Мониторинг рабочего состояния отказоустойчивой платформы Текст научной статьи по специальности «Математика»

ДИАГНОСТИЧЕСКИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ НАДЕЖНОСТИ И КАЧЕСТВА СЛОЖНЫХ СИСТЕМ

УДК 62.192 -ч DOI 10.21685/2307-4205-2016-3-11

МОНИТОРИНГ РАБОЧЕГО СОСТОЯНИЯ ОТКАЗОУСТОЙЧИВОЙ ПЛАТФОРМЫ

А. А. Авакян, М. В. Копненкова, А. К. Максимов

Задачей мониторинга рабочего состояния избыточной отказоустойчивой платформы ИМА является контроль исправного функционирования последней с локализацией отказавшего компонента, для которой существует избыточность. Для обеспечения минимума затрат на техническое обслуживание необходимо создать избыточность достаточную, чтобы в межрегламентный период (500-600 летных часов) обеспечить необслуживаемый режим. Реализовать принцип отложенного ремонта и необслуживаемой авионики (принцип MFOPS (Maintenance Free Operating Periods)). В [1, 2] расчетным путем определена необходимая избыточность, позволяющая поддерживать вероятность отказа платформы, в которой реализована хотя бы одна критическая функция на уровне 10-9 на час полета в течение межрегламентного периода 500-600 летных часов с вероятностью готовности равной 0,998.

На основании этих расчетов была разработана архитектура такой избыточной отказоустойчивой платформы ИМА [1], которая представлена на рис. 1. Архитектура состоит из четырех интер-фейсно-вычислительных трактов, каждый из которых состоит из вычислительного узла, входных и выходных каналов низкочастотного интерфейса ARINC-429, контроллеров низкочастотного интерфейса CAN, и портов высокочастотных интерфейсов AFDX и Fibre Canel. Выходы интерфейса CAN замыкаются на шину контроллеров CAN. Выходы интерфейса ARINC-429 объединяются двумя модулями МОВ, которые фактически коммутируют каналы интерфейса ARINC-429 на входы и выходы платформы. Аналогичные функции коммутации портов выполняют по два коммутатора интерфейсов AFDX и Fibre Canel.

Вычислительные узлы выполнены на компактной (55 мм х 84 мм) плате nanoETXexpress-SP. Плата содержит:

Процессор Чипсет

Звуковой контроллер Кэш

Частота процессора Размеры модуля (Д хШ) Системная память Ethernet

Ethernet контроллер Флэш диск

Графический контроллер

Графическое разрешение Графическая память PCI Express / PCI SATA интерфейс USB порт Загрузка с USB

Intel Atom Z510 (1,1 ГГц) или Z530 (1,6 ГГц) Intel System Controller Hub US15W Intel High Definition Audio

32 КБ кэш инструкций + 24 КБ L1 Cache, 512 КБ L2 Cache от 1,1 ГГц до 1,6 ГГц 55 мм х 84 мм

на модуле до 2ГБайт DDR2 400/533МГц интегрированный 10/100/1000 Мбит Intel LAN интегрированный Intel 82574L Hartwell интегрированный SSD Flash до 8 ГБайт

интегрированный Intel Graphics, Intel GMA 500, HDTV/HD совместимый, аппаратный декодер MPEG2(HD) / H.264

один канал LVDS 18/24 бита; WXGA 1366 х 768 (опция 1920 х 1080) до 256 МБайт

1 х PCI Express x1 Lane (возможно 2 х 1, если без LAN) 1 х Serial ATA с поддержкой 1,5 Гбит/сек 8 х USB 2.0 да

Поддержка шины SM Внешний интерфейс Операционная система Потребляемая мощность Управление питанием Источник питания

да

SDIO: 1 SDIO порт (GPIO)

Windows XP SP3, XPe, CE, Linux, VxWorks, QNX

в режиме простоя 2,8-3,2 Вт при 12 В

ACPI 2.0 + APM S3

от 4,75 В до 14 В

Рис. 1. Архитектура отказоустойчивой платформы

Интерфейсно-вычислительный процесс в платформе организован таким образом, что в каждом цикле Real Time независимо, но взаимосвязано функционируют две следующие аппаратно-программные системы:

- мониторинга рабочего состояния, который включает в свой состав анализ состояния компонент платформы и ее реконфигурацию при возникновении отказов и сбоев;

- решения функциональных задач на исправном интерфейсно-вычислительном ресурсе (рис. 2).

Тк Тф

t

Период Real Time

Рис. 2. Принцип независимого, но взаимосвязанного функционирования систем мониторинга рабочего состояния и решения функциональных задач в пространстве Real Time

Определим необходимые характеристики элемента контроля состояния системы: глубину, достоверность и полноту контроля. Для компонент платформы, на которых реализованы критические функции время парирования отказа, должно быть менее одной секунды, так как катастрофическая ситуация может развиваться за время не более одной секунды. Следовательно, отказы критических функций должны выявляться и парироваться на периоде Тк.

Отказы не критических функций могут выявляться и парироваться за период многих циклов периода Real Time. Период мониторинга рабочего состояния относительно не критических функций может составлять несколько минут. Введем ограничение на все виды мониторинга рабочего состояния десять минут. Тогда можно утверждать, что к концу каждого десятиминутного периода полета самолета, до возникновения нового отказа, система, для которой проводился мониторинг рабочего состояния, будет исправна. Период решения функциональных задач является переменной величиной, так как в каждом цикле Тф могут решаться различные задачи.

Определим характеристики глубины, полноты и достоверности контроля компонент, на которых не реализованы критические функции. Глубину контроля определяет технология восстановления платформы в условиях аэродромно-технической базы (АТБ), которую выполняют с целью восстановления избыточных компонент. Коэффициент полноты контроля определяется возможностями тестовых методов контроля. Самым совершенным методом тестового контроля является тестирование с помощью JTAG-систем. Профессиональная платформа JTAG Provision значительно упрощает работу разработчиков программ контроля цифровых изделий [3]. Платформа позволяет анализировать тестовое покрытие. При этом удается достичь величины коэффициента полноты контроля, не превышающего % < 0,98. Платформа также позволяет автоматически генерировать тесты. Но для таких логических узлов, как АЦП, ЦАП и им подобных, метод автоматической генерации тестовых векторов практически невозможен, поскольку для них отсутствует однозначная модель воздействий и откликов. Для создания приложений, тестирующих такие кластеры, в JTAG Provision встроен язык программирования Python и среда JET UTAG Functional Test. Готовые функции позволяют оперировать выводами компонентов с поддержкой периферийного сканирования.

Коэффициент ложного контроля определяется экономическими характеристиками системы восстановления полной избыточности платформы в условиях АТБ. Разумно потребовать, чтобы затраты на восстановление компонент ложно определенных, как отказавшие, увеличивало общие затраты на восстановление платформы, не превышало 5 %. Исходя из этих соображений определим коэффициент ложного контроля при тестовом контроле равном пт.л. = 0,05.

В [2] была выведена следующая формула связи вероятности неконтролируемого отказа после проведения тестового контроля:

P _ P (1 ) + p (1 ~Vt ) (1)

rnT ~ rN , ч LT ,л , ч> ^

(1 + ^LT ) (1 + ^LT )

где PN - вероятность контролируемого и неконтролируемого отказа достаточно сложного электронного устройства, не может превышать величины PN < 10-4; % - коэффициент полноты тесто-

вого контроля, как было показано выше, не может превышать величины Цт < 0,98; Цьт - коэффициент полноты ложного тестового контроля, как было показано выше, не может превышать величины Цьт < 0,05.

Учитывая, что Рьт = РыЦы формула (1) получит вид

РпТ = Ры (1 + цьт П-1-^-. (2)

(1 -Цьт)

Подставив определенные выше величины в формулу (2), получим вероятность неконтролируемого отказа равную РпТ = 2 • 10-6. Как видно из этой оценки, тестовый контроль не позволяет получить вероятность неконтролируемого отказа с величиной удовлетворяющей нормы летной годности. Следовательно, необходимы методы дополнительного контроля, позволяющие довести полноту контроля до величин, необходимых для получения вероятности неконтролируемого отказа менее 10-9.

Обозначим коэффициент полноты дополнительного контроля через Оценим необходимую величину полноты для получения вероятности неконтролируемого отказа менее Рмо < 10-9.

Выше было сказано, что период от момента возникновения отказа критической функции до его парирования не должен быть больше одной секунды. Выполнить мониторинг рабочего состояния за такой период можно только посредством быстрого контроля всего интерфейсно-вычислительного тракта. Поскольку сигнал на выходе интерфейсно-вычислительного тракта является сигналом, прошедшим через все компоненты этого тракта, то информация, которую несет этот сигнал, при отказе любой компоненты тракта приведет к ее искажению. На рис. 1 видно, ин-терфейсно-вычислительный тракт является самой большой частью платформы, на которой построена ее избыточность. В нашем случае избыточность равна четырехкратному резервированию интерфейсно-вычислительного тракта. Следовательно, глубина контроля должна быть до интер-фейсно-вычислительного тракта.

Определим необходимую полноту контроля, которая необходима, чтобы выявлять редкие отказы критических функций, возникающих с вероятностью 10-9 и более отказов за час полета.

В [2] была выведена формула коэффициента полноты дополнительного контроля

Ца = 1" РГ ТГтЧ. (3)

Рм (1 -Цьа)

Подставим в формулу (3) следующие величины:

- вероятность неконтролируемого дополнительным контролем отказа устройства Рмо <10-9 (норма летной годности для катастрофической ситуации [4, с. 14]);

- вероятность контролируемого и неконтролируемого отказа достаточно сложного электронного устройства Рм < 10-4;

- коэффициент полноты ложного контроля при дополнительном методе контроля Цьд< 0,05.

В результате вычисления получим следующую величину коэффициента полноты контроля дополнительными методами, которая обеспечит вероятности неконтролируемого отказа 10-9; равную = 0,9999975. Такая величина контроля, близкая к единице, означает, что для выполнения норм летной годности у устройств, в которых реализованы критические функции, должны контролироваться практически все элементы.

Выше было показано, что с помощью тестового контроля можно достичь полноты контроля с коэффициентом не более Цт < 0,98. При этом вероятность неконтролируемого отказа будет более РмТ > 2 • 10-6. Поскольку такая вероятность неконтролируемого отказа не удовлетворяет нормам летной годности, предъявляемым к устройствам, на которых реализованы функции, отказы которых могут привести к катастрофической ситуации, то необходимо применять методы контроля, обеспечивающие контроль с коэффициентом близким к единице.

Рассмотрим один из методов такого контроля применительно к интерфейсно-вычисли-тельному тракту. Метод мажоритарного контроля сигналов, несущих информацию о параметрах, прошедших через весь интерфейсно-вычислительный тракт (эхосигнал), путем сравнения значения критического параметра, например, параметра, определяющего пространственное положение

летательного аппарата. Проведя контроль посредством сравнения эхосигналов двух трактов по всем интерфейсам, реализованным в данном устройстве, можно гарантировать полноту контроля близкую к единице. Осуществив такой контроль мажоритарно, т.е. путем попарного сравнения трех и более интерфейсно-вычислительных трактов, можно определить неисправный тракт.

Основной проблемой при таком методе контроля является выбор критерия сравнения сигналов. Не претендуя на полноту, рассмотрим ряд наиболее часто применяемых критериев сравнения информации.

Побитное сравнение

При этом методе производится сравнения слов по каждому биту на выходе двух интер-фейсно-вычислительных трактов.

Преимущества побитного сравнения:

- процедура сравнения производится непрерывно по каждому слову, практически мгновенно и не требует прерывания вычислительного процесса;

- процедура более чувствительна к любым искажениям информации в одном из сравниваемых трактов;

- поскольку информация каждого бита может иметь только два численных значения 0 или 1, то попарное сравнение информации на выходах трех интерфейсно-вычислительных трактов будет иметь однозначный результат, с информацией об отказавшем тракте.

Недостатки побитного сравнения:

- высокая чувствительность к малым информационным искажениям, не влияющим на точность информации;

- побитный мажоритарный контроль возможен только при сравнении бит одинаковых слов, т.е. информация на выходе сравниваемых трактов должна быть синхронизирована.

Допусковое сравнение

При этом методе критерием сравнения является допуск на точность значения параметра.

Преимущества допускового сравнения:

- процедура сравнения производится непрерывно по каждому слову, практически мгновенно и не требует прерывания вычислительного процесса;

- процедура не чувствительна к несущественным искажениям информации в пределах допуска.

Недостатком допускового сравнения является зависимость эффективности контроля от величины допуска. Если этот допуск является большим, то некоторые отказы могут не выявляться из-за ошибок первого рода, если же допуск небольшой, то могут возникать ложные отказы (ошибки второго рода).

Кроме того, этот метод контроля не чувствителен к отказам вида «замораживание параметра», когда после возникновения отказа значение параметра в тракте не изменяется. Если при этом фактическое значение параметра изменяется в рамках допуска, то отказ не будет выявлен.

Если в качестве критерия контроля выбирается совпадение всех бит в сравниваемых сообщениях со значением параметра, то возникает множество ошибок первого и второго рода из-за неизбежных шумовых флюктуаций в трактах. Кроме того, этот метод контроля требует строгой синхронизации последовательности сообщений в сравниваемых трактах.

От недостатков перечисленных выше методов свободны методы, при которых сравниваются значения параметров не отдельных сообщений, а характеристики параметров статистики сообщений, т.е. интегральный параметр.

Наиболее эффективным, как будет показано ниже, из этих методов является метод сравнения доверительных интервалов на остаточную дисперсию регрессии [5, с. 336] случайного процесса изменения сравниваемых параметров. Остаточная дисперсия регрессии не зависит от изменения значений параметров, а доверительный интервал не зависит от случайных флюктуаций и чувствителен только к отказам.

Контроль с помощью регрессионного фильтра

Опишем математику построения регрессионного фильтра, с помощью которого можно получить доверительный интервал на остаточную дисперсию случайного процесса изменения значений параметра.

На рассматриваемый случайный процесс наложим дополнительно следующие ограничения, которые имеют место в реальных процессах:

а) значения случайного процесса подчинены нормальному закону, но известны только для моментов измерения параметров ¿(/) (где 7 = 1, 2, 3, ...), т.е. имеет место не случайный непрерывный процесс, а дискретный [6];

б) в областях, где отсутствуют переходные процессы, случайные процессы обладают свойством эргодичности [7, с. 339-343].

Обозначим случайный процесс изменения параметра через Ж((). Введем понятие интервала эргодичности ТЭ как интервала, который может находиться в любой временной области и содержит характеристики о процессе, равные характеристикам, определенным на любом другом интервале, большем ТЭ. Тогда условия эргодичности случайного процесса Щ^) можно записать следующим образом (Щ(0 - процесс, являющийся эргодическим на интервалах):

0} + N - > Тэ,

(4)

где N - число точек интервала эргодичности.

Воспользуемся условием (4) для создания ансамбля реализаций синтезированного случайного процесса (назовем его условным), адекватного реальному процессу, состоящему из одной реализации. В качестве первой реализации нового процесса возьмем любой интервал реального процесса, больший, чем Тэ, который в реальном процессе ограничен следующими текущими моментами:

(Н(п) - ф))С > Тэ(2),

(5)

где ^(1) - момент начала формирования первой реализации и всего ансамбля; ^(п) - момент конца формирования первой реализации ансамбля реализаций; п - число точек (измерений в одной реализации); с - число реализаций.

Если ансамбль состоит из С реализаций, то интервалы всего ансамбля могут быть записаны следующим образом:

^ (п) - ^

t2 (П ) - t2 (^

(6)

^ (п) - ^ (1).

Для определенного нами условного случайного процесса сформируем матрицу значений случайного процесса в описанных выше точках:

Ж ^ ) =

ж (tl), Ж (t2), ..., Ж ),..., Ж (tn)

»2 (tl ), »2 (t2 ),-, »2 ( ),..., »2 (tn )

Ж (tl ), » (2 ),-, »2 ( ),..., » (tn ) Ж (1 ), Ж (2 ), ..., Ж ( ), ..., Ж (tn )

(7)

Из этого ансамбля интервалов видно, что последняя точка условного процесса tс(n) соответствует точке (моменту измерения) t(N = сп) реального процесса. Введем понятие периода интегрирования случайного процесса Т7п, равного периоду от момента первой точки матрицы (7) ^(1) до момента последней точки этой матрицы tс(n). Поскольку оценка доверительного интервала на остаточную дисперсию будет вычисляться по матрице (7), то протяженность этого интервала должна быть такой, чтобы оценка была достоверной. Для того, чтобы получить достоверную оценку, этот интервал должен быть больше интервала эргодичности Тэ (условие (5)).

Кроме того, чтобы парировать отказ, который может иметь катастрофические последствия, интервал интегрирования не должен превышать одной секунды (катастрофическая ситуация развивается как минимум в течение одной секунды). Следовательно, для получения эффективных

оценок по ансамблю реализаций, в частности доверительного интервала на остаточную дисперсию, необходимо, чтобы выполнялось условие [9, 10]:

1с > Тт > (1 (п) - ^(1))С > Тэ(5).

(8)

Введем следующее дополнительное ограничение на условный случайный процесс. Случайные числа (значения измеренного параметра), входящие в матрицу (7), подчиняются любому многомерному распределению, у которого все моменты, выше второго, равны нулю. Наиболее типичным распределением такого типа является многомерное нормальное распределение [5, с. 341].

Рассмотрим операции над значениями матрицы (7) для получения оценок промежуточных величин, являющихся аргументами функций регрессии случайного процесса, остаточной дисперсии и доверительного интервала на нее.

По этой матрице (7) определим ковариационную (9) и корреляционную матрицы (10):

К =

Я =

k\, 1; 2; • • •; 7;...; п к2, 1; к2, 2;...; k2, •••; k2, п

к-, 1; к-, 2;..., к7, ...; к-, п кп, 1; кп,2;...; кп...; кп, п

1,1; 1,2; •..; г, };...; гх, п /2,1; /2,2;...; гг, }; • ••; гг, п Г} ,1; г} ,2;..., /, };...; г-, п г 1' г 2' ■ г } ■ г п

п' ' п' ' 'пЛ ' " '' 'п'

(9)

(10)

где к},}; г-,} - соответственно ковариационный и корреляционный моменты между случайными числами временных сечений 7 и}.

С учетом введенных ограничений на закон распределения случайных чисел определим: - оценку математического ожидания случайных величин условного процесса в сечении которая будет равна [5, с. 379]:

(ь ) =С ЪЖ ( ) = «с ();

^ 7=1

(11)

- оценку стандартного (среднеквадратического) отклонения процесса случайных величин условного процесса в сечении }, которая будет равна [5, с. 379]:

ОЖ(0 ) = \

Ъ ([ ()-«с ( ))2

7=1_

С -1

О ();

(12)

- оценки элементов соответственно ковариационной и корреляционной матриц между сечениями } и I определяются посредством следующих формул [5, с. 441]:

к = -¿=1-

Кл =

Ъ (()-«с ()(((Ч)-«С (к )))

С -1

(13)

- нормируя оценки ковариаций оценками среднеквадратичных отклонений сечений } и I, получим оценку коэффициента корреляции

к

г-1 =

}1

Ос ( )Ос (Ь )"

(14)

Операция по оценке коэффициента линейной регрессии по каждому }-му столбцу матрицы (9) определяется по следующей формуле [5, с. 447]:

Р* ( ) = тЛ^кА, (15)

\к7, А1=

где Р^) - оценка 7-го коэффициента линейной регрессии в сечении tj матрицы (4); к. - детерминант ковариационной матрицы (9); к0,1 - оценка элемента ковариации между сечениями 0 и I матрицы (7); К7,1 - алгебраическое дополнение элемента кц (I = 1, 2, ..., п - 1) ковариационной матрицы (9).

Операция по оценке остаточной дисперсии (стод(с, п))2 регрессии параметра п1 по данным матрицы (7) определяется по следующей формуле [5, с. 602]:

(од (С, п ) )2 = С £ (Ж (О - <Лс (to)-Эх(^1> (( (tl) - «С (tl) )-... -

С 7=1

-Рк(^ ) (( ^ ) - «С ^ ) )-... -Рп-1(( (tn ) - «С (tn ) ))2, (16)

где (стод(с, п))2 - оценка остаточной дисперсии регрессии параметра п1;. = 1, 2, ., п - 1.

Гарольд Крамер [5, с. 602] доказал, что статистика ¥ отношения квадратов остаточной дисперсии к ее оценке, помноженная на число реализаций ансамбля С, распределена по закону %2 с V = С - п -1 степенями свободы, т.е.

,=-^-2, (.7)

(од ^ п ) )

где (ао) - значение остаточной дисперсии параметра; (стод(с, п)) - оценка остаточной дисперсии параметра.

Плотность вероятностей распределения %2 определяется формулой [7, с. 150]

Ку (х) = {р (*2 < t) при t > 0, (18)

[ 0 при t < 0.

Выражение для В^х2^) имеет следующий вид:

1 V-1 £

Pv (х2 < t) = -V-12 е 2, (19)

2т г (2:

(V Л

где ГI — I - гамма-функция, интегральное представление (формула Эйлера) которой для непрерывных z имеет следующий вид [5, с. 143]:

Г(г) = | хг-1е-хйх. (20)

0

Для целочисленных г > 0 имеют место следующие соотношения:

Г(г + 1) = г!, 0! = Г(1) = 1.

V

Введем обозначение — = г + 1, тогда справедливо равенство

п' |)=(^ -1 ц. (21)

Подставив (21) в (19), получим следующую, удобную для вычислений, формулу:

1 V- ±

Ру (X2 < о = -у-Г2 е 2. (22)

2^ ( V -')

На основании вышеизложенного можно записать следующее неравенство:

(ао )2 С

г ■ (V Р ■ ) < у --<г (V Р ) (23)

тш V ^шт^ Л тах" И шах/' У*"*/

(од ^ П ) )

где гтт и гтах - соответственно квантили распределения (22) для вероятностей Ршт и Ртах при V степенях свободы.

Тогда доверительный интервал для оценки стандартного отклонения с вероятностью доверия равной Рд = Ртах - Ртт будет иметь вид следующего неравенства:

°од(с,п\1 гтт(УсРт1п) < ао ^ аод(с,пЫРтах) . (24)

Поскольку мажоритарное сравнение остаточных дисперсий осуществляется для одного и того же параметра, прошедшего как минимум через три тракта, то в идентификатор оценки остаточной дисперсии введем индекс Т, обозначающий номер тракта. С учетом этого индекса идентификатор оценки остаточной дисперсии будет иметь следующий вид: ад(с, п)Т.

На основании (24) нижняя и верхняя оценки доверительного интервала стандартного отклонения остаточной дисперсии соответственно имеют значения

/„ „\ Т1 ^ „\ Гтт (у, Ртт) _ / \ ^ _ / \ Гтах (У, Ртах ) аод (c, П )н Т = °од ( П ^-—-- , аод (C, П )В Т = аод (C, П Ц-С- " (25)

Доверительный интервал стандартного отклонения остаточной дисперсии определяется формулой

ПодТ = аод(c, п)

( Т (V Р ) 1т ■ (V Р ■ ) ^

I тах \ ' та^ / I тт V ' тт /

с \ с

= аод (с, п)Д, (26)

где Д - коэффициент, определяющий долю стандартного отклонения остаточной дисперсии, которая равна доверительному интервалу на стандартное отклонение остаточной дисперсии.

Тогда условия сопоставимости и несопоставимости доверительных интервалов стандартного отклонения остаточной дисперсии параметра, прошедшего через 1-й и 2-й тракты соответственно, запишутся в виде следующих неравенств:

|^од1 - Вод^ < А - сопоставимо, |^од1 - Оод2| > А - несопоставимо, (27)

где А - параметр сопоставимости, который подбирается экспериментально.

Оценим необходимую частоту измерений параметра для получения достоверных оценок остаточной дисперсии и доверительного интервала на остаточную дисперсию. Из формул (29) и (39) видно, что достоверность оценок, остаточная дисперсия и доверительный интервал стандартного отклонения остаточной дисперсии зависят от количества статистики, по которой строится матрица (20), поскольку соотношение между значением остаточной дисперсии и его оценкой определяется выражением (17), которая распределена по закону распределения Пирсона х2 (хи-квадрат) [5, с. 258].

Из выражения (24) и (26) видно, что доверительный интервал на остаточную дисперсию за-

2

висит от квантилей распределения х , которые определяются количеством реализаций случайного процесса изменения параметров С, количеством точек в каждой реализации п и вероятностью доверия, с которой мы хотим получить доверительный интервал на оценку. Число реализаций С и

число точек в реализации определяют число степеней свободы распределения V посредством следующего соотношения:

V = с - п-1. (28)

Из матрицы (7) видно, что количество измерений N, необходимое для формирования матрицы (7), равно N = сп. Практика показывает, что минимальное время развития катастрофической ситуации равно одной секунде. Следовательно, период формирования и обработки матрицы (20), обозначим его Тфо, должен быть менее одной секунды. Период формирования матрицы (7) Тф будет равен периоду одного измерения Тп, умноженному на число элементов матрицы (7), т.е. Тф = ТпЫ. Обозначим период обработки матрицы (7) через То.

Тогда Тфо = ТпЫ + То.

С другой стороны, величина N должна быть не менее той, которая достаточна для обеспечения достоверности характеристик матрицы (20). Обозначим эту величину через Nn. Из описанного выше вытекает следующее неравенство, определяющее требования к периоду измерения параметров Тп:

ЗД + То < 1с. (29)

Неравенство (29) не всегда может выполняться. Для таких случаев может быть предложена следующая процедура:

- после завершения периода Тф = ТN формирования матрицы (7) данные матрицы не обрабатываются, но запоминаются в памяти вычислительного узла. С этого момента начинается второй цикл формирования и обработки матрицы (7);

- третий и последующие циклы формирования матрицы (7) начинаются не в момент, когда завершается период формирования и обработки данных матрицы (7) предыдущего цикла, а через период, равный 1 с - То;

При такой процедуре формирования и обработки матрицы (7) через каждый период длительностью менее секунды будет появляться результат обработки матрицы (7), т.е. результат сравнения доверительных интервалов остаточных дисперсий по формуле (26). Реализация такой процедуры возможна, поскольку быстродействие современных вычислительных узлов превышает частоту измерения параметров на несколько порядков.

Для определения величины Nд, т.е. количества реализаций случайного процесса С и числа измерений в каждой реализации п, были проведены расчеты характеристик распределения %2, которые приведены в табл. 1. Расчет производился для вероятности доверия

Р = P ■ - P = 0 996

1 д 1 mm 1 max

где Pmm - нижняя граница вероятности доверия, равная интегралу от плотности распределения %2 формулы (29), определяющая нижнюю границу доверительного интервала стандартного отклонения остаточной дисперсии; Pmax - вероятность, равная интегралу от плотности распределения %2 формулы (30), определяющая верхнюю границу доверительного интервала стандартного отклонения остаточной дисперсии.

Выражения для определения Pmin и Pmax имеют следующий вид:

1 tmin V —i__

Pmin =——- i t2" e~~2dt; (30)

22 | V —1|!

1 tmax V _ i__^

Pmax -- f t2_ e~'2dt, (31)

2* (V — 1

где tmin - квантиль нижней границы вероятности доверия, определяющий нижнюю границу доверительного интервала стандартного отклонения остаточной дисперсии, определяемой по формуле (26); tmax- квантиль верхней оценки вероятности доверия, определяющий верхнюю

границу доверительного интервала стандартного отклонения остаточной дисперсии, определяемой по формуле (26).

Таблица 1

Характеристики распределения %2 при вероятности доверия Рд = 0,996

п С V р ■ 1 Ш1П ^ш1П р 1 шах ^шах Г (V Р ) Ш1П V ' Ш1П / / (V р ) шах V ' шах / А т = V -2 с = л/^

У С V С

5 41 35 0,00162 14,5 0,9978 62,5 0,595 1,240 0,645 33 8,37

10 100 89 0,00143 55 0,9977 131 0,742 1,145 0,403 87 13,34

30 270 239 0,00153 179 0,9977 304 0,814 1,061 0,247 237 21,87

В столбцах 11 и 12 приведены значения соответственно математического ожидания и стандартного отклонения дисперсии.

Таблица составлена для трех количеств измерений N = С • п = 205, 1000, 8100.

Из таблицы видно:

- при N = 205, числе реализаций с = 41 и числе точек в каждой реализации п = 5 доверительный интервал стандартного отклонения остаточной дисперсии составляет 0,645 от оценки стандартного отклонения остаточной дисперсии ОодГ = аод (с,п) * 0,645 ;

- при N = 1000, числе реализаций с = 100 и числе точек в каждой реализации п = 10 доверительный интервал стандартного отклонения остаточной дисперсии составляет 0,403 от оценки стандартного отклонения остаточной дисперсии -ОодГ = аод (с,п) * 0,403 ;

- при N = 8100, числе реализаций с = 270 и числе точек в каждой реализации п = 30 доверительный интервал стандартного отклонения остаточной дисперсии составляет 0,247 от оценки стандартного отклонения остаточной дисперсии ОодГ = аод (с,п) * 0,247 .

Метод сравнения информации, прошедшей через различные интерфейсно-вычислительные тракты, имеет следующие преимущества:

- метод слабо коррелирован как с характеристиками сравниваемой информации, так и характеристиками устройств, формирующих и обрабатывающих информацию. В то же время он сильно коррелирован с характеристиками состояния устройства;

- метод не требует синхронизации информации.

Список литературы

1. Авакян, А. А. Мониторинг рабочего состояния отказоустойчивой платформы / А. А. Авакян, М. В. Копненкова, А. К. Максимов // Труды международного симпозиума Надежность и качество. -2016. - Т. 1. - С. 88-94.

2. Авиационные правила.Часть 25. Нормы летной годности самолетов транспортной категории. - М. : Межгосударственный авиационный комитет, 2009.

3. Типовые требования к эксплуатационно-техническим характеристикам комплексов бортового оборудования гражданских магистральных самолетов, самолетов МВЛ и авиации общего назначения : [утв. заместителем директора ГосНИИ «Аэронавигация В. Я. Кушельманом 10 мая 1994 г.].

4. Авакян, А. А. Синтез отказоустойчивых комплексов бортового оборудования летательных аппаратов / А. А. Авакян // Труды международного симпозиума Надежность качество. - 2015. - № 2. - С. 6-10.

5. Авакян, А. А. Синтез сложных многофункциональных отказоустойчивых систем электроники / А. А. Авакян, В. В. Клюев. - М. : Спектр, 2014.

6. Авакян, А. А. Создание отказоустойчивых систем электроники на основе управляющей избыточности / А. А. Авакян, Н. К. Юрков // Труды международного симпозиума Надежность и качество. - 2011. - Т. 2. -С. 369-375.

7. Авакян, А. А. Закон распределения отказов элементов и систем электроники / А. А. Авакян, А. Г. Дмитриенко // Надежность и качество сложных систем. - 2013. - № 1. - С. 47-53.

8. Гнеденко, Б. В. Курс теории вероятностей: учеб. / Б. В. Гнеденко. -3-е изд., перераб. - М. : Гос. изд-во физ.-мат. лит., 1962.

9. Крамер, Г. Математические методы статистики : моногр. / Г. Крамер, А. А. Петров, А. Н. Колмогоров ; пер. с англ. под ред. А. Н. Колмогорова. - М. : Мир, 1973.

10. Авакян, А. А. Быстрая диагностика интерфейсно-вычислительных трактов с ошибками / А. А. Авакян, Н. К. Юрков // Труды международного симпозиума Надежность и качество. - 2013. - Т. 1. - С. 9-14.

11. Авакян, А. А. Мониторинг интерфейсно-вычислительных трактов систем авионики / А. А. Авакян, А. В. Соломин, Н. К. Юрков // Известия высших учебных заведений. Поволжский регион. Технические науки. - 2014. - № 3 (31). - С. 24-40.

Авакян Александр Анушаванович

доктор технических наук, главный научный сотрудник, Научно-исследовательский институт авиационного оборудования (140180, Россия, г. Жуковский, Московская область, ул. Туполева, 18) E-mail: avakyan@niiao.com

Копненкова Марина Владимировна инженер,

Научно-исследовательский институт авиационного оборудования (140180, Россия, г. Жуковский, Московская область, ул. Туполева, 18) E-mail: info@nilfi.ru

Максимов Анатолий Константинович

ведущий инженер, Научно-исследовательский институт авиационного оборудования (140180, Россия, г. Жуковский, Московская область, ул. Туполева, 18) E-mail: info@niifi.ru

Аннотация. Современная элементная база электроники позволяет в габаритах и массах функциональных блоков, широко применяемых в авионике, сконцентрировать мощные интерфейсно-вычисли-тельные ресурсы. Эти ресурсы достаточны, чтобы обеспечить работу многих аппаратных и программных приложений реализующих множество функций летательного аппарата (ЛА). Система модулей, включая базовое программное обеспечение, управляющая ресурсами таким образом, чтобы обеспечить работу многих приложений в интегральной модульной авионике (ИМА) [8], получила название «платформа ИМА». Платформа, функционирующая с множеством приложений, в интегральной модульной авионике (ИМА) получила название «система ИМА». Архитектура современных комплексов бортового оборудования (КБО) авионики от федерации множества функциональных блоков, количество которых в магистральных воздушных суднах достигло ста и более, оптимизировалась в архитектуру, состоящую из небольшого количества систем ИМА. Реализация множества функций ЛА в системах ИМА, в том числе и критических, потребовала выполнения в системах ИМА норм летной годности [4] и регулярности полетов [9]. Нормы летной годности в отношении систем ИМА, реализующих функции, отказы кото-

Avakyan Aleksandr Anushavanovich doctor of technical sciences, senior research manager, Scientific Research Institute of Aircraft Equipment (140180, 18 Tupolev street, Zhukovskiy, Moscow region, Russia)

Kopnenkova Marina Vladimirovna engineer,

Scientific Research Institute of Aircraft Equipment (140180, 18 Tupolev street, Zhukovskiy, Moscow region, Russia)

Maksimov Anatoliy Konstantinovich leading engineer,

Scientific Research Institute of Aircraft Equipment (140180, 18 Tupolev street, Zhukovskiy, Moscow region, Russia)

Abstract. The modern element base of electronics allows the dimensions and masses of the functional blocks commonly used in avionics, focus powerful interfacecomputing resources. These resources are sufficient to ensure that the work of many hardware and software applications that implement many features aircraft (LA). System modules, including basic software that controls the resources in such a way as to ensure that the work of many applications in integrated modular avionics (IMA) [1] was called "IMA" platform. Platform, operating with a multitude of applications, integrated modular avionics (IMA), was called "IMA" System. Modern architecture complexes of the onboard equipment (BWC) avionics, from the Federation of multiple functional units, the number of which in the main air boats to one hundred or more optimizirovalos' in architecture, consisting of a small number of systems. Realization of multiple functions LA IMA systems, including critical, demanded the execution of IMA systems airworthiness [2] and flight regularity [3]. Airworthiness standards for systems that implement functions, malfunction, IMA, which lead to catastrophic situations, impose requirements to likelihood of failure was less than 10-9 failure per hour flown. Flight regularity requirements require restore failed CCD during not more than 15 minutes with a probability equal readiness 0.998. To meet these re-

рых приводят к катастрофическим ситуациям, предъявляют требования, чтобы вероятность отказа была менее 10-9 отказа за час налета. Требования регулярности полетов требуют восстанавливать отказавшие КБО за время не более 15 мин с вероятностью готовности равной 0,998. Чтобы выполнить эти требования с обеспечением минимума затрат на создание и техническое обслуживание КБО, платформы систем КБО должны быть максимально унифицированы и иметь высокую отказоустойчивость. Отказоустойчивость, обеспечивающую приведенные выше нормы летной годности и регулярности полетов, возможна, если реализовать в платформе ИМА избыточность ключевых компонент и систему управления избыточностью (СУИ). Статья посвящена рассмотрению принципов и методов системы мониторинга рабочего состояния платформы ИМА, являющейся основной компонентой СУИ. В статье рассматриваются такие проблемы мониторинга, как методы контроля, обеспечивающие: необходимую полноту и достоверность контроля, глубину контроля, достаточную для проведения реконфигурации системы при парировании обнаруженных отказов и сбоев, а также ограничения продолжительности контроля, позволяющие парировать критические ситуации.

Ключевые слова: мониторинг, контроль, избыточность, отказ, сбой, реконфигурация системы, регрессионный фильтр.

quirements with a minimum cost of development and maintenance of the CCD, CCD systems platform should be as unified and have a high fault tolerance. Fault tolerance, ensure that the above norms of airworthiness and flight regularity, perhaps, if implemented in the IMA redundancy of key components and redundant management system (MIS). The article is devoted to consideration of the principles and methods of monitoring system platform for IMA, which is the main component of the IMS. This article discusses issues such as monitoring methods of control: the necessary completeness and accuracy control, depth control sufficient for carrying out reconfiguration system when Parry discovered failures and failures, as well as limiting the duration of controls that enable you to fend off critical situations.

Key words: monitoring, control, redundancy, failure, failure, System reconfiguration, regression filter.

УДК 62.192

Авакян, А. А.

Мониторинг рабочего состояния отказоустойчивой платформы / А. А. Авакян, М. В. Копненко-ва, А. К. Максимов // Надежность и качество сложных систем. - 2016. - № 3 (15). - С. 67-79. DOI 10.21685/2307-4205-2016-3-11.