Общетехнические и социальные проблемы
115
Заключение
Результатом исследования является разработанная прикладная методика исследования оценки остаточного ресурса несущих конструкций подвижного состава с учетом неопределенности условий их эксплуатации. Методика основана на положениях теории нечетких множеств и позволяет получить в качестве результата достоверность остаточного ресурса несущих конструкций подвижного состава. Для практической реализации методики использованы методы нечетких вычислений, а именно метод стохастической аппроксимации нечеткого результата.
Библиографический список
1. Управление индивидуальным ресурсом вагонов в эксплуатации / А. В. Третьяков. - М. : ОМ-Пресс, 2004. - 348 c. - ISBN 5-901739-08-6.
2. Метод синтеза нечетких моделей прочности для совершенствования соединений элементов конструкций подвижного состава / А. М. Соколов. - М. : ОМ-Пресс, 2006. - 208 c. - ISBN 5-901739-35-3.
3. Контроль динамики железнодорожного подвижного состава / И. Г. Морчиладзе, М. М. Соколов, А. В. Третьяков. - М. : ИБС-холдинг, 2007. -358 с. - ISBN 978-5-98788-013-5.
4. Проектирование, конструирование, расчет и испытания вагонов / И. Г. Морчиладзе, А. М. Соколов, М. М. Соколов. - М. : ИБС-холдинг, 2009. -522 с. - ISBN 978-5-98788-018-0.
5. Разработка и модернизация средств технического обслуживания железнодорожного пути : дис. ... д-ра техн. наук : 05.22.07 : защищена 01.11.07 : утв. 24.02.08 / Сычев Вячеслав Петрович. - М., 2008. - 250 с. - Библиогр.: с. 210-250. - 03400204481.
Статья поступила в редакцию 23.12.2009;
представлена к публикации членом редколлегии А. В. Грищенко.
УДК 656.25
О. А. Наседкин, А. А. Блюдов
ЭКСПЕРТИЗА И ИСПЫТАНИЯ НА БЕЗОПАСНОСТЬ МИКРОЭЛЕКТРОННЫХ СИСТЕМ ЖЕЛЕЗОДОРОЖНОЙ АВТОМАТИКИ И ТЕЛЕМЕХАНИКИ
Сертификация любой системы железнодорожной автоматики и телемеханики необходима для возможности включения её в эксплуатацию. Важными этапами сертификации являются экспертиза и испытания на безопасность. В данной статье
ISSN 1815-588 Х. Известия ПГУПС
2010/1
Обцетехнические и социальные проблемы
рассмотрены особенности проведения этих процедур для микропроцессорных комплексов, а также пример последовательности их проведения на примере системы автоблокировки АБ-ЧКЕ.
экспертиза, испытания на безопасность, микроэлектронные СЖАТ, автоблокировка, опасный отказ, тестирование ПО.
Введение
Доказательство безопасности микропроцессорных систем железнодорожной автоматики и телемеханики по сравнению с традиционными релейными системами железнодорожной автоматики и телемеханики (СЖАТ) связано с рядом трудностей. Это обусловлено прежде всего особенностью микроэлектронной элементной базы, обладающей так называемым свойством симметричности отказов (равновероятными состояниями отказов полупроводниковых элементов типа «пробой» или «обрыв»). Поэтому аппаратная реализация СЖАТ, отвечающих требованиям безопасности, основана на специальных схемотехнических решениях и правилах построения безопасных устройств на небезопасной элементной базе.
Вторая проблема микропроцессорных СЖАТ связана с тем, что ряд задач реализации функций системы и задач обеспечения безопасности выполняются средствами программного обеспечения (ПО). С учетом специфики программного обеспечения как объекта разработки и контроля возникает необходимость доказательства полноты и корректности реализации функций системы программным способом [1].
Подтверждение достаточности принятых разработчиком решений по обеспечению безопасности вновь создаваемых СЖАТ в отрасли возлагается на испытательные лаборатории, аккредитованные в железнодорожном регистре РФ - системе сертификации на федеральном железнодорожном транспорте. Процедура формирования доказательства безопасности системы регламентирована отраслевой нормативной базой. Порядок работ по испытаниям и экспертизе средств ЖАТ определён руководящим документом РД 32 ТЩТ 1115842.06-03 «Порядок испытаний и экспертизы средств ЖАТ» [2]. В частности, в соответствии с этим порядком предусматривается параллельная работа разработчика и эксперта. Весь процесс доказательства безопасности разбивается на две основные фазы: экспертиза и испытания.
Рассмотрим особенности экспертизы микроэлектронных СЖАТ на примере системы автоблокировки АБ-ЧКЕ, разработанной специалистами Московского государственного университета путей сообщения (МГУПС-МИИТ).
ISSN 1815-588 Х. Известия ПГУПС
2010/1
Общетехнические и социальные проблемы
117
1 Общие сведения о системе АБ-ЧКЕ
Система АБ-ЧКЕ была разработана для замены существующей числовой кодовой автоблокировки. Она предназначена для контроля целостности и свободности рельсового пути, передачи информации между сигнальными точками о состоянии рельсовых линий, управления огнями проходных светофоров по условиям безопасности движения, а также для передачи дежурному электромеханику или диспетчеру дистанции информации о техническом состоянии аппаратуры сигнальных точек.
Система АБ-ЧКЕ обеспечивает формирование и передачу на локомотив информации о показаниях проходных светофоров. Автоблокировка АБ-ЧКЕ функционально совместима с эксплуатируемыми системами числовой кодовой автоблокировки и автоматической локомотивной сигнализации непрерывного типа.
Аппаратура АБ-ЧКЕ размещается в релейных шкафах либо на стативах станционных систем централизации. Она заменяет дешифратор, кодовопутевой трансмиттер, а также импульсное и трансмиттерное реле. Структурная схема АБ-ЧКЕ представлена на рис. 1. В шкафу размещаются: микропроцессорный приемопередатчик (ППМ), связевый контроллер сигнальной точки (СКСТ) и устройство защиты и согласования (УЗС). На станции для отображения диагностики размещается и подключается к АРМ ШН контроллер центрального поста (СКЦП).
Рис. 1. Структурная схема сигнальной точки АБ-ЧКЕ: ЦП1-1,..ЦП2-2 - модули центрального процессора; СК - схема контроля; МИ - интерфейсный модуль
ISSN 1815-588 Х. Известия ПГУПС
2010/1
Обцетехнические и социальные проблемы
2 Экспертиза аппаратных и программных решений
Предметом экспертизы являются: исходные требования на систему (устройство); концепция обеспечения безопасности; технические и программные решения; программы и методики испытаний; проектная оценка безопасности; доказательство безопасности.
Критерием оценки соответствия указанных документов требованиям безопасности является полнота и правильность сформированных требований и концепции безопасности и их корректная реализации в программных и технических решениях. В этих целях разработчик формулирует критерии опасных отказов.
Для систем автоблокировки основным таким критерием является включение более разрешающего показания, чем позволяет текущая поездная ситуация, так как такая ситуация неминуемо приведет к нарушению условий безопасности движения. В то же время система должна выполнять такие действия по обеспечению безопасности, как перенос красного огня на предыдущую сигнальную точку при обрыве нити накаливания, обнаружение и защиту от схода изолирующего стыка, исключение передачи на соседнюю сигнальную точку более разрешающей информации о поездной ситуации (кодов АЛС по рельсовой линии). Значит, система должна быть построена таким образом, чтобы любой отказ (совокупность отказов) не могли привести к упомянутым нарушениям условий безопасности движения.
Однако при экспертизе микроэлектронных СЖАТ принято рассматривать понятие опасного отказа в более широком смысле. Опасным будет считаться любое нарушение концепции безопасности, которую сформулировал разработчик. К таким отказам можно отнести невыполнение контрольных процедур, накопление отказов, необеспечение необратимости защитного состояния и т. д.
На этапе экспертизы оценивается полнота технических мероприятий, направленных на обеспечение безопасной работы систем. Рассмотрим это на примере приёмопередатчика системы АБ-ЧКЕ. Приемопередатчик выполнен в виде двухкомплектного и двухканального устройства, обеспечивающего независимость обработки информации в комплектах обоих каналов и сопоставление результатов этой обработки безопасной схемой сравнения. Работа комплектов канала синхронизирована. Любые одиночные отказы должны обнаруживаться не позднее, чем во втором комплекте данного канала может возникнуть аналогичный дефект. Результаты обработки входных данных вместе с сигналами внутренних
ISSN 1815-588 Х. Известия ПГУПС
2010/1
Общетехнические и социальные проблемы
119
тестовых процедур канала контролируются сигнатурным анализатором, с выхода которого, преобразованная из параллельного вида в последовательный, она поступает на вход схемы контроля. Сигналы с разных комплектов канала поступают в схему контроля синхронно и синфазно, поэтому любое расхождение (правильно было бы сказать «совпадение», поскольку сигнал с одного из комплектов инвертируется) вызовет прекращение поступления контрольной частоты на выход схемы контроля, что переведет канал в защитное состояние. По этой причине система не различает опасные и неопасные отказы - любой отказ принимается опасным и приводит к переводу системы в защитное состояние.
Приёмопередатчик имеет защиту от сбоев в работе. Для этой цели в системе реализован счетчик перезапусков: после первого прекращения поступления контрольной частоты канал перезапускается, и только после восьми перезапусков, разность по времени между любыми соседними из которых не превышала пятнадцати секунд, канал будет переведен в необратимое защитное состояние. Подобный одиночный сбой не может привести к опасному отказу, так как для трансляции результатов его появления на управляемые объекты аналогичный сбой должен одновременно возникнуть и во втором комплекте канала, вероятность чего крайне низка. Кроме того, никакие более разрешающие воздействия не подаются на управляемые объекты по результатам лишь одной итерации выполнения алгоритма: например, переключение светофора на более разрешающее показание возможно лишь после получения трех одинаковых кодовых комбинаций подряд.
Ввод ответственной информации (кода АЛС из рельсовой цепи, состояния огневых реле, реле контроля мигания, реле направления и известителей приближения) осуществляется по двум параллельным цепям, отдельным для каждого канала. Параметры передаваемых кодовых комбинаций контролируются. При этом обнаруживается сход изолирующего стыка, при котором передаваемая кодовая комбинация искажается наложением на нее принимаемой. Также контролируется соответствие положения огневых и сигнальных реле.
Работоспособность всех элементов ответственных схем проверяется их динамической работой. В случае неисправности элемента схема останавливается в статическом состоянии, что сигнализирует об отказе. Тест ОЗУ осуществляется путем установки каждой ячейки памяти сначала в «1», потом в «0». При тесте ПЗУ выполняется подсчет контрольной суммы всех ячеек памяти. Работоспособность АЦП проверяется преобразованием заранее известных контрольных значений входного напряжения. Тестирование процессора заключается в установке и сбросе программных флажков и контроле переходов по условию, а также записи в регистры общего назначения сначала единиц, а потом нулей.
ISSN 1815-588 Х. Известия ПГУПС
2010/1
ОШцетехнические и социальные проблемы
По результатам экспертной оценки разрабатывается программа и методика испытаний на безопасность, целью которой является определение перечня отказов и технологии их внесения в технические средства с целью подтверждения эффективности контрольных и тестовых процедур.
3 Испытания на безопасность
В процессе проведения испытаний проверяется соответствие испытываемой системы установленным нормам и требованиям. Требования должны быть установлены как для составляющих элементов системы, так и для системы в целом. Проводить испытания можно по мере готовности узлов, программных компонент системы. Технология и организация испытаний и привлечение к ним соответствующих средств испытаний должны учитывать принятую последовательность разработки системы.
Обычно вначале приходится проводить автономные проверки отдельных элементов системы, в ходе которых устанавливать соответствие полученных характеристик этих элементов требуемым значениям, а также готовность перехода к этапу комплексных проверок.
На этапе автономных испытаний необходимо осуществить автономные испытания отдельных подпрограмм, блоков, модулей с учетом достаточной простоты и доступности разрабатываемых компонент. При этом необходимо учитывать, что каждый последующий этап комплексирования исходных программных и аппаратных компонент будет снижать возможность доступа для их проверки.
Такие испытания предполагают прежде всего:
проверку соответствия разработанных ПО алгоритмам и текстам программ, изложенных в технической документации; проверку схемной корректности модулей системы;
выявление несоответствия проверяемых программ системе формирования правил их построения; структурный контроль программ;
испытания подпрограмм и блоков аппаратуры с помощью средств генерации тестов с целью выявления отклонений от заданных спецификаций на тестируемые изделия.
Комплексные испытания в направлены основном на проверку взаимодействия между собой интегрированных на данном этапе разработки частей программ и аппаратуры, оценку эффективности системы защиты от сбоев и отказов аппаратных средств, проверку работы системы контроля и локализации отказов, возможности реконфигурации системы и обеспечения защитного состояния.
ISSN 1815-588 Х. Известия ПГУПС
2010/1
Общетехнические и социальные проблемы
121
Использование средств испытаний можно рассмотреть на примере имитатора для испытаний технологического программного обеспечения системы АБ-ЧКЕ.
ISSN 1815-588 Х. Известия ПГУПС
2010/1
О221цетехнические и социальные проблемы
4 Проверка технологического алгоритма
Одним из основных этапов испытаний системы на безопасность является проверка выполнения технологического алгоритма. Действительно, ошибки, заложенные в программное обеспечение на этапе проектирования, не смогут быть выявлены схемой контроля, какой бы совершенной она ни была, так как на выходе всех четырех микропроцессорных комплектов будет один и тот же некорректный сигнал. Кроме того, необходимо иметь возможность внесения в программную и аппаратную части системы отказов, перечень которых определяется в результате экспертизы.
Для наиболее эффективного проведения этих испытаний в ИЦ ЖАТ ПГУПС разработан имитатор входных технологических воздействий системы АБ-ЧКЕ. Имитатор реализован в виде программно-аппаратного устройства. Программная часть реализована на языке Borland C++ 3.1 и обеспечивает наличие пользовательского интерфейса, а также управление аппаратной частью. Аппаратная часть (рис. 2) состоит из плат вывода дискретных сигналов УДО, цифро-аналогового преобразователя (ЦАП), предназначенного для формирования аналоговых сигналов, имитирующих сигналы в рельсовой цепи, а также усилителя этих сигналов.
Рис. 2. Структурная схема имитатора входных технологических воздействий АБ-ЧКЕ
Имитатор позволяет отказаться от физического моделирования сигнальной точки с использованием громоздкого оборудования, формируя любую комбинацию входных воздействий, в том числе искаженных. Пользователь может выбирать между автоматическим и ручным вводом данных, что позволяет переключаться между всеми возможными технологическими ситуациями нажатием одной клавиши. Пример экранной формы пользовательского интерфейса имитатора представлен на рис. 3.
ISSN 1815-588 Х. Известия ПГУПС
2010/1
Общетехнические и социальные проблемы
123
Вх. цифр. сиги, для ППМ Сигнальные репе Actual value
(q)К 01 = 1 (u)K02 = 1 K01 = 1 K02
(е) 1101 = 0 (r)l!02 = 0 РЕПЕ: Hi, ЮЗ Ю01 = 0 mo 2
(0301 = 1 (p)302 = 1 КОД: 3 301 = 1 302
(и)Н1 = 0 ( i 3 H 2 = 0 NEXT: 43 Н1 = 0 02
(о)ИП1 1=0 (р)ИП1 2=0 ГРИППА: Зх H01 1 = 0 НП1 2
(а)НП2 1=0 (ОИП2 2=0 H02 1 = 0 ИП2 2
(d)KM1 = 1 (f)KM1 = 1 KM1 = 1 КМ2
Настройки ППМ K0T5 = 0
(д)КПТ5 = 0 Зх = 1
ШЗх = 1 СТ = 1
(j)CT = 1
sinus = 0
Вх. аналог. снгн. пня 0ПМ TV Inp = 0
(z)sinus = 0 fHz25 = 0
(n)ТО Inp = 0 КПТ5 = 0
(k)fHz25 = 0 CodKG = 0
(1) HOTS = 0 CodG = 1
(x)CodKG = 0 CodZ = 0
(c) CodO = 1 CodZ1 = 0
(о) CodZ = 0 (fl)group = 0 (n)Next = 0
(b)CodZ1 = 0 (DStart sig = 0 (2)Change = 0
Tine = О
Рис. 3. Внешний вид интерфейса имитатора
Заключение
Рассмотренный подход позволяет распределить усилия разработчиков и испытательных центров по этапам разработки системы. Этим достигается достаточная полнота и достоверность оценки соответствия разрабатываемых систем, построенных на современной элементной базе, требованиям безопасности.
Библиографический список
1. Методы построения безопасных микроэлектронных систем железнодорожной автоматики / В. В. Сапожников, Вл. В. Сапожников, Х. А. Христов, Д. В. Гавзов; ред. Вл. В. Сапожников. - М. : Транспорт, 1995. - 272 с.
2. РД 32 ЦШ 1115842.06-03 Порядок испытаний и экспертизы средств ЖАТ. - СПб. : ПГУПС, 2003. - 13 с.
Статья поступила в редакцию 29.01.2010;
представлена к публикации членом редколлегии Вл. В. Сапожниковым.
Общетехнические и социальные проблемы
УДК 624.131 С. И. Алексеев
ISSN 1815-588 Х. Известия ПГУПС
2010/1