Экспериментальныйметод

Отличительнойособенностьюиосновнымдостоинствомэкспериментальногометодаопределенияуровнябезопасностиявляется возможностьдостовернойоценкипоказателейбезопасностисучетомвлияниявсегокомплексафакторови условий,влияющихнабезопасность.

При определении норм безопасности для вновь проектируемых систем ЖАТ необходимопредварительновыбратьизсуществующейаппаратурыподходящийаналог.Далее,наоснованиистатистическихданныхобопасныхотказах,полученныхизопытаэксплуатации,оценитьуровеньбезопасностисистемы-аналогаи,считаяегопризнаннымобществомдопустимым,принятьзанорму.

Расчет норм безопасности производится на основе концепциизамещениярисков,прикоторойпоказателибезопасностивновьразрабатываемойсистемынедолжныбытьнижеаналогичныхпоказателей замещаемой системы.

Таблица 1

Сис-тема	Измеритель	Интенсивностьопасныхотказов оп(t),1/ч	Наработка наопасный отказТоп,год	Вероятностьбезопаснойработы в течение 20 лет	Коэффициентбезопасности
ЭЦ	станция	1,810-7	634	0,968464	0,99999984
	стрелка	7,710-9	14825	0,998651	-
АБ	сигнальная точка	9,210-9	12408	0,9919	0,99999998
	протяженность линии1км	7,010-9	16308	0,9987736	-
АПС	переезд	5,610-9	20384	0,9990189	0,999999994

Таблица 2

Элемент,устройство	Интенсивностьопасныхотказов оп(t),1/ч	Наработка наопасный отказТоп,год	Вероятностьбезопасной работы втечение 5 лет
реле	1,410-11	8153946	0,99999994
светофор	2,410-10	475646	0,9999895
рельсоваяцепь	2,710-9	42279	0,999817
релейные шкафы	2,610-9	43905	0,9998861

МетодыисредстваобеспечениябезопасностиСжат

ПостроениебезопаснойсистемыСЖАТдолжноосуществлятьсявсоответствиисконцепциейбезопасности ЖАТ.Дляреализацииконцепции безопасности используются тристратегии:безотказность,отказоустойчивостьибезопасноеповедениеприотказах(см.предыдущуюлекцию).

Исходяизконцепциибезопасности,повыситьбезопасностьСЖАТможноследующимисредствами:

безотказность–применениемминимизациилогическихсхемиснижениеминтенсивностипотокаотказов элементов;

отказоустойчивость–резервированием,диагностированием,реконфигурацией,восстановлением;

безопасноеповедениеприотказах–самопроверяемымисхемамииэлементнойбазойснесимметричными отказами.

ПрипостроениибезопасныхмикроэлектронныхСЖАТвнастоящеевремянаибольшееприменениеимеютразличныевариантыдвухканальныхитрехканальных(мажоритарных)структур

Примерыдвухканальных и трехканальных (мажоритарных) структуррассмотрены впредыдущих лекциях. Рассмотрим пример построения двухканальных систем с точки зренияповышениябезопасности.

На рис.1показана двухканальная (дублированная) система с безопасным сравнением. Вней две одинаковые микроЭВМ работают параллельно во времени. Их аналогичные выходныесигналысравниваютсябезопаснойсхемойсравнения(БСС).СигналнауправлениеформируетсятолькоприсовпадениисоответствующихсигналовобоихмикроЭВМ.Такуюсистемуназывают такжесистемой"дваиз двух"(сокращенносистемой "22").

Входы

Выходыкуправляемымобъектам

Рис.1

Втабл.1приведены состояния системы в зависимости от состояний каналов. Одинканал будем называть системой "один из одного" или системой 11. Схема БСС считаетсяабсолютно надежной. Система работоспособна только в том случае, если работоспособны обемикроЭВМ.Этоозначает,чтосточкизрениябезотказностимыимеемлогическипоследовательное соединение каналов (см. предыдущие лекции). Система переходит в опасноесостояние,еслинеработоспособныобемикроЭВМ.Вэтомслучаеможетоказаться,чтонеправильныезначенияодноименныхвыходныхсигналовобоихканаловсовпадают,исистема выдает неправильное воздействие на управляемые объекты. Следовательно, с точкизрения безопасностиимеемлогическипараллельноесоединениеканалов(см. предыдущиелекции). Заметим, что к самим микроЭВМ не предъявляются требования безопасности, то естьихотказынеделятся назащитныеи опасные.

Крометого,посколькуприодновременномотказеобоихканаловможетинепроисходитьискажениесигналовнаодноименныхвыходах,оценкабезопасностив

соответствиистабл. 1являетсянесколькозаниженной,чтодопустимосточкизрениябезопасности.

Т аб л и ц а 1

№п/п	Состояние		Состояние системы22
	МикроЭВМ1	МикроЭВМ2
1	Работоспособное	Работоспособное	Работоспособно
2	Работоспособное	Неработоспособное	Защитное
3	Неработоспособное	Работоспособное	Защитное
4	Неработоспособное	Неработоспособное	Опасное

Если известна интенсивность отказоводной микроЭВМ, то, показатели безотказностиодногоканаларассчитываются по формулам:

^P11

(t)e^t; ( 1)

^Q11

(t)1e^t; ( 2)

1

^T11^_

. (3)

Пример 1.Пусть=10^–4предыдущейлекции)

Дляt =1 год= 8760ч

P_1v1(t)0,416

Q_1v1(t)0,584

T=10⁴час= 1,14 года.

1

иt=1год=8760час.(Примеррассмотренна

час

Дляповышениянадежностиибезопасностиприменяетсядублированиедвухканальныхсистемсмежпроцессорнымконтролем:

система "дваиз четырех ,или система "24 ",или система "22 ˄ 22 " .Примерпостроения такой системыприведен наРис.2.

Рис.2

Есливдвухканальнойсистеме"дваиздвух" обаканалаидентичны(₁

₂

),тоее

показателибезотказности,согласноаналогупоследовательногосоединения,определяютсяпоформулам:

P (t)P(t)P(t)e^2t; (4)

22 1 2

^Q22

(t)1e^2t; (5)

_22(t)2; (6)

1

^T22^_2

. (7)

Пример2.Дляданныхизпримера1имеем:

Пусть=10^–4

1

иt=1год=8760час

1

час

^P2v2

(t)P(t)²e^2t=0,173

2v2

Q (t)1e^2t=0,827

_22(t)2=210^–4

1

^T22

 =5000час=0,57 лет

2

Такимобразом,дляt=1годвероятностьотказадвухканальнойсистемыувеличиласьв1,4раза,асредняя наработкадо отказауменьшилась вдвараза.

Показателибезопасностисистемы"дваиздвух",согласноформуламдляпараллельногорезервированиявычисляютсяпо формулам:

Q (t)Q(t)Q(t)(1e^t)2; (8)

îï22 1 2

^PÁ22

(t)1(1e^t)22e^te^2t

; (9)

P^ (t) 2(1e^t)

 (t)^Á22 

2²t

; (10)

îï22



^PÁ22



(t)

t

_2et

2t

2 1 3

^Tоп22

_PБ22(t)dt_(2e e

)dt_2

 .(11)

2

0 0

Пример3.Дляданныхизпримеров1и2

=10^–4

1

иt=1год=8760час

час

имеем:

^Qîï22

(t)=0,340;

^PБ22

(t)=0,660;

оп22

(t)=1,7510^–41/час;

^Tоп22

= 1,510⁴час= 1,7год.Таким образом,посравнениюс одноканальнойсистемойдляt

=1годвероятностьопасногоотказадвухканальнойсистемыуменьшиласьв100раз,интенсивность опасных отказов уменьшилась в 50 раз, а средняя наработка до опасного отказаувеличиласьвполторараза.

Рассмотримсоотношениемеждубезопасностьюибезотказностьюдвухканальнойсистемы.Вмоментвремениt вероятностьбезопаснойработысистемы22больше

вероятностибезотказнойработыв2e^t1раз,таккак

P_Б22(t)

_2et_e2t

t_

P_22(t)

_e2t

2e 1. (12)

Длясистемы22имеетместоравенство:

^PБ22

(t)P_11

(t)P_11

(t)P_22

20. e^t

_e2t

P.

Поэтомупоотношениюкодномуканалувдвухканальнойсистеме"2из2"дляпроизвольного

момента времени t_i

приращение вероятности безопасной работы равно убыванию

вероятностибезотказнойработы.Этоположениеявляетсясущественнымнедостаткомсистемы "2из2":безопасностьобеспечиваетсязасчет уменьшениябезотказности.

Широкоеприменениеприпостроениибезопасныхуправляющихсистемимеюттрехканальные мажоритарные структуры (системы "два из трех" или системы 23). Такаяструктурапоказананарис.3.

Рис.3

ВнейтриодинаковыемикроЭВМС1,С2иС3работаютпараллельнововремени.Иханалогичныевыходныесигналысравниваютсябезопаснымимажоритарнымиэлементами(БМЭ). Значение сигнала на выходе БМЭ совпадает со значением сигналов на большинствевходов.

В табл.2 приведена таблица состояний системы 23 в зависимости от состоянийканалов.СхемаБМЭсчитается абсолютнонадежной.

Т аб л и ц а 2

№	С 1	С 2	С 3	23	Вероятностьi-го событияPi(t)
0	Р	Р	Р	Р	e3t
1	Р	Р	Н	Р	e2te3t
2	Р	Н	Р	Р	e2te3t
3	Р	Н	Н	О	et2e2te3t
4	Н	Р	Р	Р	e2te3t
5	Н	Р	Н	О	et2e2te3t
6	Н	Н	Р	О	et2e2te3t
7	Н	Н	Н	О	13et3e2te3t

Изтабл. 2следуютпринципыработымажоритарнойсистемы23:

1. системаработоспособна,если работоспособныхотябыдваблокаизтрех;

2. приотказедвухблоковсистемапереходитвопасноесостояние;

3. защитныхсостоянийнесуществует.

Показателибезотказностисистемы"дваизтрех",согласнотабл. 10,вычисляютсяпоформулам:

P_23(t)P₀₍t)P₁₍t)P₂₍t)P₄₍t)

_3e2t

_2e3t

; (13)

_ P₂^_3(t)

6(1e^t)

_23(t)

23



P

(t)

32e^t

; ( 14)

^T23



^P23

0



(t)dt_

0

_(3e2t

2e^3t)dt

₌ 3_2

2 3

^6

0,83¹



. (15)

5

Посколькувсеотказысистемы23являются опасными,тоимеютместоравенства

P_23(t)P_Б23(t);

_23(t)_оп23(t);

^Т23

^Топ23^.

Пример 4. Для данных из примеров 2 и 3 имеем:

^P23

(t)

_{ 3e}0,02

2e^0,03=0,9998;

^Q23

(t)

0,0002;

^23

(t)

= 5,8510^–7

; T_23=0,8310⁵час=9,47года.Такимобразом,дляt=1000часпосравнениюссистемой

22 вероятность отказа системы 23уменьшилась в 100 раз, интенсивность отказа– в 34раза, а средняя наработка до отказа увеличилась в 1,66 раза. Однако, вероятность опасногоотказаувеличилась в 2 раза, интенсивность опасного отказа– в 2,97 раза, а средняя наработкадо опасного отказа уменьшилась в 1,8 раза. По сравнению с одноканальной системой 11вероятность отказа и интенсивность отказа уменьшились соответственно в 50 и 17 раз. Однакосредняянаработкадо отказауменьшилась в1,2 раза.

Контрольисправностиэлементоврезервированнойсистемыпозволяетповыситьвероятность безотказной работы за счетоперативного выявления и восстановления вышедшихизстроя элементов.

Контрольисправностиэлементовуправляющеговычислительногокомплекса(УВК)может осуществляться непрерывно в процессе выполнения рабочих алгоритмов или дискретно,в специальноотведенное для этой цели время части цикла работы.В обоих случаях всеэлементыУВКпоследовательнововременипроверяютсяспериодичностьюg.

Еслидиагностика УВК осуществляетсядискретно ипрактическивсе элементы УВКпроверяютсязамалыйпромежутоквремениg,тозависимость интенсивностипотокаотказов

c(t)отображаетсякривой1нарисунке4.

В этом случаес(0)0. т.к. в микроэлектронной системе существует некоторая частьэлементов без резервирования, т.к. практически трудно обеспечитьполностьюнезависимыевычислительныеканалыУВК.

ЕслидиагностированиеэлементоввычислительныхканаловУВКвыполняетсяпоследовательноираспределеноравномерновтечениевсеговремениg,тоc(t)будетпрактически неизменна в течение всего срока эксплуатации СЖАТ (зависимость 2 на рисунке4).

Рис.4

Наиболеепростымиявляютсядублированныеи троированныеструктуры(рисунки5а,б),рассмотренныевпредыдущихматериалах.

Рис. 5а Рис.5б

ДостоверностьфункционированияобеспечиваетсязасчетсравнениявыходныхсигналовпараллельноработающихмикроЭВМприформированииуправляющихсигналов.Недостатком таких структурявляется то, что различные неисправности в каналах обработкиинформациимогутпривестикодинаковымложнымсигналамнаихвыходах,априотносительнобольшихинтервалахмеждупоявлениямивыходныхсигналоввозможнонакоплениеотказов икакследствие-переходсистемы вопасное состояние.

Т аб лиц адля22

№п/п	Состояние		Состояние системы22
	МикроЭВМ1	МикроЭВМ2
1	Работоспособное	Работоспособное	Работоспособно е
2	Работоспособное	Неработоспособное	Защитное
3	Неработоспособное	Работоспособное	Защитное
4	Неработоспособное	Неработоспособное	Опасное

Т аб лиц адля23

№	1	2	3	23	Состояние системы23
0	Р	Р	Р	Р	Работоспособное
1	Р	Р	Н	Р	Работоспособное
2	Р	Н	Р	Р	Работоспособное
3	Р	Н	Н	О	Опасное
4	Н	Р	Р	Р	Работоспособное
5	Н	Р	Н	О	Опасное
6	Н	Н	Р	О	Опасное
7	Н	Н	Н	О	Опасное

k

ВероятностьбезотказнойработыP(t)такихМП-модулейприусловииравнонадежныхканаловобработки информации определяетсявыражениями

(_in_&)t

P(t)P²(t)Pⁿ(t)e

i1

(16)

2v2

P

1

(t)Pⁿ

&

(t)[3P²(t)2P³(t)]

(17)

23 МЭ 1 1

гдеn-числоинформационных выходовмодуля;

^{1-1,2,...,kи}i^{-числоиинтенсивность отказовэлементовканалаобработкиинформации;}

^&^{-интенсивностьотказоввыходнойсхемыИ;}

^Pl^{(t), P}&^(t),Рмэ^{(t)-вероятности безотказной работы соответственно канала обработкиинформации,}схемы И и мажоритарного элементазавремяt.

Длямалыхзначенийtможнозаписать,чтовероятностьотказа

Q(t)1P(t)1e^tt

Опасным отказом в резервированном МП-модуле считается отказ, не обнаруживаемыйвстроенными средствами контроля. Поэтому вероятностьпоявления опасного отказа вдублированныхитроированныхмодулях(рисунки5а,б)определяетсявыражениями

k

Q ^t( 

)²

^t()²

^О2v2

^iЭ g j g





_gi1 _g

k

Q 3^t( 

)²3^t

()²

023

^iЭ g j g



_g^i1 _g

^гдеg^{- период диагностирования элементов модуля (с учетом возможности повторноговыполнения}программы илиееучасткапри рестарте);

^iэ^{-интенсивностьпотокаэквивалентныхотказовэлементовканалаобработкиинформации;}

^j^{-интенсивностьотказовканалаобработкиинформации.}

^{Еслиопределяетсявероятностьопасногоотказасистемызавремядиагностирования}g,

^{тоиспользуютсяаналогичныеформулы,нобезотношения t/}g.

Приконтролеидентичностиработыканаловобработкиинформацииповыходнымсигналам трудно детерминировать поведениемикроЭВМ при появлении отказов,поэтому всевозникающие отказы считаются эквивалентными.В этом случае оценка безопасности такихмодулейполучается несколько заниженной.