Методы обеспечения надежности

Любая система диспетчерской централизациипредставляет собой комплекс технических средств, обеспечивающих безопасный контроль и управление движением поездов на участке.

Основными составляющими такогокомплекса являются: системы электрической централизациина станциях; системы автоблокировки на перегонах между станциями; системы телеуправления-телесигнализации, объединяющие устройства в единую систему управления.

Чаще всего систему ТУ-ТС принятосчитать собственно системой ДЦ, отождествляя ее с системой управления движением поездов. Поскольку безопасность движения – это главное требование к системе управления, необходимо уточнить с этих позиций требования к системе ДЦ.

Принято считать, что за безопасность движения в комплексе ДЦ отвечают устройства ЭЦ на станциях и автоблокировки на перегонах, поскольку целью их создания являлось обеспечение безопасности. Однако это не совсем так, если система ТУ-ТС может непредусмотренным образом воздействовать на устройства ЭЦ при отказах или действии помех.

При некоторых отказах ЭЦ или АБ система ТУ-ТС должна обеспечивать передачу так называемых ответственных команд управления. Таким образом, трансформация какой-либо команды в ответственную или возникновение ложной команды представляют угрозу безопасности движения и должны исключаться с требуемой вероятностью.

С другой стороны, система ДЦ должна быть не только безопасна, но и безотказна, так как процесс управления движением поездов непрерывен во времени.

В соответствии с ГОСТ 27.002—89 безопасность систем ЖАТ есть свойство системы сохранять исправное, работоспособное и защитное состояния, а безотказность — свойство сохранять исправное и работоспособное состояния. Таким образом, безопасность как составляющая надежности всегда не меньше безотказности.

Построение безопасной системы возможно на основе следующих концепций или их сочетаний: безотказность (reliability); отказоустойчивость (fault-tolerance); безопасное поведение при отказах (fail-safe). По первым двум стратегиям подразумевают, что система, которая правильно выполняет алгоритм функционирования, является безопасной. Третья стратегия подразумевает перевод системы в защитное состояние при появлении любого отказа, апереход в работоспособное состояние осуществляется только с участием человека.

Для безопасных современных систем ЖАТ чаще всего реализуют сочетание отказоустойчивости с переходом системы после предельной деградации в защитное состояние после очередного отказа.

Под отказоустойчивостью понимается свойство или способность системы продолжать выполнять требуемые функции при возникновении или наличии отказов элементов за счет резервных возможностей. Система обладает отказоустойчивостью, если можно выделить непустой набор элементов, повреждение которых не вызовет отказ системы. Отказоустойчивость базируется в основном на резервировании и может быть функциональной, информационной, временной или структурной в зависимости от используемого вида резерва. Существуют дополнительные мероприятия (рис. 10), позволяющие в различных сочетаниях значительно повысить отказоустойчивость: техническое диагностирование, рекон-фигурация архитектуры системы и восстановление резерва. Схема общего случая взаимодействия указанных мероприятий в процессе функционирования МП СЖАТ приведена на рис. 11.

 

 

Рассмотрим подробно каждую из этих мер повышения отказоустойчивости.

Резервирование. Метод использования дополнительных средств и возможностей с целью сохранения работоспособного состояния объекта называют резервированием.

При функциональном резервировании используется способность элементов и узлов выполнять дополнительные функции, а также заданную функцию дополнительными средствами. Эффективность работы объекта в основном и резервном режимах, как правило, существенно отличается.

При временном резервировании используется избыточное время для выполнения заданной функции. В этом случае имеются интервалы времени, на которых отказы аппаратуры не приводят к отказу функционирования системы.

При информационном резервировании используется избыточная информация. К этому виду резервирования относится использование избыточных кодов, что позволяет обнаруживать и даже исправлять ошибки в передаваемой и обрабатываемой информации.

Структурное резервирование является наиболее эффективным средством повышения надежности аппаратуры и предусматривает введение в минимально необходимый вариант системы, элементы которой называются основными, дополнительных элементов, блоков или даже вместо одной системы предусматривается использование нескольких иден-тичных систем. В этом случае резервные элементы выполняют рабочие функции системы при отказе основных элементов.

Следует отметить, что все эти способы резервирования могут быть реализованы аппаратными, программными или аппаратно-программными средствами.

При постоянном резервировании резервные элементы участвуют в функционировании объекта наравне с основными. В этом случае основные и резервные элементы могут иметь общий вход и общий выход, а могут быть и автономными.

В случае резервирования замещением функции основного элемента передаются резервному только после отказа основного. Для обнаружения факта отказа основного элемента и переключения на резервный необходимы контролирующие и переключающие устройства.

При динамическом резервировании происходит изменение структуры объекта в случае возникновения отказа составляющих его элементов. Например, данные будут передаваться не по кратчайшему пути, а по другому возможному, обходному.

Скользящее резервирование — это резервирование замещением, при котором группа основных элементов объекта резервируется одним или несколькими элементами, каждый из которых может заменить любой отказавший элемент в данной группе.

 

 

Наиболее распространенными видами резервирования безопасных систем ЖАТ на основе микроЭВМ (М-ЭВМ) являются дублирование и мажоритарное резервирование (рис. 12). При дублировании структуры системы ЖАТ значительно снижается вероятность появления ложного сигнала логической 1 на выходе системы, но при этом выход из строя любого из структурных элементов (каналов обработки данных) приводит к отказу всей системы. (На рис. 12 СС — схема сравнения). В системах ДЦ дублирование широко применялось для центральных постов по основной аппаратуре ТУ-ТС.

При мажоритарном резервировании в отличие от дублирования снижается вероятность появления ложных сигналов как логических 1 и 0 при отказах и сбоях резервируемых каналов и элементов. Мажоритарный способ резервирования позволяет легко обнаруживать и индицировать отказы в элементах резервируемых устройств сравнением сигналов неисправного канала с сигналами остальных исправных каналов.

Методы технического диагностирования. Техническое диагностирование предназначено для своевременного обнаружения неисправностей элементов системы, определения места и причины их возникновения. Поиск неисправностей необходим для выявления и замены отказавших элементов системы во избежание отказа всей системы, а также для обеспечения безопасности ее функционирования. Отказы системы автоматики могут возникать в результате ошибок проектирования и физического износа на этапе эксплуатации.

Методы диагностирования можно классифицировать по нескольким признакам (рис. 13).

По способу диагностирования различают тестовое и функциональное диагностирование (соответственно ТД и ФД). Системы ТД предназначены для проверки исправности объекта и поиска неисправностей, нарушающих его работоспособность. Отличительной особенностью ТД является возможность подачи на объект специальных тестовых воздействий. В большинстве случаев объект не применяется по прямому назначению. Если же объект функционирует по назначению, то тестовые воздействия могут быть только такими, которые не влияют на нормальное функционирование системы управления. Системы ФД предназначены для проверки правильности функционирования объекта и обнаружения неисправностей, нарушающих его нормальное функционирование. Системы ФД работают при применении объекта по назначению, когда на объект поступают только рабочие воздействия.

Развитие встроенных систем диагностирования идет по пути создания самотестируемых и самопроверяемых систем. В частности, в самотестируемых системах применяется метод расширяющихся областей, когда относительно небольшое «ядро» объекта считается работоспособным, а уже оно тестирует все остальные части, причем протестированные «присоединяются» к ядру для дальнейшего развития процесса самотестирования. Целесообразно ядро спроектировать самопроверяемым.

 

Схема является самопроверяемой, если для определенного класса неисправностей она при каждой неисправности, во-первых, формирует на выходе либо правильный сигнал, либо сигнал ошибки на всех допустимых комбинациях входных сигналов, а во-вторых, для нее существует хотя бы одна допустимая комбинациях входных сигналов, которая приводит к появлению на выходе сигнала ошибки.

При функциональном диагностировании перспективным средством повышения контролепригодности цифровых, в том числе микропроцессорных, систем ЖАТ является придание им свойства самопроверяемости.

Реконфигурация. Процесс изменения структуры системы при обнаружении неисправностей или в соответствии с изменением функциональных задач есть реконфигурация.

Реконфигурация системы при обнаружении отказа какого-либо элемента системы (одного или нескольких) проводится по инициативе системы диагностирования и необходима для сохранения максимально возможной при имеющихся отказах эффективности функционирования системы.

Реконфигурация при изменении состава функциональных задач применяется для достижения наибольшей эффективности в каждом из режимов:

решение задачи с высокими требованиями к безотказности, достоверности и безопасности;

решение задачи с повышенной точностью;

распараллеливание задачи для повышения производительности системы;

решение задачи с низкими требованиями к надежности и времени решения.

Восстановление. Применительно к управляющим вычислительным системам восстановление имеет два аспекта. Во-первых, это восстановление резерва, которое осуществляется вручную с использованием вспомогательных технических средств. Во-вторых, это восстановление вычислительного процесса (также встречаются термины «самовосстановление» и «рестарт»), которое выполняется автоматически самой системой.

Восстановление резерва может являться одной из следующих процедур: замена отказавших элементов на исправные; профилактическая замена элементов; ремонт элементов.

Отказавшие элементы заменяют на исправные по результатам функционального диагностирования, т.е. по факту отказа. Тем самым кратность резервирования доводится до первоначальной. В отличие от этого профилактическая замена проводится после истечения срока службы элемента или межремонтного срока. Отличительной особенностью здесь является то, что такая замена выполняется независимо от всех других мероприятий по обеспечению отказоустойчивости. Профилактическая замена позволяет поддерживать некоторое постоянное значение интенсивности отказов элементов. Что касается ремонта элементов, то можно отметить, что здесь эффективно применение средств тестового диагностирования.

Процедура восстановления вычислительного процесса проводится: после обнаружения ошибки функционирования системы; при введении в работу отремонтированного резерва (если резерв нагруженный).

В первом случае средствами технического диагностирования зафиксировано отклонение каких-либо параметров системы от нормы, например несоответствие результатов вычислений различных каналов обработки информации. Сначала необходимо классифицировать ошибку как сбой или катастрофический отказ. Для этого при наличии резерва времени повторяется эта же программа всеми каналами, причем возврат (рестарт) может быть к началу либо программы, либо программного модуля, при выполнении которого был зафиксирован отказ, либо команды программы, осуществлявшейся в момент возникновения ошибки или до нее. Если неисправность проявляется повторно, делается вывод о факте катастрофического отказа и проводится реконфигурация. В противном случае, т.е. при успешном повторном выполнении, предполагается, что имел место сбой и работа системы управления продолжается, а факт сбоя может быть зафиксирован для последующей статистической обработки.

При отсутствии резерва времени на обработку отказов элементов системы обычно имеют дело с маскирующими отказ решающими элементами, например мажоритарными. В таком случае тип ошибки определяется средствами встроенного тестирования отказавшего канала. Если эти средства сигнализируют о катастрофическом отказе, то также выполняется реконфигурация, если же речь идет о сбое — синхронизация работы каналов, т.е. отставший канал пытается догнать остальные, работающие синхронно. Для этого он инициирует обмен между всеми каналами для выравнивания данных, после чего проводится синхронный старт.

При введении в работу отремонтированного канала процедура восстановления вычислительного процесса аналогична: обмен между каналами для выравнивания исходных данных, синхронный старт.

Оценка отказоустойчивости. Рассмотренные способы создания отказоустойчивых систем требуют количественной оценки эффективности их применения. Для оценки эффективности возможны два подхода. При первом качественно оценивается возможность достижения отказоустойчивости благодаря:

оперативному обнаружению ошибок с одновременной их классификацией (сбой или отказ);

оперативному устранению ошибки, вызванной сбоем или отказом.

Второй заключается в количественной оценке отказоустойчивости: определяется число отказавших элементов, при котором система продолжает функционировать.

Показатель степени отказоустойчивости

 

 

где: — интенсивность отказов элементов системы, которые не приводят к нарушению функционирования системы;  — интенсивность отказов системы (интенсивность отказов элементов, приводящих к нарушению функционирования системы).

Показатель эффективности введения мероприятий по отказоустойчивости

 

где: Т_оч — время наработки на отказ системы, обладающей отказоустойчивостью; Т_о — время наработки на отказ системы, не обладающей отказоустойчивостью.

Безопасность МП систем ЖАТ. В отличие от релейных элементов МП при отказе не переходят в защитное состояние, если не использовать специальные меры по контролю правильности их функционирования. Поэтому для синтеза МП систем ЖАТ требуется разрабатывать новые методы обеспечения безопасности, отличные от методов с использованием элементов с несимметричной характеристикой отказов.

Наиболее часто для обеспечения безопасности МП систем ЖАТ используют структурное резервирование, реализуемое аппаратными или программными средствами, т.е. применяют способ параллельной обработки информации в нескольких микроЭВМ или с использованием нескольких программ в одной микроЭВМ.

Для контроля правильности работы каналов обработки информации аппаратно или программно сравнивают результаты выполнения отдельных команд или решения отдельных задач.

Программные методы резервирования и контроля требуют большего (чем аппаратные) времени обнаружения отказов и при их использовании трудно обеспечить требование независимости отказов в различных программах обработки информации. Поэтому в большинстве существующих МП систем ЖАТ используются программно-аппаратные методы контроля правильности функционирования n-кратно резервированных вычислительных каналов, выходные сигналы которых формируются по мажоритарному или конъюнктивному закону.

Резервированием, контролем функционирования и реконфигурацией обеспечивается безопасность МП систем ЖАТ при отказах внутренних элементов микроЭВМ, но необходимо обеспечить также безопасное управление исполнительными объектами при повреждении выходных элементов.

Для количественной оценки безопасности используют вероятностные показатели, определенные ОСТ 32.17—92:

вероятность безопасной работы за время t

 

где  — функция распределения наработки до опасного отказа; вероятность опасного отказа

 

 

интенсивность опасных отказов

 

 

где: dz (t) — условная вероятность опасного отказа за время dt при безотказной работе за период (0,t);

средняя наработка до опасного отказа

 

 

параметр потока опасных отказов w_oп(f), представляющий отношение математического ожидания числа опасных отказов восстанавливаемой системы за произвольно малую наработку к значению этой наработки.