CC BY
20
УДК 656.25
Чепцов М.Н., к.тн., доцент, проректор по научной работе (ДонИЖТ)
БЕЗОПАСНОСТЬ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ МИКРОПРОЦЕССОРНЫХ ТОНАЛЬНЫХ РЕЛЬСОВЫХ ЦЕПЕЙ
Постановка проблемы в общем виде. В технологических процессах, связанных с опасностью для жизни людей, применяются специальные технические решения для исключения возможности возникновения нештатных ситуаций. Так, в системах управления движением поездов на железнодорожном транспорте, нашли применение электромагнитные реле специальной конструкции, в которых вероятность возникновения опасного отказа сведена к минимуму [1]. С другой стороны, при интенсивном развитии средств микропроцессорной техники, применение устройств позапрошлого века для нового проектирования не оправданно ни с экономической, ни с технологической точки зрения. В связи с этим, в настоящее время происходит интенсивный поиск решений, направленных на повышение безопасности микропроцессорных средств, входящих в состав систем управления на разных уровнях технологического процесса управления движением поездов.
Анализ последних исследований и публикаций. Надежность устройства, имеющего в своем составе микропроцессорные средства, зависит от двух составляющих: программной и аппаратной. При условии независимости их отказов вероятность безотказной работы вычислительного устройства или системы определяется выражением
P (t) = PAO (t) Pno (t),
где первый множитель - вероятность безотказной работы аппаратного обеспечения, второй - программного [2, 3].
Исходя из определения понятия безопасности технических средств железнодорожного транспорта (например, [4]), выражение справедливо и для определения вероятности возникновения опасных отказов. В этом
случае в расчет принимаются только опасные отказы аппаратных и программных средств соответственно.
Классический подход определения показателей безопасности предполагает формулировку понятия опасного отказа рассматриваемого устройства железнодорожной автоматики. Так, в рассматриваемом случае, опасным отказом путевого датчика является выдача информации о свободности участка пути при фактическом его занятии подвижной единицей или при нарушении целостности рельсовой линии (ложная свободность).
В тональных рельсовых цепях (ТРЦ), построенных на аналоговых элементах [5,6], исключение возможности возникновения опасного отказа обеспечивается за счет специальных технических решений. В частности, оконечный каскад путевого приемника выполнен на реле первого класса по безопасной схеме включения (рис. 1), а наличие импульсов в цепи питания путевого реле напрямую зависит от входного сигнала f(t), имеющего априорно известные параметры:
f (t) = A1 sin( CQjt + (p1 )m(t) + n(t) , (1)
где A1 ,a1 ,(1 - амплитуда, частота и фаза несущей;
4 A f 111 Л
m(t) =—— cos(a>2t) +— cos(3a2t) +— cos(5a2t) +— cos(7a2t) + ... I -
п ^ 3 5 7 J
прямоугольные импульсы частоты модуляции;
n( t ) - сигнал помехи.
В случае свободности рельсовой линии, ее целостности, входной сигнал f(t) поступает на вход выполненного на микроэлектронной элементной базе путевого приемника ТРЦ (рис. 1). В приемнике осуществляется фильтрация входного сигнала (ФТЧ), его усиление и демодуляция (АД), фильтрация модулирующего сигнала (Ф8/12), пороговое усиление (ПУС). В результате динамической работы безопасного элемента (БЭ) путевое реле (П) поддерживается под током за счет энергии импульсов частоты модуляции, поступающих с выпрямителя (Д).
Исключение опасных отказов путевого приемника обеспечивается за счет включения всех элементов в динамическую работу, а показатели безопасности определяются по известным для микроэлектронных элементов методам и методикам.
Рисунок 1 - Функциональная схема приемника ТРЦ
С другой стороны, применение современной микропроцессорной элементной базы позволяет расширить функциональные возможности приемника и значительно удешевить конструкцию. Однако в состав любого микропроцессорного устройства входит программное обеспечение, следовательно, возникает необходимость в теоретическом обосновании безопасности его функционирования.
Целью данной статьи является разработка критериев оценки безопасности функционирования программного обеспечения приемника ТРЦ, выполненного на микропроцессорной элементной базе.
Изложение основного материала. Рассмотрим модель работы микропроцессорного приемника ТРЦ (МПП ТРЦ) для случая, если в программном обеспечении реализованы функции блоков ФТЧ, АД, Ф8/12, ПУС (рис. 2).
I I
Рисунок 2 - Функциональная схема МПП ТРЦ Зб1рник наукових праць Дон1ЗТ. 2005 №4
Так, зависимость выходного сигнала У(г) от входного /(г) определяется следующим выражением:
У(^) |А3т(г),если /(г) = А1 sm(01í + (р1)т(г )& А1 > Р (2)
[ 0, если / (г) = п(г)
т.е. микропроцессорное устройство генерирует выходной сигнал прямоугольной формы с амплитудой Л3, и имеющий уровень энергии, достаточный для срабатывания и удержания под током реле П, при условии присутствия на входе сигнала /(г) с заданными параметрами (1), и если его амплитуда Л1 превышает некоторое значение порога Р (индикация свободности РЦ). В противном случае, если на входе присутствует помеха /(г) = п(г) или отсутствует сигнал /(г) = 0, то выходная последовательность не генерируется, реле П находится без тока (занятость
РЦ).
Очевидно, что для включения и поддержания под током путевого реле П необходима некоторая энергия е} , определяемая энергетическим спектром сигнала У(г). Тогда условие срабатывания будет определяться следующим выражением [12]:
1 Т
Е П =—Т1-Г У (г )2 Ж , (3)
П К 02 А/ЭТI '
где первый множитель - параметры фильтра, образованного трансформатором Т и подключенными к нему элементами;
К 0 - модуль передаточной функции фильтра на частоте модуляции; А/э - энергетическая полоса пропускания.
Параметр Т определяется временем задержки на срабатывание реле
П.
В связи с тем, что перечисленные параметры априорно известны, то целесообразно ввести замену:
1 = мт
Ко2 А/э г ■
Подставляя значения из (2), для условия срабатывания получим следующее выражение:
EП = ^Y(t)2Л . Т 0
(4)
Таким образом, выражение (2) является общей моделью функционирования приемника ТРЦ для штатного режима работы, а выражения (3, 4) дополняют его и учитывают конструктивные особенности исполнения безопасного элемента.
В случае возникновения отказа имеется некоторая вероятность возникновения опасного состояния ТРЦ - «ложная свободность». Такое состояние может возникнуть в случае генерации МП устройством в течение периода времени т некоторой последовательности Y^) = в^), энергетическая спектральная плотность которой достаточна для срабатывания путевого реле, при условии присутствия на входе МП устройства помехи f(t) = n(t) или отсутствия сигнала f(t) = 0 (рис. 3). Принимая во внимание основное условие безопасного функционирования устройства железнодорожной автоматики - любой единичный отказ любого элемента не должен приводить к опасному состоянию [4], рассмотрим вероятность возникновения последовательности в(t) при цифровой обработке сигнала в МП приемнике ТРЦ.
Так, основной функцией МП приемника ТРЦ является обеспечение эффективной цифровой фильтрации сигнала. В настоящее время нашли широкое применение два основных типа цифровых фильтров - с бесконечной (БИХ) и конечной импульсной характеристикой (КИХ) [13]. По мнению автора, применение фильтров первого типа в устройствах, обеспечивающих безопасность, не желательно. Это связано с наличием положительной обратной связи и как следствие - возможностью самовозбуждения, т.е. неконтролируемой генерации сигнала в(t). Кроме того, полноценная реализация БИХ фильтра возможна только на
Опасный отказ
1;-
Рисунок 3 - Возникновение опасного отказа
процессоре, который оперирует форматом данных типа «с плавающей запятой», что удорожает конструкцию.
Цифровая фильтрация в КИХ фильтре осуществляется за счет реализации N операций умножения с накоплением (рис. 4). При этом значение выходного сигнала определяется выражением:
у (п) = ^ Кк)х(п - к),
(5)
к=0
где Н(к) - к - й коэффициент фильтра, х(п) - текущее значение (цифровой отсчет) входного сигнала /(г). Предварительно рассчитанные NФ -1 коэффициентов фильтра находятся в памяти МП устройства. Как правило КИХ фильтр реализуется на процессоре, который имеет формат данных «с фиксированной запятой» и диапазон значений цифрового сигнала от 0 до 1.
Выходные цепи МП приемника ТРЦ, при значении У(п)«1, обеспечивает достаточный для срабатывания реле П уровень энергии в случае, если он присутствует на выходе МП устройства в течение периода времени г > т, в соответствии с (4).
Рисунок 4 - Фильтр с конечной импульсной характеристикой N -го
порядка
В связи с тем, что статические отказы МП не влияют на безопасность приемника ТРЦ, что обеспечивается включением безопасного элемента БЭ (рис. 2), то такие отказы ПО как зацикливание, зависание, полное прекращение выполнения программы, можно не рассматривать.
N.. -1
В свою очередь, условие возникновения динамического отказа программного обеспечения можно определить исходя из выражений (4, 5). Для этого перейдем от абсолютного значения времени t к относительному дискретному, измеряемому в тактах работы МП устройства - t¡¡ . Введем величину Tj - время срабатывания путевого реле П, измеренное в тактах работы процессора МП устройства. С учетом этого, заменяя для дискретного сигнала в выражении (4) интеграл на сумму, имеем следующее условие срабатывания путевого реле:
M Тп
ЕП = M-1Y2. (6)
Т П i=0
Анализ выражений (5, 6) позволяет сделать вывод, что если в течении ТП тактов процессора выходной сигнал МП устройства будет близок к единице, то Е1П «MT, т.е. будет определяться значением модуля передаточной функции выходного фильтра ТРЦ. В свою очередь MT имеет максимальное значение на частоте модуляции m(t), следовательно, определяется наличием первой гармоники в выходном сигнале МП устройства Y(t).
Таким образом, существует некоторое значение времени То, равное периоду основной гармоники модулирующего колебания m(t), критичное по условию безопасного функционирования МП приемника ТРЦ.
В связи с этим, в соответствии с выражением (1), одним из критериев оценки функциональной безопасности программного обеспечения МП приемника ТРЦ является отсутствие программных блоков, имеющих время выполнения to = (1 + 2п)То, где n = 1,2,3....
Расчеты показывают, что при частоте модуляции ТРЦ - 8 Гц, T¡ =125 мс. При использовании в МП устройстве процессора с тактовой частотой 1 МГц, критическим по времени выполнения программным блоком будет функция, выполняемая за 125 тыс. тактов процессора.
Выводы и практические рекомендации. Таким образом, наряду со стандартными средствами анализа безопасности программного обеспечения, следует производить проверку по критерию времени выполнения to.
С учетом этого, идеальный вариант программного обеспечения ТРЦ - обеспечение всей функциональности ПО за промежуток времени, меньший То. В противном случае необходимо рассмотреть возможность применения процессоров, имеющих более высокое быстродействие или
осуществлять проектирование функциональных блоков команд с учетом критерия г;.
Список литературы
1. Сертификация и доказательство безопасности систем железнодорожной автоматики. Под ред. Сапожникова Вл.В. М: Транспорт, 1997. - 288 с.
2. Иыуду К.А. Надежность, контроль и диагностика вычислительных машин и систем. - М.: Высшая школа, 1989. - 216 с.
3. Каган Б.М., Мкртумян Б.И. Основы эксплуатации ЭВМ. - М.: Энергоатомиздат, 1983. - 376 с.
4. Сапожников В.В., Сапожников Вл.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и святи: Учебное пособие для вузов ж.д. трансп./ Под ред. Вл.В. Сапожникова. - М.: Маршрут, 2003. - 263 с.
5. Казаков А.А., Бубнов В.Д., Казаков Е.А. Автоматизированные системы интервального регулирования движения поездов. М.: Транспорт, 1995. - 320 с.
6. Кулик П.Д., Ивакин Н.С., Удовиков А.А. Тональные рельсовые цепи в системах ЖАТ: построение, регулировка, обслуживание, поиск и устранение неисправностей, повышение эксплуатационной надежности. - Киев: Издательский дом «Мануфактура», 2004. - 288 с. - Ил. 57.
7. Чепцов М.Н. Метод определения параметров безопасности программного обеспечения в микропроцессорных системах управления движением поездов // Збiрник наукових праць Дон1ЗТ, 2005. - №2 - с. 39 - 46.
8. Лисенков В.М. Статистическая теория безопасности движения поездов: Учеб. для вузов. - М.: ВИНИТИ РАН, 1999. - 332 с., ил.
9. Сапожников Вл.В., Елкин Б.Н., Кокурин И.М. и др. Станционные системы автоматики и телемеханики - М.: Траспорт, 1997. - 432 с.
10. Коваленко Г.В., Чепцов М.Н., Шамота В.П., Применение сигнальных процессоров в системах диспетчерской централизаций. // Збiрник наукових праць КУЕТТ. Серiя «Транспорты системи i технологи», 2003. Вип. 4, с. 157-160.
11. ДСТУ 4178-2003. Комплекси техшчних засобiв систем керування та регулювання руху поiздiв. Функцш на безпечшсть i надшшсть. Вимоги та методи випробування.
12. Тихонов В.И. Статистическая радиотехника. М: Советское радио, 1966. - 677 с.
13. Рабинер Л., Гоулд Б. Теория и применение цифровой обработки сигналов. Пер. с англ. М.: Мир, 1978. - 837 с.
