Системы автоведения поездов метрополитенов. Порядок проведения сертификации СЖАТ. Пути повышения надежности и безопасности МИУС, страница 3

88.2 Вероятность безотказной работы троированной мажоритарной структуры с умеренной связью (рисунок 5.2) определяется выражением:,         (5.2)

где P₁, P_мэ – вероятности безотказной работы соответственно канала обработки информации и мажоритарного элемента; n – число информационных выходов модуля.

Рисунок 5.2 – Троированная мажоритарная структура
с умеренной связью

Опасным отказом в резервированном микропроцессорном модуле считается отказ, не обнаруживаемый встроенными средствами контроля. Поэтому вероятность появления опасного отказа в дублированных и троированных модулях определяется выражениями:,            (5.3)

,                 (5.4)

где t_Д – период диагностирования элементов модуля; l_i – интенсивность отказов канала обработки информации.

При контроле идентичности работы каналов обработки информации по выходным сигналам трудно детерминировать поведение микроЭВМ при появлении отказов, поэтому все возникающие отказы считаются эквивалентными. В этом случае оценка безопасности таких модулей получается несколько заниженной.

88.5  

Рисунок 5.6 – Троированная мажоритарная структура
с мажоритарным элементом контроля

В этом случае вероятность безотказной работы сильно зависит от надежности МЭК. Уменьшить эту зависимость можно, используя три МЭК, как показано на рисунке 5.7. В этом случае

.(5.11)

Рисунок 5.7 – Троированная мажоритарная структура
с резервированными мажоритарными элементами контроля

88.8   Скользящий резерв - резерв, при котором функции элемента неизбыточного изделия передаются резервному элементу только после отказа основного элемента,  причем основные элементы резервируются одним или несколькими резервными элементами , каждый из которых может заменить любой отказавший основной элемент.

Общий, поэлементный и скользящий резерв в зависимости от того, в каком  режиме ( включенном или выключенном ) используются резервные элементы до момента начала их функционирования вместо  отказавших основных элементов, подразделяют  на нагруженный ( горячий ) и ненагруженный ( холодный ) резерв.

В случае нагруженного резерва  резервные элементы находятся в том же рабочем режиме, что и основные.

В случае ненагруженного резерва резервные элементы до момента их использования вместо основных элементов практически не несут нагрузок, находятся в  выключенном состоянии.

Для расчетной надежностной схемы, представленной на рис. 4:

Рис. 4. Расчетная надежностная схема

88.3   При введении в состав дублированного микропроцессорного модуля устройства контроля совпадения сигналов на шинах внутреннего интерфейса (рисунок 5.3) показатели безотказности и безопасности определяются следующим образом:

,                            (5.5)

,                                 (5.6)

где P_УК(t) – вероятность безотказной работы устройства контроля за время t.

Для дублированного модуля с устройствами контроля шин и выходов (рисунок 5.4) вероятность безотказной работы равна

.                       (5.7)

Рисунок 5.4 – Дублированная структура с устройствами контроля шин и выходов

Рисунок 5.3 – Дублированная структура с устройством контроля шин

88.6   Составление расчетной надежностной схемы для различных видов резервирования: общего, местного и скользящего

При расчете надежности сложного изделия полезно составить расчетную надежностную схему.

Если изделие состоит из N элементов и отказ изделия в целом наступает при отказе любого одного из его элементов, то говорят о последовательном соединении этих элементов (рис.2).

Рис.2. Последовательное соединение элементов

Так как каждый i-ый элемент характеризуется в общем случае интенсивностью отказов l_i(t) и вероятностью безотказной работы

то вероятность безотказной работы изделия в целом:

Для экспоненциального закона вероятности безотказной работы отдельных  элементов, т.е. при l_i =const, вероятность безотказной работы изделия в целом :

Наработка на отказ  То = 1/ l_S , где  

88.9  

Расчетная надежностная схема для невосстанавливаемых изделий с нагруженным скользящим резервом содержит n основных элементов и м резервных (рис.5).

Рис.5. Расчетная надежностная схема с использованием скользящего резерва

В предположении, что вероятности безотказной работы всех элементов  одинаковы и равны р(t) , вероятность безотказной работы изделий в целом Р(t)  определяется как вероятность события, что за время t в изделии произойдет не более м отказов, т.е.:

На практике с целью повышения надежности сложных вычислительных устройств широкое распространение получило мажорирование, которое можно рассматривать  как частный случай скользящего нагруженного резервирования.

88.4   Вероятность появления опасного отказа в этой структуре при условии, что УК₁ и УК₂ безопасны, определяется выражением (5.6).

Рассмотрим методы расчета показателей безотказности и безопасности в мажоритарных структурах. На рисунке 5.5 приведена структура троированного мажоритарного модуля с попарным сравнением сигналов внутреннего интерфейса и выходными мажоритарными элементами, отвечающими требованиям безопасности. Для этого случая показатели безотказности и безопасности определяются по формулам:

, (5.8) ,    (5.9)

 Рисунок 5.5 – Троированная мажоритарная структура
с попарным сравнением шин

На рисунке 5.6 приведена структура микропроцессорного модуля, в котором контроль идентичности работы каналов осуществляется путем сравнения сигналов на шинах микроЭВМ с истинным значением, получаемым на выходе мажоритарного элемента. В этом случае вероятность появления опасного отказа определяется выражением (5.9), а вероятность безотказной работы такого модуля – выражением:,(5.10) где P_мэк(t) – вероятность безотказной работы мажоритарного элемента контроля (МЭК) за время t.

88.7   Если изделие состоит из N элементов и отказ изделия в целом наступает лишь в случае, когда откажут все N входящих в него элементов , то говорят о  параллельном соединении  этих элементов (рис.3).

Рис.3. Параллельное соединении элементов

В этом случае вероятность безотказной работы:               

а наработка на отказ:

В общем  случае изделие с точки зрения надежности может быть представлено параллельно-последовательной рабочей надежностной схемой, в которой последовательное соединение элементов отражает поведение элементов, отказ которых  приводит к отказу изделия в целом, а параллельное соединение элементов отражает поведение элементов, отказ которых приводит к отказу изделия в целом, если откажут все элементы параллельного соединения.

Если надежностная схема изделия содержит параллельное соединение, т.е. если в изделии повышение надежности обеспечивается использованием функционально-избыточных элементов, то в изделии имеет место резерв. Различают поэлементный, общий и скользящий резерв.

Поэлементный резерв - резерв, при котором функционально-избыточные элементы предусматриваются на случай отказа отдельных элементов или групп  элементов изделия.

Общий резерв - резерв, при котором функционально избыточные элементы  предусматриваются на случай отказа изделия в целом.

88.10   При мажорировании изделие p-кратно резервируется (рис.6); причем р нечетно. Результат работы всех изделий сравнивается в специальном устройстве - мажорирующем элементе - и за истинное значение принимается такое, которое имеет  место  на выходе большинства изделий, т.е. на выходе ( p-1 )/2+1  изделий.

Рис.6. I-кратное мажорирование

Вероятность безотказной работы l-кратно мажорированного изделия в предположении, что мажорирующий элемент абсолютно надежен, можно вычислить:

Например, при l=3 получим:      

метод расчета, основанный на расчетно-логических схемах.

Рассмотрим расчетно-логическую схему для определения показателей безотказности микропроцессорной централизации SSI (рисунок 5.8), где в качестве элементов схемы использованы: процессор интерфейса (ПИ), процессор централизации (ПЦ), процессор связи центральной подсистемы (ПС), модуль информационной связи (МИС), локальный компьютер (ЛК), компаратор, управляющий напольным устройством (Кр), схемы непосредственного управления объектами (СНУК).

88.11 

Рисунок 5.8 – Расчетно-логическая схема для определения
показателей безотказности

В системе произведено мажоритарное резервирование ПЦ и ПС. Резервирование ПИ и МИС произведено по схеме постоянно включенного и нагруженного резерва. Из расчетно-логической схемы следует, что вероятность безотказной работы данной системы микропроцессорной централизации равна

 (5.12)Для расчета показателей безопасности составляется расчетно-логическая схема, учитывающая только элементы, отказ которых может привести к опасному отказу системы в целом. Расчетно-логическая схема для определения показателей безопасности микропроцессорной централизации SSI приведена на рисунке 5.9.Интенсивность опасных отказов данной системы можно определить из следующего выражения:

     (5.13)

Рисунок 5.9 – Расчетно-логическая схема для определения
показателей безопасности

На основании приведенных формул может быть произведен расчет времени наработки на отказ и наработки на опасный отказ системы микропроцессорной централизации или других показателей безопасности и безотказности.

90.1  Пути повышения надежности и безопасности МИУС

Надежность ИУВС растет по мере совершенствования элементной базы. В частности, применение МП наборов БИС, БИС ЗУ ведет к уменьшению числа элементов и межсоединений ( паек, сварок ) в средствах вычислительной техники. Одна- ко из-за тенденции постоянного увеличения  функциональных возможностей средств вычислительной техники число элементов в системах остается достаточно большим.

Если резерв в ИУВС отсутствует, то практически невозможно достичь приемлемых показателей надежности. Так как в инженерной практике считают, что  вычислительное средство надежно, если в течение некоторого интервала времени Dt вероятность безотказной работы Р(t) >=0,997 , то при l=10^-4-10^-7 1/ч и числе элементов в системе n=10^-4-10^-5 время безотказной работы в указанном выше смысле составляет лишь  единицы часов:

При l=10^-7 и n=10⁴ - Dt=3ч. Так как существенно уменьшить n и l нельзя, то и увеличить Dt без  применения резерва практически не  удается. Опыт эксплуатации электронной техники показывает, что интенсивность  отказов элементов при ее хранении примерно на порядок ниже, чем при работе в реальных условиях эксплуатации:

Это означает, что применение ненагруженного резерва без восстановления может снизить nlDt не более, чем в 10 раз. Такой подход дает возможность  создавать средства вычислительной техники, работающие безотказно практически лишь в течение десятков часов, что не решает проблемы резкого повышения надежности ИУВС.

Теоретически введением избыточности в структуру ИУВС можно создать сколь угодно надежную вычислительную систему. Но не всегда это практически выполнимо. Для подтверждения этого тезиса сравним количественные показатели надежности:

1)нерезервированной ИУВС, характеризуемой параметром потока отказов w=l  и параметром потока восстановлений m;

2)дублированной ИУВС ( общее резервирование ) с восстановлением отказавших   ЭВМ;

3)дублированной ИУВС ( поэлементное резервирование ) с восстановлением    отказавших  элементов;

90.4-создание бессбойного программно-математического обеспечения.

Успехи электронной промышленности и схемотехники, в первую очередь микропроцессоры и КМДП БИС, позволили разделять ИУВС на модули на уровне микропроцессоров. Это привело к использованию следующих методов обнаружения и устранения отказов и сбоев:

1)попарная синхронная работа микропроцессоров, которые автоматически заменяются   новой парой МП при обнаружении несовпадения результатов работы первой пары;

2)работа МП тройками - трехкратное мажорирование;

3)применение МП со встроенными средствами самопроверки и увеличение числа   микропроцессоров в системе ( мультимикропроцессорные ИУВС ) с целью замены   отказавших процессоров резервными.

В настоящее время генеральная стратегия обеспечения надежности ИУВС - применение ИС большой и сверхбольшой степени интеграции, автоматический поиск неисправностей и использование резервных элементов  путем реконфигурации архитектуры системы.

89.1  Определение показателей надежности и безопасности с помощью системы дифференциальных уравнений Колмогорова

Показатели надежности невосстанавливаемых изделий при ненагруженном общем, поэлементном и скользящем резерве либо восстанавливаемых изделий при ненагруженном или нагруженном общем, поэлементном и скользящем резерве можно вычислить, описывая "старение" таких изделий случайным марковским процессом с  дискретными состояниями.

Случайный процесс называется марковским случайным процессом (процессом без последействия) , если дальнейшее поведение процесса определяется его  состоянием в данный момент времени и не зависит от его предистории. Случайный марковский процесс называется процессом с дискретными состояниями, если возможные  состояния изделия S₁,S₂,... можно перечислить одно за другим, а сам  процесс состоит в том, что время от времени изделие S скачком ( мгновенно )  переходит из одного состояния в другое под действием простейших потоков отказов и восстановлений отдельных элементов изделия.

При анализе поведения изделия во времени в процессе износа удобно  пользоваться графом состояний, содержащим столько вершин, сколько различных  состояний возможно у изделия. Ребра графа состояний отражают возможные переходы из некоторого состояния во все остальные в соответствии с параметрами  потоков отказов или восстановлений. Если для каждого состояния изделия , другими словами, для каждой вершины графа вычислить вероятность нахождения изделия именно в этом состоянии в любой произвольный момент времени Р_i(t), то зная эти вероятности можно оценить интересующие на практике показатели надежности. Связь между вероятностями нахождения изделия во всех его возможных  состояниях в свою очередь выражается системой дифференциальных уравнений Колмогорова.

90.2  4)ИУВС, состоящей из n основных и м резервных равнонадежных ЭВМ (предполагается, что параметр потока отказов каждой ЭВМ равен l, восстановление отказавших    ЭВМ с параметром     возможно в процессе работы системы ).Для нерезервированной ИУВС:

Для ИУВС с общим нагруженным дублированием и восстановлением :

где 

Несмотря на то, что общее нагруженное дублирование с восстановлением  отказавших ЭВМ ведет к росту К_г, t_ср, тем не менее вероятность безотказной  работы порядка 0,997 обеспечивается лишь в течение десятка часов. Так как наработка на отказ современных ЭВМ не превышает нескольких сотен часов, а среднее время восстановления не меньше 0,5ч при l=0,01-0,004 1/ч l/m=0,005-0,002 то

При этом интервал времени Dt в, в течение которого Р_общ(Dt)>=0,997, составляет лишь 10-25 ч., что по крайней мере на два порядка ниже, чем  требуется в ряде прикладных задач управления техническими объектами. Чтобы достичь Dt = 1000 ч. , нужно либо уменьшить t_в до 10 мин., либо при t_в=0,5 ч и l=0,01 1/ч            применять четырехкратный  общий резерв. Такая высокая кратность резервирования вряд ли реализуема на практике по экономическим соображениям. Отсюда следует вывод: обеспечить высокую надежность ИУВС путем общего нагруженного резерва не    представляется возможным по экономическим соображениям.

91   Виды имитационных испытаний СЖАТ на безопасность.

Производятся на этапе опытного образца.

Виды ИИ:

1)  Испытания технологических алгоритмов

2)  Испытание безопасных схем контроля

3)  Испытание программно-технологических схем

4)  Испытание самопроверяемого программного обеспечения.

5)  Испытание системных функций.

Испытание технологических алгоритмов на безопасность.

Предназначены для проверки выполнения всех условий безопасности в технологическом процессе, т.е. ни при каких входных воздействиях система не нарушает условий безопасности.

ИТС – имитатор технологических ситуаций

89.2  Структура уравнений Колмогорова построена по вполне определенному правилу:

в левой части каждого уравнения Колмогорова записывается производная вероятности нахождения изделия в рассматриваемом состоянии (вершине графа ) , а правая часть  содержит столько членов, сколько ребер графа состояний связано  с данной вершиной графа. Если ребро направлено из данной вершины, соответствующий член  имеет знак минус, если в данную вершину - знак плюс. Каждый член  равен произведению параметра потока отказа или восстановления, связанного с данным ребром, на вероятность нахождения в той вершине графа, из которой исходит  ребро.

Система уравнений Колмогорова включает столько уравнений, сколько вер- шин в графе состояния  изделия. Решение системы Колмогорова при конкретных начальных условиях , определяемых спецификой эксплуатации изделия, дает значения  искомых вероятностей  Р_i(t).

В общем случае при решении задач оценки показателей надежности необходимо :

1)составить список всех возможных состояний изделия;

2)вычислить параметры потоков отказов и восстановлений для каждого состояния;

3)составить граф состояний;

4)записать систему дифференциальных уравнений Колмогорова;

5)решить систему уравнений Колмогорова и определить количественные показатели   надежности.

Пример:

90.3Известно, что наибольший эффект дает поэлементное резервирование. Для средств вычислительной техники с поэлементным нагруженным дублированием и восстановлением отказавших элементов:

где n- число элементов в ЭВМ.

Следовательно, наработка на отказ такой системы в n раз больше по  сравнению с наработкой на отказ в случае общего нагруженного дублирования. Так как число элементов n современных ИУВС велико, то наработка на отказ восстанавливаемых ИУВС с поэлементным дублированием соизмерима с долговечностью элементов. Расчеты показывают, что вероятность безотказной работы такой ЭВМ  настолько велика, что ИУВС можно считать идеально надежной в течение тысяч  часов. Использование поэлементного резервирования для обеспечения надежности  ИУВС , несмотря на высокую эффективность, крайне затруднительно. Это объясняется  тем, что его техническая реализация практически невозможна для современной элементной базы.

Построение высоконадежных ИУВС как вычислительных систем, состоящих  из n основных и m ненагруженных резервных равнонадежных ЭВМ  с параметром потока отказов l, восстановление которых с параметром m допускается в процессе работы системы, является практически осуществимым. Уже при m = 2-3 и        m/(nl)>=10² наработка на отказ t_ср = 10⁴-10⁶ ч так как при m./l>>1

Практические рекомендации  по построению надежных ИУВС:

-введение структурной избыточности путем построения узлов, устройств и  вычислительных систем с изменяющейся архитектурой при возникновении отказов отдельных изделий;

-ремонт отказавших изделий без нарушения функционирования ИУВС в целом;