.

Vindt er een aardbeving plaats, dan zullen er meerdere lekken tegelijk optreden. Vooral de leidingen, die over de breuklijn lopen, zullen het moe ten ontgelden.

Dit is een voorbeeld van een externe gemeenschappelijke oorzaak. Het kan echter ook een interne oorzaak betreffen.

Het overslaan van een onderhoudsbeurt kan tot gevolg hebben dat bijvoorbeeld de lagers van een aandrijfas niet voldoende gesmeerd worden en hierdoor vastlopen. Het falen van het ene lager is dan niet onafhankelijk van het falen van het andere lager.

-9.67-

Ten tweede common mode failures.

In een schemerlamp brengt men twee nieuwe gloeilampen aan (zelfde merk, zelfde partij). Wanneer men de lamp inschakelt, branden beide lampen. Wanneer een van de lampen vanwege slijtage het begeeft, is de kans dat de andere lamp het binnenkort ook begeeft groot.

Om eef/emf te kunnen kwantifieeren moet men weI de afhankelijkheidsstruetuur kennen. Het probleem is dat deze struetuur in praktijk niet altijd bekend is. In het volgende voorbeeld zullen we laten zien, hoe men de faalkans kan bepalen van een systeem, dat gevoelig is voor common mode failures.

Voorbeeld.

Twee dieselgeneratoren vormen een 1-uit-2-systeem. De faalfrequentie van de generatoren is A fh = 0,0256 defeeten/jaar. Het betreft hier onaf-

ona .

hankelijk optredende defeeten.

Doordat onder andere het onderhoud aan beide generatoren door dezelfde monteur wordt verzorgd, is dit systeem gevoelig voor common mode failures. uit de analyse van historisehe gegevens blijkt dat de common mode faalfrequentie A f = 0,012 jaar. Laten we de faalkans voor een

ern

periode van 3 maanden berekenen. Het systeem opereert naar behoren,

indien er geen onafhankelijke defeeten en geen common mode failures optreden. Dan is de systeembetrouwbaarheid gelijk aan:

R syst.

(\) =

R (\) . Remf (\)

onafh.

(9.80)

De faalkans van het systeem is dan:

Fsyst. (\) = 1 - Ronafh. (\) . Remf (\)

(9.81)

Hier is Ron fh (\) = 1 - F fh (\), waarbij F fh (\) de faal-

a . ona . ona .

kans van een 1-uit-2-systeem voor een periode van 3 maanden is. Volgens

(9.13) is F fh (\) = (0,0256)2.(1/4)2 = 4 x 10-5.

ona .

Verder is R f(\) = I-F. f(\)' waarbij F f(\) de kans op falen

ern ern ern

voor een periode van 3 maanden is. Volgens (9.4) is

Femf(\) = (0,012).(\) = 3 x 10-3.

-9.68-

Dan is de faalkans van h~t systeem voor een periode van 3 maanden gelijk

aan:

Fsyst.(\) = 1-(1~0,003) (1-0,00004) = 0,00304

Indien we geen rekening hadden gehouden met common mode failures, dan

~

was de faalkans van het systeem gelijk geweest aan Fn t (\) = 0,00004. sys .

Door de gevoeligheid voor common mode failures is de faalkans echter

met een factor 76 verhoogd!

-9.69-

9.8 De "Monte Carlo" methode en "Multi-State" systemen

De analyse van complexe systemen waarin verschillende reparatiemogelijkheden zijn opgenomen en welke op verschillende manieren kunnen falen, vraagt eigenlijk om stochastische simulatie. Het stochastisch proces dat in de meeste gevallen het gedrag van het systeem beschrijft, herbergt nu dermate complexe analytische uitdrukkingen, dat het inzicht in het gedrag van het systeem verloren gaat. Met behulp van Monte Carlo simulatie kan men zich weI een redelijk inzicht verschaffen. De methode bestaat uit het opzetten van een analoog stochastisch proces, dat het systeemgedrag zo goed mogelijk benadert. De resultaten van de simulatie van dit modelproces beschouwt men dan als experimentele data betreffende het systeemgdrag.

Bij het toepassen van simulatie maakt men veelal gebruik van Markovprocessen. Het kenmerk van een Markov-proces is, dat - toegepast op

een systeem - er wordt uitgegaan van een constante, gemiddelde faalfrequentie en een constante, gemiddelde reparatieduur. De kans op een toestandsverandering in het systeem is volgens het Markov-proces aIleen afhankelijk van de toestand, waarin het syteem zich op dat moment bevindt.

Bijvoorbeeld, als het systeem functioneert, dan is de kans op falen onafhankelijk van het aantal malen dat het systeem in het verleden gefaald heeft. De enige belangrijke voorwaarde is, da~ het systeem functioneert en een constante faalfrequentie heeft.

De basis van een Monte Carlo simulatie bestaat uit het genereren van een reeks van uitkomsten van een of meer stochastische variabelen

(zie hoofdstuk 8), waarvan de kansverdeling gespecificeerd moet worden. Vervolgens onderzoekt men op welke manier het systeem zich gedraagt voor bepaalde combinaties van de uitkomsten van deze 'stochastische variabelen; het resultaat hiervan geeft men tabellarisch weer en beschouwt dit als de uitkomst van een experiment. De methode laat zich het beste illustreren aan de hand van een voorbeeld.

-9.70-

Figuur 9.12

Veronderstel dat we de betrouwbaarheid van het systeem uit de bovenstaande figuur willen bepalen. Voor de eenvoud veronderstellen we dat

de componenten 1 tim 3 identiek .?ijn met een constante, gemiddelde faalfrequentie A.

Dit houdt in dat de tijdsduur tot falen negatief-exponentieel verdeeld

is voor elke component. De componenten zijn niet repareerbaar. We zijn gel:nteresseerd in de verdeling van de tijdsduur tot falen van het systeem, teneinde de betrouwbaar:heid van het systeem op een zeker tijdstip te kunnen bepalen. Analytisch is dit niet zo moeilijk, namelijk:

R syst.

-At e

(9.82)

Echter het betreft hier het illustreren van de Monte Carlo methode. De minimale sneden van het systeem (zie hoofdstuk 4) zijn CI = {I, 2} en C2 ~ {3}.

Met behulp van een computer worden "random" (= willekeurige) getallen tussen 0 en 1 gegenereerd. Dit zijn zogenaamde uniform verdeelde getallen. De tijdsduur tot falen is echter negatief-exponentieel verdeeld.

Laten we een uniform verdeeld getal met u aangeven en eennegatiefexponent.Lee Lvge t a I met t. Met behulp van de volgende relatie:

-At

u = I-e. .

(9.83)

-9.71-

kunnen we negatief-exponentieel verdeelde getallen krijgen, namelijk de inverse relatie is:

t = -~ In ( l-u)

(9.84)

De computer genereert nu steeds via deze inverse relatie drietallen

van de negatief-exponentieel verdeelde getallen; zeg, (tli, t2i' t3i) is het ide drietal. Het is tli de tijdsduur tot het falen van component 1, t2i van component 2 en t3i van component 3.

Hoe gedraagt het systeem zich nu? Dit bekijken we met behulp van de minimale sneden; het systeem faalt als tenminste een minima Ie snede optreedt. De tijdsduur tot het falen van C1 is tcl (i) = max (tli, t2i). Bedenk dat component 1 en 2 een parallel systeem vormen, zodat de langste tijdsduur tot falen hier het optreden van de minimale snede bepaalt. De tijdsduur tot falen van C2 is natuurlijk tc2 (i) = t3i. Zodra een van de minima Ie sneden optreedt, faalt het systeem. De tijdsduur tot falen van het systeem is de korste tijdsduur tot falen van de minimale sneden, of weI:

(9.85)

Nu wordt het proces herhaald en dat levert t syst.

van deze t t (i)'s stellen we een staafdiagram sys .

waarmee dan de verdeling van de tijdsduur tot falen van het systeem

(i+l) op. Met behulp op (zie hoofdstuk 8),

kan worden bepaald.

De vraag is nu hoeveel drietallen (tli, t2i, t3i) men moet genereren teneinde een zekere nauwkeurigheid te bereiken bij het voorspellen van de systeembetrouwbaarheid. Hiervoor verwijzen we naar de literatuur [5]. In het geval van lage faalfrequenties (A ~ 10-3) kan het aantal te genereren cycli erg hoog oplopen en wordt de methode zeer tijdrovend. Bijvoorbeeld: indien we bij een faalkans van het systeem van .001 een relatieve afwijking in de schatting van deze faalkans van minder dan 10% willen bereiken, moeten we zorn 500.000 drietallen genereren! Voorts merken we op dat Shooman [1] in hoofdstuk 5 een aardige inleiding tot deze methode geeft.

-9.72-

Na de directe methode, zoals de hierboven beschreven methode wordt genoemd, bestaan er veel efficientere, geavanceerde methoden, waarvoor we verwijzen naar hoofdstuk 12 van [8].

We besluiten dit hoofdstuk met een kort voorbeeld vaneen "multi-state"

.systeem. Tot zover hebben we aIleen maar gesproken over het binaire karakter van het systeemgedrag: een systeem functioneert of functioneert niet. Meteen "multi-state" systeem bedoelen we, dat behalve functioneren en niet functioneren er nog tussen liggende vormen van gedeeltelijk functioneren van het systeem kunnen bestaan.

Laten we het voorbeeld uit het onderstaande figuur beschouwen.

generator
1
SOOV 20 A ..
SOOV 40A
generator
2 SOOV 20A

figuur 9.13

Hetbetreft hier twee generatoren, die elk stroom van 500V en 20A leveren .. Tezamen (door de parallel-schakeling) is dit 500V en 40A. Indien in een van de generatoren een storing optreedt, blijft het voltage gelijk, echter de stroomsterkte daalt tot 20A. Stel dat dit gedurende een bepaalde periode aanvaardbaar is. We onderscheiden nu 3 systeemtoestanden in plaats van 2, namelijk:

functioneren (dat wil zeggen 100% output); gedeeltelijk functioneren (dat wil zeggen 50% output); niet functioneren (dat wil zeggen 0% output).

Men ziet eenvoudig in, dat dit uit te breiden is tot complexe systeemconfiguraties. De analyse van dergelijke systemen geschiedt vrijwel aIleen met behulp van simulatie.

-9.73-

LITERATUUR

1. M.L. Shooman: Probabilistic Reliability: An Engineering Approach.

McGraw Hill Co., New York (1968).

2 A.E. Green and A.J. Bourne: Reliability Technology. Wiley, New York (1972).

3. R.E. Barlow and F. Proschan: Statistical Theory of Reliability and Life Testing, Probability Models. Holt, Rinehart and Winston, New York (1975).

4. C.J. Wheatley and D.M. Hunns: Exact hazard rate formulae for r-from-n protective configurations. Third National Reliablity Conference, Birmingham (1981).

5. J.M. Hammersley and D.C. Handscomb: Monte Carlo Methods. Wiley, New York (1964).

6. K.C. Kapur and L.R. Lamberson: Reliability in Engineering Design.

Wiley, New York (1977).

7. G. Gruhn (ed.) Zuverlassigkeit von Chemieanlagen; VEB Deutscher Verlag fur Grundstoffenindustrie, Leipzig (1979).

8. E.J. Henley and H. Kumamoto: Reliability Engineering and Risk Assessment, Prentice-Hall, Englewood Cliffs, N.J. 07632 (1981).

9. J. Fussell: How to Hand-Calculate System Reliability and Safety Characteristics, IEEE Trans. on Reliability, R-24, No.3, 1975.