CC BY
13
УДК 681.3: 629.7
DOI: 10.24412/2071-6168-2021-9-346-352
МОДЕЛЬ ОТКАЗОВ ЦИФРОВЫХ СИСТЕМ УПРАВЛЕНИЯ
А.Н. Привалов, В.А. Шаров, Е.В. Ларкин
Исследуются системы управления, в которых расчет управляющих воздействий осуществляется на основании оцифрованных сигналов датчиков на ЭВМ Фон Неймановского типа. Показано, хп/ отказы в подобных системах возникают вследствие выхода из строя физических элементов, несоответствия управляющих программ требованиям технического задания, а также вследствие сбоев аппаратной части управляющей ЭВМ при интерпретации программы. На основании анализа аЪрЪх^гЪ[ процессов, протекающих в ЭВМ, разработана модель отказов программного обеспечения и модель отказов аппаратно-программного комплекса при реализации программы. Из указанных компонентов сформирована общая модель отказов цифровых систем управления.
Ключевые слова: ЭВМ Фон Неймановского типа, отказ, программное обеспечение, логический сбой, физические сбой.
Цифровые системы управления в настоящее время весьма широко используются в различных отраслях промышленности, в системах экологического мониторинга, в области обороны и т.п. [1, 2, 3]. В системах указанного класса обратные связи контуров управления замыкаются через управляющие ЭВМ Фон Неймановского типа, которые рассчитывают управляющие воздействия на основании цифровых измерений состояния управляемого объекта [4, 5]. Для расчета показателей надежности систем на стадии проектирования, таких, как время наработки на отказ, и вероятность отказа в течение заданного интервала времени необходимо иметь модель возникновения отказов, которая учитывает, что расчет управляющих воздействий производится на аппаратно-программном комплексе, в котором может отказать не только аппаратная часть, но и программное обеспечение [6]. При этом возникает научная проблема, заключающаяся в отсутствии общей методологии аналитической оценки параметров надежности аппаратно-программных комплексов в целом на основании известных характеристик надежности составляющих комплекса. Например, для оценки параметров надежности используется метод Монте-Карло [7, 8], сети Петри, [9, 10], другие методы, но это, скорее, аппарат имитационного моделирования, в котором не исследуются физические явления, протекающие в управляющих ЭВМ Фон Неймановского типа. Таким образом, существование проблемы отсутствия подхода к аналитическому моделированию процесса отказов и потребности в инженерных методиках соответствующего направления объясняют актуальность данной работы.
Функциональная схема типовой цифровой системы управления приведена на рис. 1, где показаны: управляющие сигналы w\(k), ..., Wm(k), ..., wм(k), сигналы с выходов сенсоров у^), ..., УпО, ..., ул(0 и множество цифровых кодов обратной связи v'l(k), ..., у'п(0, ..., у'л((). Сигналы, формируемые на выходах сенсоров, являются аналоговыми, и поэтому они представлены как функция непрерывного времени Остальные сигналы являются цифровыми, и поэтому они представлены как функция дискретного аргумента к. При функционировании системы программно формируются циклы, включающие операцию опроса сигналов сенсоров у'1(0, ..., у'^О, ..., у'лКО, расчета управляющих воздействий ^(О, ..., ^,„(0, ..., и передачу управляющих воздействий на объект управления [1, 2, 3].
В системах, функциональная схема которых представлена на рис. 1, может возникнуть два типа отказов, первый из которых связан с отказами аппаратных средств, а второй - со специфическим механизмом отказов, возникающим в процессе интерпретации управляющей программы цифровым контроллером. Отказы аппаратных средств, связанные с переходом в неработоспособное состояние элементов системы управления, подробно исследованы в [11, 12, 13, 14]. Подходы к оценке показателей надежности широко используются, например, при создании отказоустойчивых систем [15, 16, 17, 18]. Отказы, возникающим в процессе интерпретации управляющей программы цифровым контроллером, в свою очередь, связаны, во-первых, с неверными расчетом величин Wl(k), ..., Wm(k), ..., wм(k) по значениям у'1(к, к - 1, ..., к - Ей), ..., у\(к, к-1, ..., к - Е„,п), ..., у'л(к, к-1, ..., к - Емл), где Ей, ..., Е„,п, ..., Ел, - объемы массивов данных п-го
типа, используемых при расчетах т-го управляющего воздействия, а во-вторых - со сбоями аппаратных средств, возникающими в процессе перезаписи данных при выполнении арифметических и логических операций [19, 20, 21, 22].
Рис. 1. Функциональная схема цифровой системы управления
Собственно, программа, как некоторая последовательность команд, само по себе является моделью вычислительного процесса и может отказать только в результате того, что сформированный программный код не соответствует начальному замыслу разработчика, т.е. некоторому идеальному алгоритму, определенному в техническом задании на его разработку [19, 20]. В случае верной интерпретации обрабатываемых данных вычисляются следующие функции [22]:
^(к ) = , к -1, к-^д )..., (к, к - 1, к и )..., (к, к -1, к N )1
• • • ?
wm
(к) = wm [, k -1 k - Е,тЛ J..^ v'n(k, к - ¡, к - \т п)....,v'N(k, к - ¡, к - т N J
(1)
(к) = Й ((, к - Iк - ,1 К-у'п ((, к - 1, к - ,п )....,у'ы ((, к - 1, к - £М,N Я В случае, если программа не соответствует требованиям технического задания, результат расчета значений части этих функций может не соответствовать (1), что ниже будет называться логическим сбоем программы.
Множество аргументов (1) образует ^мерное пространство переменных V = (,..., Уп,..., VN), плотность распределения вероятностей значений которых определена как
/((,...,Vn,...,VN). Для значений аргументов плотности распределения и для самой плотности
vn mm ^ vn ^ vn max, 1 ^ п ^ N ;
распределения справедливы ограничения:
vn m
v1max vn max vN max
J ... J ... J f (v1,..., vnvN )dv1...dvn ...dvN =1. (2)
v1 min vn min vN min
Без нарушения степени общности будем считать, что логический сбой программы имеет место при
vn min min ^ vn max ^ vn max,1 ^ n ^ N, (3)
где un min, vn max соответственно нижняя и верхняя граница сбойной зоны обрабатываемых
данных.
Тогда вероятность логического сбоя программы равна
u1max и n max UN max
J ... J ... J f vn,..., vN)v1...dvn...dvN
. (4)
„ _ u1min Un min UN min
Pa --
v1 max vn max vN max
J ... J ... J f vn,..., vN )v1...dvn ...dvN
v1 min vn min vN min
В случае, если корреляция между данными гд,..., vn,..., vn отсутствует, (4) принимает
вид
N иnmax / N vnmax ...ч
Pa-П J f (vn )vd П J f (vn )dvö , (5)
n-1 Un min / n-1 vn min
где f (уп ) - плотность распределения вероятностей значений сигнала уп .
Наряду с логическими сбоями при реализации программы в реальных условиях функционирования цифровых систем управления имеют место физические сбои, связанные с возникновением программных ошибок а) при невыполнении условий теоремы Котельникова по частоте дискретизации данных; б) при функционировании систем, например, бортовых, в условиях помех, перегруженности источников питания и т.п [22]. Для определения параметров физических сбоев представим программу, реализующую алгоритм управления, в виде графа с древовидной структурой, изображенного на рис. 2.
Рис. 2. Древовидная модель программы управления
На рис. 2 а0 - команда, означающая начало цикла очередной реализации вычислительного процесса; Аь ..., А,,..., А/ - ветви дерева, моделирующие возможные реализации вычислительного процесса (обведены пунктирной линией); А, = "х, 1(,),..., а, j (,),..., а, J (,) -подмножество команд, входящих в ,-ю реализацию; Е = "а J(1),..., а-J(,),...,аJJ()) - подмножество последних команд ветвей А1,..., А-,..., А/ ; р\,..., р,,..., Р1 - вероятности появления соответствующих реализаций вычислительного процесса; J (,) - общее количество команд в -- й реализации вычислительного процесса.
Вероятности р1,..., р,,..., р^ определяются на основании логических условий ветвления в операторах принятия решения алгоритма, по которому строится программа управления.
Р- = Шf (v1,..., Уп — Ум Уп^ ...^ ;
К, (у1, vn,..., ум) (6)
1" Р, =_ Ш ]Т (vl,..., Уп,..., Ум ^ь^п ,
„ К, ^Ь^ УпУМ )
где Я-(,..., Уп,..., Ум) - отношение, выполнение которого приводит к 1-й реализации вычислительного процесса; Я,(у1, ..., Уп,..., уN) - невыполнение отношения Я,,(у1, ..., Уп,..., уN).
Для вероятностей Р1,..., р,,..., р^ выполняется условие
£р,- = 1.
,=1
Рассмотрим --ю реализацию программы А, = "а-1(-),-., а- j(,-),...,а- J() Пусть выполнение команды а- j(,-) происходит в течение ц, j(,) физических тактов дискретного машинного времени [22], а период времени между двумя соседними импульсами синхронизации равен т. Тогда общее время, затрачиваемое на ,-ю реализацию программы, равно
J (-)
Т, =т • £ ц-,j(i). Л- )=1(,)
Среднее время реализации программы определяется по зависимости
Т = т ^р-Т, . (8)
,=1 348
(7)
В правильно спроектированной программе как Т, так и Т^ должны удовлетворять условиям Найквиста теоремы Котельникова о дискретизации, т.е.
Т <0; Т <0,1 < I < I, (9)
где 0 период дискретизации сигнала, определенный теоремой Котельникова.
При невыполнении условия (8) управляющая ЭВМ не успевает завершить часть расчетов, что приводит к физическому сбою системы. Пусть физические сбои возникают на части реализаций вычислительного процесса. Без нарушения общности можно считать, что указанная ситуация имеет место при реализациях с номерами у < I < I. Вероятность подобного события определяется суммой вероятностей появления указанных реализаций, т.е.
РА1 = ¿Л . (10)
I = X
Будем считать, что управляющая ЭВМ работает по принципу автомата Мура [23]. В соответствии с указанным принципом реализация команды разбивается на последовательность микроопераций, каждая из которых выполняется за один такт дискретного автоматного времени, а именно,
1) чтение входного управляющего кода и слова обрабатываемых данных;
2) определение следующего состояния автомата и выходного кода с помощью комбинационных схем, входящих в состав автомата Мура;
3) запись следующего слова состояния автомата в память состояний и сопровождение выходного кода;
4) если очередное состояние автомата не соответствует завершающему состояния, то повторение пп. 1), 2), 3), в противном случае переход к следующей команде.
Момент переключения физических элементов управляющей ЭВМ сопровождается повышенным энергетическим обменом электронных элементов автомата с системой электропитания, что приводит к появлению помех, вызывающих т.н. перемежающиеся отказы (сбои) аппаратных средств. Перемежающиеся отказы (сбои), в свою очередь, выражаются в разрушении данных, хранящихся в памяти управляющей ЭВМ и в искажении перезаписываемых данных. Таким образом, определяющим параметром для оценки отказоустойчивости цифрового автомата является вероятность ж сбоя автомата при выполнении одной микрооперации. Обозначим вероятность сбоя при перезаписи как ж. Сбой при выполнении первой микрооперации может произойти с вероятностью ж, при выполнении второй микрооперации - с вероятностью ж(1 - ж)
, третьей - ж(1 — ж)2 и т.д. Общая вероятность появления сбоя при выполнении г микроопераций определяется как сумма членов геометрической прогрессии, т.е. [24, 25]
р2 = ж1 -ж 2). (11) 1 - ж
Вероятность сбоя при реализации управляющей программы по ветвям, для которых выполняются условия (9) Найквиста теоремы Котельникова [26], вероятность появления сбоя определяется по зависимости
/ (I)
! ж}()=1() '
РА2,1,1 =ж1 ] 1 , 1 <I < 0-Ь (12)
1 - ж
где г() - количество микрооперация в ]-й команде }-й реализации.
Вероятность сбоя при реализации управляющей программы по ветвям, для которых не выполняются условия (9) Найквиста теоремы Котельникова [26], вероятность появления сбоя определяется по зависимости
]е"
РА2,и =ж1-ж-, У <г'<1, (13)
1 - ж
где ].] - знак округления до целого в большую сторону.
Общая вероятность сбоя определяется стохастическим суммированием (12) и (13):
349
у-1 I
рА2 = £р, • ра2,,,1 + £р, • Ра2,,,2 * (14)
, = 1 , =у
Особенность эксплуатации системы управления такова, что вероятности (4), (10), (14) можно считать постоянными при многократном прогона программы. Очевидно, что реализация является сбойной, если при прогоне появляются ошибки первого, второго третьего рода, или любые их комбинации. Поэтому вероятность возникновения ошибки при прогоне определяется по зависимости:
р = 1 -(1 - рл)-(1 - р А1 )•(! - рА2 ). (15)
Пусть к отказу системы в целом приводит х сбойных прогонов из X , где х и X - целые числа. Тогда распределение вероятностей х отказов из X определяется биномиальным распределением
р(х / X ) = Сххрх (1 - р)Х-х, (16)
X |
где сХ = ' - биномиальные коэффициенты. ^ х!(X - х)!
Вероятность (16) определяет вероятность отказа системы цифрового управления с учетом возможности отказов как программных, так и аппаратных средств управляющей ЭВМ. При этом в зависимости (16) не учитываются возможные физические отказы технических средств, подобные тем, которые имеют место в любой сложной физической системе. Таким образом, в настоящей работе показано, отказы управляющих ЭВМ могут быть разделены на отказы трех типов: традиционные отказы системы, возникающие вследствие выхода из строя элементов системы, отказы программного обеспечения и отказы аппаратных средств при реализации программного обеспечения. Показано, что отказы собственно программного обеспечения закладываются исключительно на этапе его разработки и не зависят от состояния аппаратных средств собственно ЭВМ и каналов связи с внешними, по отношению к ЭВМ объектами. Показано, что отказы аппаратных средств при реализации программного обеспечения определяются только условиями и выбранными режимами эксплуатации системы. В результате получено распределение вероятностей отказов системы цифрового управления объектами в целом.
Список литературы
1. Astrom J., Wittenmark B., Computer Controlled Systems: Theory and Design. Tsinghua University Press. Prentice Hall, 2002. 557 p.
2. Landau I.D., Zito G. Digital Control Systems, Design, Identification and Implementation. Springer, 2006. 484 p.
3. Fadali M.S., Visioli A. Digital control engineering: Analysis and design. - Elsevier Inc. 2013. P. 239 - 272.
4. Arnold K. A. Timing analysis in embedded systems // In Embedded hardware by J. Ganssler, K. Arnold et all. MA. 01803 USA. Elsevier Inc. 2008. Pp. 239 - 272.
5. Larkin E.V. Bogomolov A.V.; Privalov, A.N. A Method for Estimating the Time Intervals between Transactions in Speech-Compression Algorithms // Automatic Documentation and Mathematical Linguistics. 2017. Vol: 51. Iss. 5. P. 214 - 219.
6. Erkoyuncu J.A., Amo I.F., Ariansyah D., Bulka D., Vrabic R., Roy R. A design framework for adaptive digital twins // CIRP Annals, 2020. Vol. 69. Iss. 1. P. 145 - 148.
7. Rao K.D., Gopika V., at all. Dynamic fault-tree analysis using Monte-Carlo simulation in probabilistic safety assessment // Reliability Engineering and system safety. 2017. N. 94 (4). P. 872 -883.
8. Lu Z., Zhon J., Li X. Monte-Carlo simulation based time limiter dispatch analysis with constraint of dispatch reliability for electronic engine control systems // Aerospace science and technology. 2018. N 72 (1). P. 397 - 408.
9. Chu Y B., Wang Y.S., Lei H., Han X. The Stochastic Petri Net Based Reliability Analysis for Software Partition Integrated Modular Avionics // IEEE Aerospace and Electronic Systems Magazine. 2015. N. 30 (4). P. 30 - 37.
10. Singh L.K., Rajput H. Dependability Analysis of Safety Critical Real-Time Systems by Using Petri Nets. IEEE Transactions on Control Systems Technology. 2018. N. 26(2). P. 415 - 426.
11. Larkin E.V., Malikov A.A., Ivutin A.N. Petri-Markov model of fault-tolerant computer systems // 2017 4th International Conference on Control, Decision and Information Technologies (CoDIT). 5-7 April 2017, Barcelona, Spain - IEEE, 2017. P. 416-420.
12. Rousand M. Reliability of Safety-Critical Systems: Theory and Applications, John Wiley & Sons, 2014. 466 p.
13. Sánchez-Silva M., Klutke G.-A. Reliability and Life-Cycle Analysis of Deteriorating Systems. Springer International Publishing. Switzerland. 2016. 355 p.
14. O'Conner P., Kleyner A. Practical Reliability Engineering, Willey and Sons, 2012.
456 p.
15. Koren I., Krishna M. Fault Tolerant Systems // Morgan Kaufmann Publishers, San Francisco, CA. 2007. 400 p.
16. Dubrova E. Fault-Tolerant Design. Springer-Verlag New York. Springer Sci-ence+Business Media New York. 2013. XV. 185 p.
17. Zhang Y., Jiang J. Bibliographical review on reconfigurable fault-tolerant control systems // Annu. Rev. Control. 2008. Vol. 32, № 2. P. 229-252.
18. Smith M.D.J., Simpson K.G. Safety Critical Systems Handbook, Elsevier Ltd., NY. 2011.270 p.
19. Василенко Н.В., Макаров В.А. Модели оценки надежности программного обеспечения // Вестник Новгородского государственного университета. № 28. 2004. С. 126 -132.
20. Майерс Г. Надежность программного обеспечения. М.: Мир, 1980. 360 с.
21. ISO 9126:1991. Информационная технология. Оценка программного продукта. Характеристики качества и руководство по их применению. 186 с.
22. Ларкин Е.В., Сабо Ю.И. Сети Петри-Маркова и отказоустойчивость авионики. -Тула: Тул. гос. ун-т., 2004. 206 с.
23. Савельев А.Я. Прикладная теория цифровых автоматов. М.: Высшая школа, 1987.
272 с.
24. Kobayashi H., Marl B.L., Turin W. Probability, Random processes and statistical analysis: Cambridge University Press. 2012. 812 p.
25. Grimmett G.R., Stirzaker D.R. Probability and Random Processes. - Oxford: Clarendon Press, 2001. 608 p.
25. Larkin E., Bogomolov A., Privalov A. Discrete model of mobile robot assemble fault-tolerance // Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). Vol. 11659 LNAI, 2019. P. 204-215.
26. Monson H. Hayes. Statistical digital signal processing and modeling. John Willey & Sons. N.Y. 2009. 624 p.
Привалов Александр Николаевич, д-р техн. наук, профессор, privalov. 61 @mail. ru, Россия, Тула, Тульский государственный педагогический университет им. Л.Н. Толстого,
Ларкин Евгений Васильевич, д-р техн. наук, профессор, заведующий кафекдрой, elarkin@mail.ru, Россия, Тула, Тульский государственный университет,
Шаров Вадим Арнольдович, аспирант, vs@aqs.ru, Россия, Шуя, Шуйский филиал Ивановского государственного университета
THE DIGITAL CONTROL SYSTEM FAILURE MODEL A.N. Privalov, V.A. Sharov, E.V. Larkin
Digital control systems, in which computation of control action is executed on the base of digitized sensors signals at Von Neumann type computers, are investigated. It is shown, that failures in such a systems arise as a consequence of failure of physical elements, discrepancy between soft and
soft specification, and momentary failures of computer hardware when program interpretation. On the base of processes analysis, occurring in the computer, are worked out the model of software failure, and the model of hard/soft complex momentary failures when program interpretation. From the said components common model of digital control systems failures is compiled.
Key words: von nemann type computer, failure, software, logical failure, physical
failure.
Privalov Alexander Nikolaevich, doctor of technical sciences, professor, privalov.61@mail.ru, Russia, Tula, Tula State Pedagogical University named after L.N. Tolstoy,
Larkin Eugene Vasilyevich, doctor of technical science, professor, head of chair, elar-kin@mail.ru, Russia, Tula, Tula State University,
Sharov Vadim Arnoldovich, postgraduate, vs@aqs.ru, Russia, Shuya, Shuya branch of Ivanovo State University
