Быстрая диагностика иртерфейсно-вычислительных трактов с ошибками Текст научной статьи по специальности «Математика»

УДК 519.24.001:512,643,5 Авакян А.А., Юрков Н.К.

ОАО «НИИ авиационного оборудования», г. Жуковский, Россия

ФГБОУ ВПО «ПГУ», г.Пенза, Россия

БЫСТРАЯ ДИАГНОСТИКА ИРТЕРФЕЙСНО-ВЫЧИСЛИТЕЛЬНЫХ ТРАКТОВ С ОШИБКАМИ

Аннотация. Показана актуальность поставленной задачи. Рассмотрен мажоритарный метод контроля системы с четырехкратным резервированием интерфейсно-вычислительного тракта. Для выполнения требований норм летной годности обработка информации критических функций должна производиться в, функционально идентичных, но различных по конструктивному и программному исполнению, трактах. При этом возникает проблема достоверного мажоритарного сравнения информации, прошедшей через все элементы каждого тракта. В статье рассмотрен, разработанный и патентованный автором, регрессионный фильтр, который позволяет эффективно решить эту проблему.

Ключевые слова: контроль, тестовый, мажоритарный, элемент, вероятность, математическое ожидание, дисперсия, регрессия, фильтр, случайная величина, нормальный закон распределения.

Решение данной задачи актуально для резервированных интерфейсно-вычислительных трактов, в которых обрабатываются критические функции (функции, ошибки в которых могут привести к катастрофическим ситуациям) [1, стр.25]. По нормам летной годности интенсивность отказов таких

трактов должна быть менее 10-9 отказов в час. Поскольку создание отдельного, не резервированного, интерфейсно-вычислительного тракта с интенсивностью отказов менее чем 10-5 отказов в час проблематично, то эти тракты обязательно резервируются.

Для выявления программных и аппаратных ошибок к этим трактам предъявляются следующие дополнительные требования [1]:

Аппаратная часть должна быть выполнена функционально одинаково, а конструктивно различна;

Программная часть должна быть функционально одинаковой, но по исполнению различной.

В данной работе будем предполагать, что конструктивные и программные требования, предъявляемые к тратам, выполнены и рассмотрим систему контроля, обеспечивающую эти требования.

Рассмотрим требования к полноте, достоверности и глубине контроля для обеспечения требований по безотказности системы.

В [2, стр. 65] была выведена следующая формула, связывающая вероятность неконтролируемого отказа устройства Рн (вероятность отказа устройства после того, как оно было проконтролировано тестовым и мажоритарным видами контроля) с характеристиками контроля этого устройства.

Рпd = PN( 1 + ЛLr)( 1 _ Лг)( 1 + ЛLd)( 1 _ Лd) (1)

Где:

PN - вероятность полного отказа хотя бы одного из элементов устройства;

Лт - коэффициент полноты тестового контроля

Л^г- коэффициент полноты ложного тестового контроля;

Лм - коэффициент полноты мажоритарного контроля;

'Hlm - коэффициент полноты ложного мажоритарного контроля

В нашем случае устройством является интерфейсно-вычислительный тракт, который, также, контролируется тестовым и мажоритарным методами контроля.

Многочисленные расчеты характеристик надежности сложных устройств электроники, проведенные в авиационной и других отраслях промышленности, показали, что оценка интенсивности контролируемого и неконтролируемого отказов, хотя бы одного из элементов сложного, электронного устройства, не может быть меньше PN=10-4 отказов в час. Будем считать, что PN интерфейсновычислительного тракта PNi=10-4 отказов в час. Также, будем считать, что тестовый контроль выполняется максимально полно, т.е. коэффициент полноты тестового контроля максимален и равен величине Лт=0,98. Практика, также, показывает, что реально можно достичь достоверности с оценками коэффициентов тестового и мажоритарного ложного контроля равными: Л^т=Л^=0,001. Подставив эти оценки в формулу (1) получаем необходимую величину полноты мажоритарного контроля равную Ли =0,99999. Обеспечить контроль устройства с таким коэффициентом полноты контроля возможно только с применением мажоритарного метода контроля. Чтобы реализовать мажоритарный метод контроля, устройство должно быть, как минимум, триеровано.

На рис.1 приведена структурная схема отказоустойчивой системы с четырьмя интерфейсновычислительными трактами. Четвертый тракт включен в систему, чтобы поддержать интенсивность отказов равную 10-9 отказов в час в течение некоторого межрегламентного периода.

Поскольку коммутаторы в системе, приведенной на рис. 1, только дублированы, то каждый коммутатор включен во все четыре канала. Таким образом, каждый тракт представляет собой цепь из входных частей коммутаторов различных интерфейсов, входных частей портов интерфейсов, вычислительных узлов, выходных частей портов интерфейсов, выходных частей коммутаторов.

Коэффициент полноты контроля равный 0,99999 означает контроль практически всех элементов устройства. Следовательно, мажоритарному сравнению должны подвергаться сигналы, прошедшие через всю, перечисленную выше, цепь каждого тракта. В системе, приведенной на рис. 1, сигналы, прошедшие через всю цепь каждого тракта возвращается во входную часть каждого коммутатора и через коммутатор поступает в вычислительные узлы всех трактов для мажоритарного сравнения.

Важным качеством мажоритарной системы является принцип сравнения сигналов. Обычно при мажоритарном контроле сравниваются значения параметров, носителями которых являются сигналы, прошедшие через тракты. В качестве критерия сравнения, при этом, принимается допустимая величина модуля разности между значениями сравниваемых параметров, т. е. допустимой ошибки измере-

ния параметра. Но этот критерий имеет следующие недостатки:

При стационарных режимах, когда значение параметра не изменяется, он практически не чувствителен к выявлению видов отказов типа «замораживание» (отказ, при котором в некоторый момент отказа значение параметра фиксируется в устройстве, например на индикаторе, и не изменяется в зависимости от его значения на входе устройства).

Рис. 1 Структурная схема отказоустойчивой системы с четырьмя интерфейсно-вычислительными трактами

Для точного сравнения необходимо синхронизация значений параметров, прошедших через разные тракты;

При задании больших допусков отказы могут не обнаруживаться (ошибки 1-го рода), а при малых значениях допуска возможно появление ложных отказов (ошибки 2-го рода), т. е. произойдет снижение достоверности контроля.

Свободным от этих недостатков является метод сравнения значений параметров по характеристикам стохастической части информации. Для этой цели в работе предложен регрессионный фильтр, в котором в качестве характеристики чувствительной к отказам предлагается использовать остаточную дисперсию регрессии случайного процесса изменения значения параметра.

Случайный процесс изменения параметра, состоящий из N точек измерений значения параметра от момента ti до момента tN «разрезается» на С реализаций по n точек в каждой реализации. Следовательно, N = C*п . Число N выбирается из условия эргодичности, то есть, чтобы на любом отрезке равном tN - ti случайного процесса изменения параметра, характеристики случайного процесса были практически одинаковы. Случайный процесс изменения параметров, обрабатываемых электронными системами, является стационарным, нормальным. Ширина доверительного интервала D на

оценку математического ожидания нормального стационарного, случайного процесса в любой момент времени при известной дисперсии и заданной вероятности доверия [3, стр.377], равна:

<г( t -1 . )

D — *■ max *• miny

4n

Где:

о-вероятное отклонение случайной величины;

tmax, tmin - верхний и нижний квантили нормального распределения.

При вероятности доверия равном Рд=0,9973 расстояние между верхним и нижнем квантилями равно

3о. Если принять величину дисперсии равной единице, то ширина доверительного интервала будет

п 3

равна: D = ^=

■JN

У случайного процесса, состоящего из 1000 точек (n=10, C=100, N=1000) эта оценка равна примерно 0,09, то есть созданный нами процесс из ста реализаций по десять точек начиная, с любого момента времени, будет иметь одинаковые характеристики, т.е. может считаться эргодическим.

Обозначим значение случайного процесса в момент ti через W(ti). Тогда значение случайного процесса изменения параметра от момента ti до момента tn сформируются с помощью следующей матрицы :

У )=

w1(t0) W1(t1) W1(t2)

w2(t0) w2ft) w2(t2)

wfio) wi(h)

WA4) wAh) wi(h)

wAtj)

В каждой строке матрицы п+1 значений одной реализации случайного процесса. Поскольку число реализаций процесса равно С, то количество строк матрицы (2) равно тоже С.

Построим регрессию случайной величины W(to) (множество значений параметра в момент t

{wi (t0), W2(t0), . Wc(t0)} на множество значений параметра в моменты {ti, t2, tn}. {wi(ti),

W2(ti), wc(tn)} (матрица (2)).

На рис.2 приведен график дискретного случайного процесса изменения значений условного параметра, состоящего из 100 реализаций, в каждой из которых по десять точек. На рис. 2 приедены первая, вторая и сотая реализации случайного процесса условного параметра.

Оценка математического ожидания случайных величин условного процесса в сечении tj, равна [3, стр. 601]:

1 с

MW (tj ) — -УК (tj ) — ас (tj ) (3)

C i —1

Оценка стандартного (среднеквадратического) отклонения процесса случайных величин условного процесса в сечении tj, равна [3, стр. 601]:

GW (tj ) = ^

У (Wi (tj )-ac (tj ))2

C-1

= Gc (tj )

(4)

Построим два следующих типа выборочных ковариаций

Между сечениями t0 и ti (j = 1,2, n):

c

k0l —

y(Wi (l0 ) - ac (l0 )) * (Wi (11) - ac (11))

i—1____________________________________________

c

(5)

(моментов второго порядка)

[3

стр.601]:

Ковариационная матрица Ko имеет следующий вид: Kq=[koi, ка2.:.ко1 кдп] (6)

12345678? 10

Рис. 2 График дискретного случайного процесса изменения значений условного параметра, состоящего из 100 реализаций, в каждой из которых по десять точек.

Между сечениями tj и ti (j,l=1,2, n), (j#l):

k - i-1 kj-

C

E(W (tj)-« (tj ))*(W 6)-« 6))

C

Ковариационная матрица K имеет следующий вид.

к -

(7)

Ковариационная матрица (8) имеет следующие особенности:

Она симметрична относительно диагональных элементов, то есть ki,j = kj,i;

Смещенные оценки диагональных элементов матрицы (2) являются дисперсиями, то есть ki,j=i

=Gc(tj);

По данным ковариационной матрицы выполняются следующие операции по определению линейной регрессии и остаточной дисперсии. Оценка линейной регрессии имеет следующий вид [3, стр.601]:

п

R(t) = ас (/„) + 2)-ac(tj)) ( 9)

j = 1

Оценка коэффициента линейной регрессии Pj по каждому j-тому столбцу матрицы (2) определяется по следующей формуле [3, стр. 601]:

1 n

Pj -Л Е koiKj (10)

М j-1

Где:

- оценка коэффициента линейной регрессии; kji - детерминант ковариационной матрицы (6);

коi - оценка! элемента ковариации между сечениями to и ti l= (l=1,2,...n);

Kji - алгебраическое дополнение элемента kji ковариационной матрицы (8).

Оценка остаточной дисперсии (Ooc(ts))2 регрессии определяется по следующей формуле [3,

стр.602]:

(О (tn ))2-1 *Z(Wi (t0 ) - «t (t0 )-P1 (W. (t1) - «t (t1 ))---Pn (W. (tn ) - «t (tn )))'

C i-1

Сопоставление остаточных дисперсий сравниваемых по пересечению доверительных интервалов вероятного этот доверительный интервал.

В [3, стр. 602] показано, что статистика:

(11)

параметров

отклонения

¥ =

К)2 *C

(°oc (tn)f

(12)

в данном методе осуществляется остаточной дисперсии. Определим

распределена по закону %2 с r=c - n - 1 степенями свободы.

Где:

(Оо)2 значение остаточной дисперсии параметра;

(Стос)2 оценка остаточной дисперсии параметра, полученная по статистике С реализаций случайного процесса изменения параметра,

С число реализаций случайного процесса изменения параметра.

Плотность вероятностей распределения %2равна [4, стр. 476]:

, , N \РГ (%2 <Х) ПРИ Х >0

k (Х)-i v ' (13)

0 при x < 0

Выражение для Pr (%2 < X)

Pr (х2 < Х) -

имеет следующий вид: (14)

r

Где Г(-) - гамма функция, интегральное представление (формула Эйлера) которой для непре-

рывных z имеет следующий вид: то

Г( z) -J xz-1e~xdx (15) о

Для целочисленных z > 0 имеет место, следующее соотношение: r(z + 1) = z!

0! = Г(1) = 1.

Обозначим:

r (r

— - z тогда 1 I —

2 V 2

(16)

Подставив (16) в (14) получим следующую,

pn (%2 < x) = -VTr

222' 2-1

(17)

r

1

2

x

x

удобную для вычислений формулу:

На основании выше изложенного можно записать следующее неравенство:

, V («п)2 С / ч

Cmin (r,mi„ )< Л /чЧ2 <Cmax V^max) (18)

{«oc (Cn ))

Где: tmin (c, Pmin) и tmax (c, Pmax) соответственно квантили распределения (17) для вероятностей Pmin и Pmax при Г степенях свободы.

Тогда доверительный интервал для оценки стандартного отклонения, с вероятностью доверия равной: Pд = Pmax - Pmin, будет иметь вид следующего неравенства:

«oc tt {г’сРшт) < «о < fat {rt

jtmm^Pmnl

Введем следующие обозначения

(19)

Величину

Величину

с . (r P ■ )

min у ’ min ) С

t (r P )

max у ’ max ) С

обозначим через Н;

обозначим через В.

Тогда формула (19) преобразится следующим образом:

«ос (У Ун < «О < «ос (у )'В ( 2 °)

Ширина доверительного интервала вероятного отклонения остаточной дисперсии D будет равна:

23 = «ос йУ-«ос(/„)•#<«о (2D

Поскольку мажоритарное сравнения величин D осуществляется по информации прошедшей через четыре разных тракта, то в идентификатор D одного из сравниваемых трактов добавим индекс i, а для другого тракта индекс j (i,j=1, 2,3,4).

В качестве критерия сравнения ширины доверительного интервала вероятного отклонения остаточной дисперсии сравниваемых трактов примем величину К, равную модулю разности величин Di и Dj деленную на сумму этих величин:

\Di -Di\

K = М---й (22)

Di + Dj

Поскольку величина D всегда больше нуля (D>0), то величина K будет изменяться в следующих

пределах: 0<K<1. Например, если |Д. — D^| = 0,1

то K = 01 = 0,0476 . 2,1

Величина подбирается таким образом, чтобы, с одной стороны гарантировать выявление всех отказов, а также программных и аппаратных ошибок, а с другой стороны минимизировать ошибки второго рода (ложное выявление отказа или ошибки).

Для того чтобы гарантировать систему мажоритарного контроля от ошибок, связанных с ситуациями, когда остаточная дисперсия регрессии по каким то причинам окажется не достаточно чувствительна к отклонению параметра от точного значения, в мажоритарном элементе осуществляется также допусковый контроль. При допусковом контроле проверяется отклонение модуля разности сравниваемых значений параметра от заданного допуска на точность измерения параметра Лп. С этой целью выполняется следующая операция относительно сигналов прошедших через i-тый (Wyi) и j-тый (Wyj) тракты:

Wyi —Wyj > Ап (24)

Где сочетания i-j принимают значения: 1-2, 1-3, 1-4, 2-3, 2-4, 3-4

Выполнение неравенства (22) означает, что значение параметра одного из сигналов прошедших через тракт i или j не в допуске, по точности на параметр.

Если мажоритарный элемент выполнить в виде отдельного устройства, то он в системе резервированных трактов платформы окажется включенным последовательно, и его надежность будет определять надежность всей системы. Чтобы избежать специальных мер по резервированию мажоритарного элемента в данной работе предложено его реализовать в вычислительном узле каждого тракта. Но мажоритарный контроль одних и тех же сигналов в 4-разных мажоритарных элементах может дать различные результаты сравнения сигналов, в частности по причине неисправной работы одного из вычислительных узлов. Для выявления такой ситуации в работе предлагается создать второй уровень мажоритарного контроля, который будет осуществлять мажоритарный контроль результатов мажоритарного контроля первого уровня. Чтобы при двухуровневом мажоритарном контроле сохранилась ситуация о неоднозначности выявления неисправного тракта необходимо, чтобы были неисправны 3 из 4-х вычислительных узлов.

Вероятность отказа любых трех вычислительных узлов из четырех QMa^ равна произведению числа сочетаний из 4-х по 3 помноженной на куб вероятности отказа одного вычислительного узла. Формула этой вероятности будет равна:

Q„a„ = 4*(Q„y)3

Выше было показано, что вероятность отказа модулей вычислителя не может быть меньше величины 10-4. Если принять вероятность отказа вычислительного узла равной этой величине, то есть QMBy=10 , то вероятность неоднозначного результата мажоритарного контроля будет равна Qиаж=4*10 12, то есть меньше нормативной вероятности на катастрофическую ситуацию.

Выводы:

Для выполнения норм летной годности по безотказности аппаратуры обрабатывающей функции, отказы которых могут привести к катастрофической ситуации, коэффициент полноты контроля аппаратуры должен быть не менее р>0,99999;

Полноту контроля аппаратуры р>0,99999 можно обеспечить мажоритарным сравнением сигналов прошедших с входа на выход, как минимум трех трактов;

Разработанный автором регрессионный фильтр позволяет осуществить сравнение сигналов в асинхронном режиме с вероятностью ошибок первого рода близкой к единице при минимуме ошибок второго рода;

Показано, что возможная неоднозначность контроля в резервированных мажоритарных элементах можно устранить с высокой вероятностью путем двух уровневого мажоритарного контроля.

ЛИТЕРАТУРА

1. Авиационные правила. Часть 25. Нормы летной годности самолетов транспортной категории (АП-25), Межгосударственный авиационный комитет, Москва, 2009 г.

2. Авакян А.А., Искандаров Р.Д., Копненкова М.В.«Разработка облика бортового унифицированного высокопроизводительного вычислительного модуля на основе интерфейсных средств для комплексирования бортового оборудования авиационной и ракетно-космической техники» (НИР «Вычислитель»), НИИАО, 2004г.

3. Б.В. Гнеденко «Курс теории вероятностей», Государственное издательство физикоматематической литературы, издание третье, переработанное, Москва, 1962 г.

4. Гарольд Крамер "Математические методы статистики", под редакцией А.Н. Колмогорова, Москва, "Мир", 1973 г.