CC BY
48
способом выявления большинства видов нагрева представляется автоматизированный тепловизионный мониторинг за потенциально пожароопасными объектами.
Список литературы
1. 1нструкщя з техшчного обслуговування пристро'1'в сигналiзацii, централiзацii та блокування.-К.: Транспорт Украши, 1998.-71 с.
2. Инструкция по техническому обслуживанию устройств механизированных и автоматизированных сортировочных горок.- М.: Транспорт, 1991.-94 с.
3. Устройства СЦБ, Технология обслуживания.- М.: Транспорт, 1999-432 с.
4. ГОСТ 12-1-004-91 Приложение 3. Метод определения вероятности возникновения пожара (взрыва) в пожаро- взрывоопасном объекте. Введ. 01.01.1991. -М.: Изд-во стандартов. 1991. - 33 с.
5.Фоменков А.П. Использование тепловизионных систем диагностики для предупреждения аварий оборудования // Энергетик. - 2002 - № 4.
6. Скворцов Е. А. Практика тепловизионного обследования линий электропередач 110-330 кВ // Энергетик. - 2002.-№ 7.
7. Волович Г. И. Об изменении переходных сопротивлений выключателей высокого напряжения // Энергетик. - 2002.-№ 4.
УДК 656.25:656.2.08
Чепцов М.Н., к.т.н., доцент (ДонИЖТ)
МЕТОД ОПРЕДЕЛЕНИЯ ПАРАМЕТРОВ БЕЗОПАСНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В МИКРОПРОЦЕССОРНЫХ СИСТЕМАХ УПРАВЛЕНИЯ ДВИЖЕНИЕМ ПОЕЗДОВ
Одной из основных целей автоматизации в системах управления движением поездов (УДП) является повышение уровня безопасности за счет уменьшения влияния человеческого фактора. В разработанных системах автоматики, большинство функций, связанных с безопасностью и выполняемых ранее оперативным персоналом службы движения, возложены на схемные решения, построенные на реле первого класса надежности, имеющих очень малую интенсивность опасных отказов
хО = 10 14 - 10 17 (1/ ч) [1]. Кроме того, во всем жизненном цикле таких систем (изыскания, проектирование, внедрение, эксплуатация, вывод из эксплуатации) возможность появления неоправданных, с точки зрения безопасности, решений сведена к минимуму. Так, например, проектирование станционных и перегонных систем автоматики осуществляется по типовым альбомам схем, ввод в эксплуатацию, эксплуатация, выключение из работы устройств и вывод их из эксплуатации, жестко регламентировано различными нормативными документами (ПТЭ, инструкции, приказы). Все эти конструкторские, организационно-технические и технологические мероприятия позволили свести вероятность возникновения опасного отказа в процессе функционирования релейных систем автоматики к значениям дО = 10-10 -10-11 за час работы [1].
С другой стороны, релейная элементная база является дорогостоящей, нетехнологичной, считается морально устаревшей, поэтому в настоящее время происходит интенсивная разработка и внедрение микропроцессорных устройств на всех уровнях систем управления движением поездов. Однако, кроме аппаратной части, любое микропроцессорное устройство содержит программное обеспечение (ПО). И если для первой существуют достаточно обоснованные теоретические методы расчета показателей безопасности (например, [1-3]), то проблема доказательства безопасности ПО не нашла должного отражения в теории и практике железнодорожного транспорта.
Актуальность развития данного направления обуславливается вводом в действие соответствующих нормативных документов: ДСТУ 4178-2003 [5] и инструкции ЦШ-0026 [6]. Так, согласно [5], для комплексов технических средств (КТС), применяемых в системах управления и регулирования движения поездов, необходимо производить доказательство и экспертизу функциональной безопасности. Причем доказательство строится на основе количественных показателей, которые должны быть получены и подтверждены до серийного изготовления КТС (п.п. 5.13, 5.4, 5.9 указанного издания). Заметим, что выполнение этого требования ДСТУ ставит приоритет на применении аналитических методов, так как для вычисления приемлемых по точности количественных показателей на основе статистических данных, необходим значительный объем выборки, получение которой возможно только при эксплуатации КТС.
В свою очередь традиционные методы анализа ПО связаны с доказательством правильности программ (верификация программ). Начало этому направлению было положено работами П. Наура и Р. Флойда, в которых сформулирована идея приписывания точке программы так называемого индуктивного, или промежуточного утверждения и указана возможность доказательства частичной правильности программы (то есть соответствия друг другу ее предусловия и постусловия), построенного на установлении согласованности индуктивных утверждений [7].
Фундаментальный вклад в теорию верификации внес Ч. Хоор, высказавший идеи проведения доказательства частичной правильности программы в виде вывода в некоторой логической системе, а Э. Дейкстра ввел понятие слабейшего предусловия, позволяющее поставить в соответствие друг другу предусловие и постусловие, и исследовать завершимость программы.
Данные методы позволяют оценить надежность полученных результатов и проследить последовательность путем обратных рассуждений их получения только в небольших программах или отдельных функциях. Однако значительная сложность программного обеспечения, множество взаимосвязей между функциональными узлами, применение ПО различных фирм производителей (например, операционная система, драйвера устройств, и т.п.), сводят на нет возможности анализа и оценки надежности и безопасности ПО в современных системах управления движением поездов.
В настоящее время, для получения необходимых требований функциональной безопасности, основное внимание уделяется технологическому процессу создания безопасных систем и программных средств, без выделения и описания процессов измерения достигаемых при этом критериев безопасности программных продуктов. Эти принципы регламентируются большинством из отечественных и международных стандартов. Так, например, в стандарте IEC 61508 (третья и шестая часть) требования процессов обеспечения безопасности ПО структурирована схемой этапов и работ, компонентов и объектов, а также снабжена рекомендациями по выбору и реализации методов создания безопасного ПО. Третья часть стандарта ISO 15408 почти целиком посвящена детальным требованиям по обеспечению гарантий качества при создании и применении систем информационной безопасности комплексов. Технологии и типовые процессы создания безопасных систем и программных средств отражены также в стандартах ISO 13335 и !ЕС
60880. Совокупность этих требований отражает методы технологической поддержки жизненного цикла сложных ПС с акцентом на особенности реализации функций безопасности, но не позволяют получить численные значения параметров безопасности для конкретного программного продукта.
Кроме того, следует отметить особенности, обусловленные процессом возникновения и обнаружения опасных ошибок программного обеспечения и опасных отказов аппаратных средств. Так, при применении контрольно-испытательных методов оценки ПО на функциональную безопасность [8,9], получают данные об обнаруженных ошибках, а не об оставшихся, а для аппаратных средств получают значения, которые могут непосредственно использоваться для оценки безопасности. Еще одна особенность состоит в том, что опасные ошибки делаются программистами в процессе создания программ, а опасные отказы аппаратуры возникают в процессе функционирования в результате физических и химических процессов, происходящих в элементах [10,11].
Таким образом, следует отметить, что в общем виде проблема оценки функциональной безопасности КТС не решена, однако частное решение для системы управления движением поездов может быть получено. Это связано с тем, что КТС проектируется под конкретный участок железной дороги, следовательно, значительная часть входных сигналов априорно известна или может быть промоделирована. В этом случае, для оценки безопасности КТС возможно применение контрольно-испытательного метода, в соответствии с принципом форсирования быстродействия аппаратных средств, предложенным в работе [12].
Оценим реальность такого предположения. Так, если длительность тестирования некоторого ПО на штатном микропроцессорном устройстве, работающем в составе КТС управления движением поездов, с быстродействием В0 равна х0 единиц времени, то вероятность ошибки на одну команду в форсированном устройстве с быстродействием В равняется:
Ав)=в+ав - Во т,
где в0 - вероятность ошибки на одну команду устройстве с быстродействием В0,
а - коэффициент пропорциональности вероятности ошибки быстродействию,
т - степенной коэффициент.
Время тестирования программного обеспечения тТ в составе технологического КТС с быстродействием В>В0, при условии равности значений вероятности отсутствия ошибок в штатном и форсированном устройстве, согласно [12], определяется следующим выражением:
тт =
т0
i(kb -1)-
Ро
(1)
Kb
b
где KB =— - коэффициент форсирования быстродействия.
B0
Исходя из нормативных данных на численные значения функциональной безопасности, которые регламентирует ДСТУ 4178-2003, на примере реального КТС [13], оценим возможность реализации процесса форсированного тестирования ПО.
Так, вероятность возникновения опасного отказа на одну ответственную функцию КТС составляет 1,6-10-10 (1/ч) [5], количество строк программного кода микропроцессора линейного пункта (ЛП) системы МСДЦ «КАСКАД» ~ 32000 строк (информация генерального конструктора системы - Троценко В.И.). Следовательно, вероятность возникновения опасного отказа на одну ответственную функцию,
приведенная к одной команде, составляет в0 ~ 0,5 • 10~5. Тактовая частота микропроцессора х86, применяемая в ЛП "КАСКАД" - 133 МГц, при тестировании на процессоре Pentium IV 2,6 ГГц KB « 20.
На основе данных, приведенных в работе [12], для выше перечисленных условий, значение времени тестирования программного
обеспечения тт = -200 (при m = 1). Таким образом, при проведении
форсированного тестирования программного обеспечения, длительность процесса выявления ошибок ПО теоретически можно сократить в 200 раз.
При проведении контрольных испытаний КТС в форсированном режиме, на входы Xn подаются случайные последовательности событий и
анализируется реакция программных средств на основе значений выходов У„ (рисунок 1).
При классических методах генерирования случайной последовательности событий на входах Хп, применяется закон распределения Пуассона, исходя из предположения о стационарности случайного процесса возникновения входных событий. Однако для систем управления движением поездов, как показано в работе [14], такой подход не приемлем. Это связано с тем, что в основном события в УДП не являются случайными, они априорно известны и отражены в графике движения поездов на участке железной дороги. Кроме того, поток содержит и некоторую часть случайных событий с законами распределения, как правило, индивидуальными для каждого источника информации.
Рисунок 1 - Схема проведения контрольных испытаний КТС
Условия безопасного функционирования ПО определяются в виде множества предикатов Р = {gi(a1,a2,..an)\i = 1,2,...,Ы}, зависящих от множества аргументов А={ai\i=1,2,...,М}. Для доказательства того, что исследуемая программа удовлетворяет требованиям безопасности необходимо показать, что в процессе тестовых испытаний программа не нарушает ни одного из условий, входящих в Р [7]. Физическое наполнение предикатов Р перечислено, например, в работе [15], где представлены условия безопасности, которые должны соблюдаться в системе управления движением поездов на станции. Множеством значений аргументов А
является входная информация системы X¡,X2,...,Xn (рисунок 1) в привязке к конкретным устройствам, и соответственно к их функциональности.
Численные значения параметров безопасности могут быть получены исходя из времени тестирования, с учетом форсирования аппаратных средств. Так, например, в работе [10] рассматриваются испытания элемента автоматической блокировки, который проходил испытания в течение 5000 ч, за которые не было зафиксировано ни одного опасного отказа. В данном примере вводится ограничение о функции распределения времени безопасной работы, которая носит экспоненциальный характер, и с помощью теоремы Байеса рассчитана интенсивность опасных отказов, которая составила 2 = 10 -4(1/ч). Для предлагаемого метода форсированного тестирования программного обеспечения возможно получение численных значений, превышающих приведенное в примере на два порядка за такой же промежуток времени тестирования. Однако, это только теоретическая предпосылка, окончательный вывод может быть получен только после определения вида функции распределения опасных отказов для ПО.
Выводы. В работе получила дальнейшее развитие теория безопасности программных средств, в приложении к микропроцессорным системам управления движения поездов. Расширено на класс железнодорожных систем автоматики теоретические основы применения контрольно-испытательных методов при форсированном тестировании ПО. Предложен метод определения параметров безопасности программного обеспечения в микропроцессорных системах управления движением поездов.
Следует отметить теоретический характер предложенного метода, так как практические вопросы его применения еще требуют дальнейшей проработки. Кроме того, эффективность расчетов показателей безопасности программного обеспечения во многом определяются потоком событий, подаваемых на вход тестируемого устройства.
Список литературы
1. Сертификация и доказательство безопасности систем железнодорожной автоматики. Под ред. Сапожникова Вл.В. М: Транспорт, 1997. - 288 с.
2.Методы построения безопасных микроэлектронных систем железнодорожной автоматики и телемеханики. Под ред. Сапожникова Вл.В. М: Транспорт, 1995. - 272 с.
3. Соболев Ю.В., Кустов В.Ф. Обеспечению безопасности микроэлектронных технических средств железнодорожного транспорта - особое внимание // Залiзничний транспорт Украши, 1999. №3. С. 22-25.
4. Меньшиков Н.Я., Королев А.И., Ягудин Р.Ш. Надежность железнодорожных систем автоматики и телемеханики. М., «Транспорт», 1976. 215 с.
5. ДСТУ 4178-2003. Комплекси техшчних засобiв систем керування та регулювання руху поiздiв. Функцiй на безпечшсть i надiйнiсть. Вимоги та методи випробування.
6. 1нструкщя про порядок проведення експлуатацшних i приймальних випробувань дослщних зразкiв пристро'1'в сигналiзацii, централiзацii та блокування. ЦШ-0026. Затверджено наказом №453-Ц вiд 17.08.2001 р. - Кшв. 2003, 13 с.
7. Казарин О.В. Безопасность программного обеспечения компьютерных систем. Монография. - М.: МГУЛ, 2003. - 212 с.
8. Зегжда Д.П., Шмаков Э.М. Проблема анализа безопасности программного обеспечения// Безопасность информационных технологий. - 1995.- №2.- С.28-33.
9. Проблемы безопасности программного обеспечения. Под ред. П. Д. Зегжда. - СПб.: Издательство СПбГТУ, 1995.
10. Лисенков В. М. Статистическая теория безопасности движения поездов: Учеб. для вузов. - М.: ВИНИТИ РАН, 1999. - 332 с., ил.
11. Липаев В.В. Надежность программного обеспечения АСУ. - М.: Энергоиздат, 1984. - 240 с.
12. Смагин В.А. Техническая синергетика. Вып.1. Вероятностные модели элементов сложных систем. - СПб.: ВИКУ им. А.Ф. Можайского, 2000. - 63 с.
13. Данько М.1., Мойсеенко В.1., Рахматов В.З., Троценко В.1., Чепцов М.М. Мшропроцесорна диспетчерська централiзацiя "КАСКАД": Навчальний поабник. -Донецьк: "ДонГЗТ", 2004. - 163 с.
14. Чепцов М.Н., Сунцов Н.М. Анализ потока событий микропроцессорной диспетчерской централизации. 1нформацшно-керуючи системи на залiзничному транспорт^ №6, 2003, с. 50-52.
15. Вл.В. Сапожников, Б.Н. Елкин, И.М. Кокурин и др. Станционные системы автоматики и телемеханики - М.: Траспорт, 1997. - 432 с.
УДК 519.9
Волченко Ю.М., к.т.н, доцент(Дон1ЗТ)
СТ1ЙК1СТЬ БАГАТОВИМ1РНО1 АВТОРЕГРЕС11
Питання стшкост випадкових процеЫв у розумшш утримання випадкового процесу 1з заданою ймов1ршстю в заданих межах, було
