CC BY
45
Авакян А.А.
О МЕТОДАХ КОНТРОЛЯ ЭЛЕКТРОННЫХ СИСТЕМ ПОЗВОЛЯЮЩИХ ВЫЯВЛЯТЬ РЕДКИЕ ОТКАЗЫ (ИНТЕНСИВНОСТЬ ОТКАЗОВ СИСТЕМЫ МЕНЕЕ 10-9 ОТКАЗОВ В ЧАС)
Актуальность проблемы вытекает из крайне жестких требований к полноте достоверности и времени контроля исправного состояния бортовых систем, особенно функционирующих на борту летательных аппаратов [1]. Например, чтобы удовлетворить требованиям отказобезопасности интенсивность возникновения функционального отказа, который может привести к катастрофической ситуации, не должна превышать величины 10-9 отказа в час. Выполнить это требование аппаратными средствами, без резервирования функциональных частей системы, практически невозможно. Следовательно, возникает проблема диагностирования отказов системы и реконфигурации его элементов при их обнаружении. При этом время диагностирования и парирования отказов на критичных этапах полета (взлет, посадка) не должно превышать секунды, а в ряде случаев долей секунды.
Одним из путей решения перечисленных выше проблем является путь создания отказоустойчивых электронных систем. Рассмотрим эту проблему на примере бортовых вычислительных систем, которые являются одной из наиболее сложных электронных систем. В данной работе рассматривается подход, когда отказоустойчивая вычислительная система создаётся в виде вычислительного ресурса с управляемой избыточностью.
Задача формализуется следующим образом:
Задан некоторый вычислительный ресурс, посредством функционала R(B, По, Пэ, Yш, Yв, E), где: B - характеристики быстродействия, По - характеристики оперативной памяти (ОЗУ), Пэ - характеристики энергонезависимой памяти (ПЗУ), Yш - характеристики внутреннего интерфейса (шины), Yв - характеристики внешнего интерфейса, E - характеристики источников вторичного питания.
Заданы характеристики надежности на периоде применения Р(^) и периоде до плановопрофилактических работ Р(^).
Необходимо определить оптимальный, избыточный вычислительный ресурс Rои(B, По, Пэ, Yш, Yв, Е), минимизирующий затраты на техническую эксплуатацию всего вычислительного ресурса, включая затраты на его закупку.
Функционал Rои(B, По, Пэ, Yш, Yв, Е) формализует сложную избыточную систему, элементами которой являются вычислительные ресурсы, формализуемые посредством функционала R(B, По, Пэ, Yш, Yв, Е). Основным принципом такой сложной системы является независимость, связанных между собой, простых систем -вычислительных ресурсов.
Связи между элементами (функционалы R(B, По, Пэ, Yш, Yв, Е)) внутри системы (функционал Rои(B, По, Пэ, Yш, Yв, Е)) имеют следующие свойства:
Выходы каждого элемента (простой системы) связаны только с входами других элементов (включая вход рассматриваемого элемента). Других связей между элементами простых систем, кроме входов и выходов, не существует;
При отказе любой простой системы, приводящем к короткому замыканию входа связанной с ней системы, образуется сопротивление практически бесконечной величины, адекватной разрыву связи;
Выходами сложной системы могут быть как выходы каждой из простых систем, так и любые комбинации из выходов этих систем.
Сложная избыточная вычислительная система обладает следующими свойствами:
Непрерывного контроля состояния системы, со стопроцентной полнотой контроля, позволяющего парировать отказ не более чем за секунду без локализации отказа;
Диагностического контроля с локализацией отказа и реконфигурацией системы за конечное заданное время Тв;
Многоуровневой системы мажоритарного сравнения результатов как непрерывного, так и диагностического контроля, реализованного в каждой из простых систем.
Проиллюстрируем вариант реализации избыточной вычислительной системы, состоящей из четырех простых систем - вычислительных ресурсов обладающих, перечисленными выше, свойствами. Структурная схема такой избыточной вычислительной системы приведена на рис. 1.
В основу синтеза системы были положены следующие принципы:
Узел управления избыточностью реализован во всех четырех МВУ;
Синтез вычислителя выполняется на основе серийной, унифицированной, высокопроизводительной, высоконадежной, высокочастотной, максимально компактной и малопотребляющей энергию элементной базе;
Высокая безотказность и способность к отложенному ремонту достигаются за счет управления избыточностью;
Быстрое (практически мгновенное) парирование отказов достигается за счет сочетания мажоритарного выбора и тестового контроля элементов вычислительной системы;
Инвариантность к ранее разработанному, сертифицированному, апробированному в авиационных и ракетно-космических системах, проблемному математическому обеспечению достигается за счет применения процессоров со стандартным набором команд, эмуляторов и применением широкого набора интерфейсных технологий, в том числе и детерминированного, линейного интерфейса Ethernet- ARINC-429 [4];
Использования COTS-технологий при синтезе вычислителя [2,3].
Вычислительная система состоит из следующих независимых, но взаимосвязанных, конструктивно съемных модулей:
4-х однотипных модулей вычислительного узла (МВУ);
4-х однотипных модулей интерфейсного узла (МИМ);
2-х однотипных модулей объединения выходов (МОВ);
2-х кроссировочных плат (КрП).
На рис. 1 видно, что все модули МВУ и МИМ связаны между собой своими выходами и входами, то есть имеет место система связанных между собой, независимо функционирующих элементов. Чтобы сохранить эту независимость функционирования, как при исправных состояниях элементов избыточной системы, так и при их отказах (например, отказ элемента, приводящий к короткому замыканию, может зашунтировать связанные с ним элементы) связи элементов осуществляются через систему ключей. Ключи выполнены таким образом, что при коротком замыкании выхода любого элемента они создают высокий импеданс на входах всех элементов связанных с отказавшим.
Современные методы встроенного, в основном тестового контроля, (они встроены во все модули МВУ, МИМ, МОВ) позволяют обеспечить следующие характеристики контроля: глубина контроля Гк - до сменного модуля-платы, достоверность контроля Дк>0,99999, полнота контроля Пк>0,98,
мониторинг температуры наиболее теплонагруженных элементов вычислителя с выдачей информации программным приложениям мониторинга и диагностики.
Как будет показано ниже необходимый коэффициент полноты контроля, который мог обеспечить нормативную интенсивность отказов вычислителя в полете не превышающее 10-9 отказов в час, значительно больше полноты, которая может быть достигнута посредством тестового контроля. Более высокий коэффициент полноты контроля, может быть, достигнут методом допускового мажоритарного контроля эхо сигналов с выходов каждого из контуров вычислителя, включающих вычислительный и интерфейсный модули.
Рис. 1 Структурная схема отказоустойчивого вычислителя.
В [4] была выведена следующая формула (1), связывающая вероятность допускового мажоритарного контроля системы Р^ с характеристиками контролепригодности элементов системы.
Рпб = Ры 0 )(1 ~Лт )(1 + Л )(1 ) (1)
Где: Ры - вероятность полного отказа хотя бы одного из элементов системы; Цт - коэффициент полноты тестового контроля; Льт - коэффициент полноты ложного тестового контроля; Ла - коэффициент полноты допускового контроля; Льа - коэффициент полноты ложного допускового контроля
Расчеты показывают, что оценка вероятности контролируемого и неконтролируемого отказа хотя бы одного из модулей вычислителя не может быть меньше Ры=10-4 отказов в час. Полнота тестового контроля может быть достигнута величины Лт=0,98. Реальными оценками коэффициентов тестового и ложного контроля являются: Льт=Льа=0, 001. Подставив эти оценки в формулу (1) получаем необходимую величину полноты допускового контроля равную Ла=0,99999.
При таком высоком значении коэффициента полноты допускового контроля нельзя исключить не одного высоконадежного устройства из состава устройств, которые должны быть подвергнуты допусковому контролю. Следовательно, мажоритарному сравнению должны подвергаться сигналы, прошедшие от входа до выхода в каждом из резервированных вычислительных трактов, включая и тракт, в котором реализован мажоритарный элемент.
Важным качеством мажоритарной системы является принцип сравнения сигналов. Обычно при допусковом мажоритарном контроле применяется принцип, при котором сравниваются непосредственно сигналы и критерием не сравнения является выход модуля разности между значениями сравниваемых параметров за величину допуска, то есть допустимой ошибки измерения параметра. Но этот критерий слабо чувствителен к выявлению видов отказов типа «замораживание». Кроме того, при широких допусках этот принцип не чувствителен и к другим видам отказов, а при узких допусках приводит к появлению ложных отказов.
Свободным от этого недостатка является принцип сравнения сигналов по характеристикам стохастической части сигнала. Для этой цели в работе предложен регрессионный фильтр, в котором в качестве характеристики чувствительной к отказам предлагается использовать остаточную дисперсию регрессии [5].
Случайный процесс изменения параметра, состоящий из N точек измерений значения параметра (назовем от момента ^ до момента Ъы «разрезается» на С реализаций по п точек в каждой реализации). Следовательно, С* п=Ы. Число N выбирается из условия эргодичности, то есть, чтобы на любом отрезке равном Ъы - ^ случайного процесса изменения параметра, характеристики случайного процесса были практически одинаковы. Оценка дисперсии характеристик нормального стационарного, случайного процесса, который имеет место у параметров электронных систем, имеет порядок 1/^ N [6]. При 1000 и более точек эта оценка равна примерно 0,03, то есть процесс может считаться эргодическим.
Значения случайного процесса изменения параметра от момента Ъ1 до момента Ъы формируются с помощью следующей матрицы (2). В каждой строке матрицы п значений одной реализации случайного процесса. Поскольку число реализаций процесса равно С, то количество строк матрицы (2) равно тоже С.
£
а
Бн
0
1 I
о
£
д
ш
£
а
а
с
о
о
с
>£
д
с
о
х
е
2
>*
ч
д
£
а
о
д
ч
о
х
о
е
о
с
д
е
а
Бн
>>
д
о
о
Бн
О
О
(О
>*
д
о
о
Бн
О
а ••
ч ^
Ш
т '-'
о о д ^
Ч >, О 2
а а о о — о
о
а ч
Ш 0
ч ^
I о
о
0 сс ^ о
1 Ен 0 0 ¡=Г СС О ^
С!)
IО оч
<ч
Ч-*
о (0 1
-•-ч 1 о
1?
0^)5
а
с
о
>*
д
£
а
Бн
о
д
д
о
£
д
ш
£
а
с II С 0
а II
сс СС с
£ -э е о '—••
д ш д ш '---
а 0 а <м 0 ^
с о § Оп рицы со
о
I
и
о
I —
0
п 0 0 ^ о I2 с а
о
сх о £
д >Е
Ш 0
а з 0 2 с >ь о ч
Ковариационная матрица (б), имеет следующий вид.
=1ми элементами являются дисперсии ^тых столбцов матрицы (15), то есть = 0С(^); ковариационной матрицы выполняются следующие операции по определению коэффициента
Ен I 0 Л 2 ^ “ ш
а
с
о
£
а
Ен
а &
т ш ш о I е _
^ О 1=£ с I
Ен
X [~-0 —
£
д 0 £ ^ О >, О %
о а
0 о ^ о
0 ^ 0
1 3 .
д >>
О ч
0
о ^ с о
сс О
£ с д
Ш СС а о 0 Ен С 0 О ЕС
с:
I Н5
Ен £
0
а
Ен
0 п
^ а
о 0 «
у
ш .р а ^
О о
«з:
I
О Ен С О Ен
СС СО О
Ен 2 0 £ сс с; ^ 0 т ц;
Ен 0
о а
0 С
3 О >*
О .
О £ £
0 О
4 а о 0 Ен с 0 о 2 £
ч
2
0
1 О
1 I Ш У Ч О
Ен
Ш Ш Ен
т о
0 о а
Ен 0 0 ^
2 X
Ш 0
а х ш о с § % О 2 0 0 ш о т I
1 сс т О ш О..
а а>
о т
с=С
I
а
о
о
ш
а о
з4
0 т
Ен £ .
а ен
0 I со
ш £ ш
О ^
Ч О
3 С
£ м —
1^10
0 0 —
У Ен
0 £ РР
о а
0 0
а т
о
ь
0 ,—,
о Г-
0 1—1
т <ц>
о ш ш
а I
£ Ен т
2 0 ш
сс 2 а
I Ш N
0 а г*г
с ш
0 с сс
Ен £
О е
£ 0
1—1 О
а 0
1 0 ч
с 0
д о а
£ с
о о
N Ш
н а
0
>* I
У 0
0 0 Ен
Ен о
ш Ш 0
со Ен I
О Ен
0 0 сс
с 0
0 а
ш £ 0
I I т
0 0
У л
0 ш Ен
Ч I о
0 со 0
а I
с о 0 0 Ен 0
Ш ч з
а Гн с
Л
X
о.
с
VI
<ч
N
£
0 х|см
о ^0)
в Т
0 С1СМ
§ х
£
и
VI
д
ей
я
4 X
ё VI £ 01
к
с|см
С\1
N
'с
Где [-/П - гамма функция, интегральное представление (формула Эйлера) которой для непрерывных z 2
имеет следующий вид [7]: го
Г ( г) = |х2 1е xdx (12)
о
Для целочисленных z > 0 имеет место, следующее соотношение:
Г(2 + 1)=2\
0!=Г(1)=1.
Обозначим:
п = г +1 тогда Г (П) = ( \ _ 1)! (13)
Подставив (13) в (10) получим следующую, удобную для вычислений формулу:
2 1 П_1 X
Рп( <Х ^>=-)-п------------------X2 е 2 (14)
22( ”_1) !
На основании выше изложенного можно записать следующее неравенство:
<15>
где tmin (п, Рт±п) и 'Ътах (п, Ртах) соответственно квантили распределения (14) для вероятностей Р,^ и Ртах при П степенях свободы.
Тогда доверительный интервал для оценки стандартного отклонения, с вероятностью доверия равной: Рд = Ртах - Рпап, будет иметь вид следующего неравенства:
/X \ № т'т Р гтнп^ ^ , (+ \ ^тах^’Р тах^ / л с\
(тЛпЦ----------------(То^аЛпЦ-------------------- (16)
Поскольку мажоритарное сравнения остаточных дисперсий осуществляется для одного и того же параметра прошедшего через, как минимум, три тракта, то в идентификатор оценки остаточной дисперсии введем индекс Т, обозначающий номер тракта. С учетом этого индекса идентификатор оценки остаточной дисперсии будет иметь следующий вид СТос(^)Т.
Обозначим нижнюю и верхнюю оценки доверительного интервала оценки остаточной дисперсии через: нижняя оценка Оос^з)нТ; верхняя оценка СТос^з)вТ.
Тогда, условия пересечения доверительных интервалов при сравнения параметра прошедшего через 1-й и 2-й тракты запишется в виде следующих неравенств:
ОоЛ^)н1<аос(^)в2; (17)
Оос(^)н2<СТос(^)в1.
Для того чтобы гарантировать систему мажоритарного контроля от ошибок, связанных с ситуациями, когда остаточная дисперсия регрессии по каким то причинам не чувствительна к отклонению параметра от точного значения, в мажоритарном элементе осуществляется также допусковый контроль на отклонение сравниваемых значений параметра по точности Дп. С этой целью выполняется следующая операция относительно сигналов прошедших через ^тый (ТС^) и ^тый (ТС^) тракты:
\Wyi_Wj >ДП| (18)
Где сочетания принимают значения: 1-2, 1-3, 1-4, 2-3, 2-4, 3-4
Выполнение неравенства (18) означает, что значение параметра одного из сигналов прошедших через
тракт i или j не в допуске, по точности на параметр.
Если мажоритарный элемент выполнить в виде отдельного устройства, то он в системе элементов вычислителя окажется включенным последовательно, и его надежность будет определять надежность всей
системы. Чтобы избежать специальных мер по резервированию мажоритарного элемента в данной работе
предложено его реализовать в каждом из вычислительных модулей МВУ. Но мажоритарный контроль одних и тех же сигналов в 4-разных мажоритарных элементах может дать различные результаты сравнения сигналов, в частности по причине неисправной работы одного из МВУ. Для выявления такой ситуации в работе предлагается создать второй уровень мажоритарного контроля, который будет осуществлять мажоритарный контроль результатов мажоритарного контроля первого уровня. Чтобы при двухуровневом мажоритарном контроле сохранилась ситуация о неоднозначности выявления неисправного тракта необходимо, чтобы были неисправны 3 из 4-х МВУ. Вероятность отказа любых трех МВУ из четырех МВУ Омаж равна произведению числа сочетаний из 4-х по 3 помноженной на куб вероятности отказа одного МВУ. Формула этой вероятности будет равна:
Омаж=4*(Омву)3
Выше было показано, что вероятность отказа модулей вычислителя не может быть меньше величины 10-4. Если принять вероятность отказа МВУ равной этой величине, то есть 0мву=10-4, то вероятность неоднозначного результата мажоритарного контроля будет равна Омаж = 4*10-12, то есть меньше нормативной вероятности на катастрофическую ситуацию.
Рассмотрим структурные схемы и алгоритмы мажоритарных элементов 1-го и 2-го уровней. Структурная схема мажоритарного элемента 1-го уровня приведена на рис.2. Сигналы с выходных каналов N трактов поступают на вход коммутатора. Коммутатор коммутирует на вход устройства обработки данных последовательно все выходные сигналы всех N трактов.
Рассмотрим операции обработки сигналов. Первой из них является операция синхронизации сигналов. Мажоритарный элемент обрабатывает последовательности сигналов, поступающих из устройств, как синхронизированных, так и не синхронизированных между собой состояниях. В мажоритарном элементе синхронизируются друг с другом только сигналы устройств, в структуре слова которых имеется идентификатор параметра. В частности в структуре слова записанного в стандарте ДЯШС-429 [8] (рис.3) идентификатор
параметра записывается в первых-10 разрядах 32-х разрядного слова.
Рис. 2 Структурная схема мажоритарного элемента 1-го уровня
1 8 9 10 11 29 30 31 32
Адрес (код параметра) Код устрой- ства Передаваемое сообщение (данные) Исправ- ность устрой- ства Четность слова
Рис. 3 Структура слова в стандарте ARINC-42 9
Формат 32 - разрядного слова в ГОСТ 18 97 7 - 7 9 РТМ 14 95 - 7 5 и АРИНК-4 2 9 имеет следующую структуру:
Разряды 1 - 8 содержат информацию о коде параметра;
Разряды 9,10 содержат информацию о коде устройства;
Разряды 11 - 29 содержат информацию о передаваемом сообщении;
Разряды 30 - 31 содержат информацию об исправности устройства, в котором было сформировано сообщение (информацию о матрице состояния);
Разряд 32 содержит информацию о четности сформированного слова.
Первой операцией обработки сигналов является поиск одних и тех же слов, поступивших из разных устройств, для их мажоритарного сравнения. Для отделения слов между собой информация передается посредством синхронизирующих и информационных импульсов. На рис. 4 приведена диаграмма этих импульсов в сообщениях. Наличие синхронизирующих и информационных импульсов позволяет отделять между собой слова, так как в паузах между словами синхронизирующие импульсы не передаются. Поскольку каждый импульс соответствует одному биту передаваемой информации, то период передачи одного бита, равен Т (рис. 4).
Паузу между словами П разрешается выполнять в пределах:
4Т<П<40Т
Следовательно, период между словами Тс будет находится в пределах:
36Т<П<72Т
Синхронизирующие импульсы
Рис. 4 Диаграмма синхронизирующих и информационных импульсов в ARINC-4 2 9
Принцип синхронизации сводится к совмещению сигналов с одними и тем же словами (кодами параметров) , содержащими информацию о параметрах, измеренных в один и тот же момент. Поступающая на входы
устройства обработки сигналов информация одной и той же последовательности параметров с N различных устройств, из-за асинхронной работы устройств, будет сдвинута относительно друг - друга по фазе. Обозначим величину этого сдвига через Т3ад.
На рис. 5 приведена диаграмма совместного появления слов на 3-х входах устройства обработки данных в момент ^ На первом входе время задержки до начала обработки т3ад. минимально и момент t не совпадает с началом слова. На втором входе эта задержка больше, а на третьем входе она достигла величины Тп, то есть периода передачи сообщений. При временах задержки больших Тп возникает вероятность совмещения сигналов со сдвигом на один период. Следовательно, условием правильной синхрониза-
ции является Тз
>Тп
№
234 1234 12 3 4 12
Рис. 5.Диаграмма совместного появления слов на входах устройства обработки данных в момент t. Процедура синхронизации сводится к следующей последовательности операций:
Сигналы, поступающие на все входы устройства обработки, запоминаются в нем;
По коду параметра (первые 8 разрядов слова (рис. 2)) первого полного слова, поступившего с тракта 1 (первый вход устройства обработки), сравниваются все слова сигналов, поступивших на остальные входы. Обозначим код первого параметра Пі;
Сигналы, поступившие с остальных трактов на входы обработки, кроме сигналов, поступивших на первый вход, сдвигаются по фазе таким образом, чтобы первым словом сигнала стало слово с кодом параметра Пі;
Если не у одного из слов, поступивших на все входы устройства обработки данных, кроме первого входа, слов с параметром Пі в сигналах не обнаруживается, то в анализатор состояния устройств посылается сигнал о неисправности тракта № 1 и, повторяются операции предыдущих двух и настоящего пунктов относительно тракта № 2;
Состояние после сдвига сигналов по фазе, когда первые полные слова первых слов всех устройств имеют одинаковые коды параметров, является синхронизированным состоянием сигналов.
После выполнения операций по синхронизации сигналов выполняются операции по их обработке (фильтрации). Эти операции сводятся к вычислениям по формулам: (3, 4, 5, 7, 8, 16, 17 и 18). Результаты
этих вычислений анализируются следующим образом. Если не выполняются условия (17) и (18), то это означает, что тракт і либо тракт j неисправны. Поскольку при мажоритарном контроле трактов как минимум 3, то мажоритарным сравнением доверительных интервалов остаточных дисперсий или допусковым сравнением 3-ех трактов, можно установить какое из этих трактов неисправно. Условием неисправности тракта является не пересечение доверительных интервалов для вероятного отклонения остаточных дисперсий или выход за пределы допуска сравниваемых параметров.
Результаты анализа мажоритарного элемента первого уровня записываются в 32-разрядные слова со структурой данных, представленных на рис. 6. Каждое слово содержит информацию о:
Контролируемом параметре (код параметра);
Мажоритарном элементе конкретного вычислительного модуля (номер МВУ);
Контролируемом тракте (номер тракта);
Результатах сравнения сигналов устройств 1-2, 1-3, 1-4, 2-3, 2-4, 3-4 (0, если результат сравне-
ния положительный, 1, если результат отрицательный;
Контроле на четность слова.
Результаты сравнения записываются в разрядах 15-26 слова, структура которого приведена на рис. 6. Сигналы со словами, содержащими результаты мажоритарного контроля 1-го уровня, поступают в мажоритарный элемент второго уровня.
Мажоритарный элемент второго уровня предназначен для мажоритарного сравнения результатов мажоритарного контроля первого уровня. Мажоритарный элемент второго уровня, также как и первого уровня реализуется во всех N устройствах (в нашем примере в 4-х МВУ). Структура мажоритарного элемента второго уровня приведена на рис. 7.
1 8 9 10 11 14 15 16 17 18 19 20 21 22 23 24 25 26 32
р
т
р
д
о
К
щ
б
о
о
с
т
с
й
о
р
т
с
у
о
к
о
к
р
с
р
с
р
с
р
с
р
с
р
с
р
с
р
с
р
с
р
с
р
с
р
с
л
у
л
у
л
у
л
у
л
у
л
у
л
у
л
у
л
у
л
у
л
у
л
у
Рис. 6 Структура слова, поступающая из мажоритарного элемента 1-го уровня.
Слова в анализатор
Разовая команда на формирование выхода системы
Сигнал о недостоверности информации на выходе системы
Сигнал на выдачу информации из системы с выхода исправного тракта.
1 Попарное мажоритарное
сравнение результатов мажорирования первого уровня.
2 Если все пары имеют одинаковый положительный результат сравнения, то выдается разовая команда на выдачу сигнала из тракта с МИМ 1.
3 Если все пары имеют одинаковый отрицательный результат сравнения, то выдается сигнал о недостоверности информации, выдаваемом системой.
4 В остальных случаях из системы выдается информация. поступающая от исправного тракта с младшим номером.
Последовательность слов с мажоритарного элемента МВУ 1
Последовательность слов с мажоритарного элемента МВУ 2
Последовательность слов с мажоритарного элемента МВУ 3
Последова тельное ть слов с мажоритарного элемента МВУ 4
Рис. 7 Структурная схема мажоритарного элемента второго уровня.
В мажоритарном элементе второго уровня сопоставляются слова с одинаковыми параметрами, каналами, но с различными номерами мажоритарных элементов 1-го уровня (номере устройства). У этих слов анализируется информация о результатах сравнения сигналов с выходов устройств соответственно: 1-2, 1-3,
1-4, 2-3, 2-4, 3-4, полученных в каждом мажоритарном элементе первого уровня. Если обнаруживаются
каналы с одинаковыми, положительными сравнениями у различных мажоритарных элементов 1-го уровня, то есть устанавливается набор устройств, на выходе которых имеется правильная информация, то на систему реконфигурации устройств подается сигнал от том из этих устройств, у которого меньше номер. Если одинаковых, положительных сравнений, установленных различными мажоритарными элементами не обнаруживается, то с выхода мажоритарного элемента второго уровня выдается сигнал о недостоверности информации по данному параметру.
Анализатор состояний устройств вычислителя анализирует результаты мажоритарного контроля мажоритарных элементов на предмет возникновения: сбоев;
перемежающихся отказов; устойчивых отказов.
Если в течение 5 циклов мажоритарного контроля отказавший тракт восстанавливается, то в память анализатора записывается информация о возникшем сбое, данном тракте и моменте его возникновения. Если восстановление происходит после 4 циклов контроля и периодически происходят процессы отказа и восстановления, то в памяти анализатора фиксируется перемежающийся отказ и момент его возникновения.
Если отказ, возникший в определенный момент, не восстановляется, то фиксируется устойчивый отказ с моментом его возникновения. Если по окончании полного цикла диагностического контроля, отказ не обнаруживается, то фиксируется отказ элементов тракта не охваченных диагностическим контролем. Отказ фиксируется в памяти анализатора с моментом его возникновения.
Если отказ, обнаруженный мажоритарным элементом подтверждается диагностическим контролем, то в память анализатора вводится следующая информация: о моменте возникновения отказа; о результатах мажоритарного контроля; о результатах диагностического контроля.
При этом отказавший тракт отключается от системы мажоритарного контроля. Если отказавшим оказываются тракт под номером 4, то переименование номера не происходит. Если отказывают тракты с другими номерами, то отказавший тракт заменяется соответствующим номером 4. При этом номер 4 необходимо заменить на номер отказавшего устройства.
Метод обнаружения редких отказов путем мажоритарного контроля параметров критических функций внедрен в комплексы бортового оборудования самолетов ТУ-204, ИЛ-96, БЕ-200, ИЛ-114-300.
Выводы:
Создание электронных систем со сверхвысокой надежностью (с интенсивностью отказов не более 10-9 отказов в час) возможно только посредством систем с управляемой избыточностью;
Разработанная автором система управления избыточностью включает:
Систему тестового диагностического контроля однозначно локализующего отказавшие области и реконфигурирующего систему для парирования отказов за конечный небольшой промежуток времени;
Систему мажоритарного контроля, обеспечивающего мгновенный мажоритарный выбор исправного устройства, как при устойчивых отказах, так и при сбоях и перемежающихся отказах;
Чтобы надежность системы управления избыточностью была на порядок выше надежности функциональной системы, она также спроектирована избыточной;
Для достижения однозначности результатов контроля система управления избыточностью является многоуровневой.
ЛИТЕРАТУРА
1. Нормы летной годности самолетов транспортной категории (АП-25). Москва.1993 г.
2. Авакян А.А., Романенко А.Ю. «Использование COST-технологий для создания эффективных интер-
фейсных сред бортовых комплексов авиационных и ракетно-космических систем», Труды Межведомственной научно-технической конференции «Проблемы обеспечения эффективности и устойчивости функционирования сложных технических систем», г.Серпухов, 2004г.
3. Чуянов Г.А., Златомрежев В.И., Галушкин В.В., Ковернинский И.В., Екимов М.В., Егоров К.А., Ли-хоткина О.Ф. «Исследования по оптимизации архитектур полностью интегрированных комплексов бортового оборудования (ИКБО) и в их составе интегрированных комплексов» Г0СНИИАС.100.0054-001, Москва, 2003 г.
4. Авакян А.А., Искандаров Р.Д., Копненкова М.В.«Разработка облика бортового унифицированного высокопроизводительного вычислительного модуля на основе интерфейсных средств для комплексирования бортового оборудования авиационной и ракетно-космической техники» (НИР «Вычислитель»), НИИАО, 2004г.
5. Авакян А.А., Гориш А.В., «Обработка случайного процесса изменения параметров бортовых датчиков и прогнозирование переходных процессов», Научно-техни-ческий журнал «Авиакосмическое приборостроение» №1, г.Москва, 2003г.
6. Гарольд Крамер "Математические методы статистики", под редакцией А.Н. Колмогорова, Москва, "Мир", 1973 г.
7. Б.В. Гнеденко «Курс теории вероятностей», Москва, «Физматлит», 1961 г.
8. АРИНК 429 «Система передачи цифровой информации. Тип 33», 1977 г.
