УДК 681.3
ОЦЕНКА ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ СИСТЕМ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ
В.А. Богатырев1, С.В. Бибиков2
1 Санкт-Петербургский государственный университет сервиса и экономики (СПбГУСЭ),
191015, Санкт-Петербург, ул. Кавалергардская, 7
о
ООО "Центрречевых технологий” 196084, Санкт-Петербург, ул. Красуцкого, 4
Аннотация - Рассмотрена оценка функциональной безопасности систем обеспечения безопасности, построенных на основе дублированных микропроцессорных комплексов. Предлагаемая оценка позволяет учесть периодичность контроля и возможности перехода в опасное состояние из-за не обнаружения отказа одного канала комплекса.
Ключевые слова: безопасность; опасный отказ; защищенный отказ; дублированная система; периодический контроль.
ESTIMATION OF FUNCTIONAL SAFETY THE SYSTEMS CONNECTED WITH
SAFETY
V.A.Bogatyryov, S.V.Bibikov St.-Petersburg state university of service and economy(SPbSUSE), 191015, St.-Petersburg, streetKavalergardsky, 7 Open Company "Center of speech technologies "
196084, St.-Petersburg, streetKrasutsky, 4
Summary - The estimation of functional safety of systems of maintenance of the safety, constructed on the basis of the duplicated microprocessor complexes is considered. The offered estimation allows to consider periodicity of the control and transition possibility in a dangerousbecause of not detection of refusal of one channel of a complex.
Keywords: the safety; the dangerous refusal; the protected refusal; the duplicated; the periodic
control.
При разработке и эксплуатации транспортных средств и систем обеспечения движения основное внимание должно уделяться их безопасности.
В настоящее время выделен отдельный класс систем (в том числе электронных и программируемых микропроцессорных, регламентируемых стандартом 1ЕС 61508, ГОСТ 61508), связанных с безопасностью, предназначенных для предотвращения аварий и минимизации их последствий.
Безопасность достигается в результате использования нескольких систем защиты, основанные на различных технологиях (например, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных). Любая стратегия безопасности по рекомендациям стандартом 1ЕС 61508, гОсТ 61508 должна учитывать не только все элементы, входящие в состав отдельных систем (например, дат-
чики, управляющие устройства и исполнительные механизмы), но и все подсистемы, входящие в состав комбинированной системы, связанной с безопасностью.
Задача обеспечения высокой надежности систем, связанных с безопасностью, в том числе на транспорте, требует оценку интегральной и функциональной безопасности. Под интегральной понимается безопасность всей системы управления, а под функциональной - безопасность подсистемы обеспечивающей безопасность (Стандарт 1ЕС 61508, ГОСТ 61508).
При определении полноты безопасности должны учитываться все причины отказов, которые ведут к небезопасному состоянию, например отказы аппаратуры, отказы, вызванные программным обеспечением, и отказы, имеющие причину в электрическом интерфейсе.
В.А. Богатырев, С.В. Бибиков
В системах обеспечения безопасности, в том числе на транспорте[1], в основном используются дублированные и троированные микропроцессорные комплексы, реализованные на базе микроконтроллеров или промышленных компьютеров.
К дублированным микропроцессорным системам, связанным с безопасностью, и особенно при потенциальной угрозе для жизни и здоровья людей предъявляются высокие требования по надежности и достоверности функционирования. В таких системах все вычисления, как правило, дублируются, при этом реализуется взаимоконтроль машин, основанный на сравнение результатов, а также на периодическом тестировании, проверке контрольных сумм и других методах [1].
Для дублированных систем к опасным состояниям относят состояния с отказом двух машин (с отказом процессора или памяти в каждой из них), так как при отказе одной из машин в результате взаимоконтроля отказ будет обнаружен и система переведена в защищенное (безопасное) состояние.
Для дублированных (двухканальных) компьютерных ( микропроцессорных) систем вероятности опасного и безопасного отказа, интенсивность опасных отказов и среднее время до опасного отказа дублированной системы определяют как [1]:
<9ОП(0 = (1-^)2*^2;
PБ(t) = \-(\-e-л,f =1-Я¥;
4»(0 = -
АО
2Л(1-е~л>)
2-е~х'
топ=]ръ(т=\(2е-
-е-2А,)Л = -~— = —.
Л 2 Л 2 Л
где X - суммарная интенсивность отказов одного компьютера (включая отказы процессора, оперативной памяти и постоянной памяти, используемой для начальной загрузки).
Для уточнения оценки будем рассматривать в качестве опасного не только состояние с отказом двух каналов устройства, но и с отказом одного канала при не обнаружении средствами контроля соответствующего отказа.
Показатели безопасности дублированной системы в этом случае определим как:
<2ш(0 - (1-^)2 + 2(1 -е~м)е~Яг(1 /(2” -1)), т = 1-ооп(г);
Тж =]рб№ = }(!-((!-
е~А1)2+2(1-е~л')е~л^))а.
где g - вероятность не обнаружения ошибки при контрольном суммировании. В соответствии с [2] примем ё = И(2т-\).
Вероятность безотказной работы дублированной системы ( когда функции системы выполняются хотя бы одним каналом, возможно в незащищенном режиме) вычисляется как Р(0 = 1-(1-е л')2. Результаты оценки вероятности безотказной и безопасной работы системы при интенсивности отказов Л=1,8 10"6 1/ч
представлены кривой 1 на рис 1, на котором кривая 2 соответствует разнице между вероятностью безотказной и безопасной работы системы как
Щ) = Р«)-Р6«).
т 1
1
'''
2 ''
О®
0.99973 0.99967 0.9996
0 1.667хЮ3 ЗЗЗЗхЮ3 5*103 6.667хЮ3 8.333х103 МО4
t ч
Рисунок 1. Вероятность безотказной и безопасной работы системы
Результаты расчета среднее времени до опасного отказа представлены на рис.2.
Рисунок 2. Среднее время до опасного отказа
Определим среднее время до опасного отказа с учетом проведения
46
НИИТТС
Оценка функциональной безопасности систем, связанных с безопасностью
контроля с периодом т. Очевидно что уменьшение периода контроля позволяет повысить достоверность функционирования системы и и уменьшить вероятности функционирования системы в незащищенных состояниях.
Учитывая, что при отсчете каждого периода контроля /т (/'=1, 2,...) возможен переход в состояние опасного отказа или отсчет следующего (/+1)-го интервала, среднее время до опасного отказа определим как:
гоп = гап(оЕ /+1 1-а,п(о'-
/=1
При этом
(?ш(0 = (1-^Лг)2 +2(1-е-ЛгКЛг(1/(2" -1)),
Расчетами установлено, что при периодичности контроля т= 15 с и Х=0,2245 10-6; 6,209 10-6; 20,9 10-6 1/ч. -среднее время до опасного отказа равно
соответственно Гоп=3,18 10
15.
6,11 10
12.
5,46 1011 ч, что показывает высокую безопасность исследуемых систем.
Результаты расчета среднее времени до опасного отказа в зависимости от периодичности контроля представлены на рис.3 (при интенсивности отказов Л=1,8 10'6 1/ч.).
Рисунок 3. Зависимость среднего времени до опасного отказа от периодичности контроля
Сравнение результатов расчета среднего времени до опасного отказа, представленных на рис 2 и 3 позволяет
сделать вывод о положительном влиянии уменьшения периодичности контроля на увеличение среднего времени до опасного отказа исследуемой дублированной системы.
Дополнительно увеличить надежность и безопасность дублированных вычислительных систем при необходимости возможно в результате их реконфигурации [3, 8].
Таким образом, предложена оценка функциональной безопасности дублированных вычислительных систем с учетом периодичности контроля и возможности не обнаружения отказа одной из машин комплекса, что исключает требуемый переход системы в защищенное состояние.
Литература
1. Сапожников В.В., Сапожников В.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и связи М.Маршрут .2003.
263 с.
2. Надежность автоматизированных систем //. Атовмян И.О., Вайрадян А.С. и др Высшая школа М. 1978.287 с.
3. Bogatyrev V.A. Exchange of Duplicated Computing Complexes in Fault tolérant Systems. // Automatic Control and Computer Sciences. - 2011. - Vol.
46. - № 5. - P. 268-276.
4. Богатырев В.А. К повышению надежности мультимикропроцессорных систем // Изв. Вузов СССР. Приборостроение. 1982. № 8. С. 93-96.
5. Богатырев В.А. К оценке надежности мажоритарных структур с учетом многофункциональности модулей // Изв. Вузов СССР. Приборостроение. 1982. № 11. С. 84-87.
6. Богатырев В.А. Надежность многомашинных функционально резервированных систем с перераспределением функций после отказов //Автоматика и вычислительная техника. 1991. №
6. С. 86-88.
7. Богатырев В.А. Интервальные методы динамического распределения запросов с контролем канала // Информационные технологии. 1999. № 12. С. 29-32.
8. Богатырев В.А. Надежность вариантов размещения функциональных ресурсов в однородных вычислительных сетях // Электронное моделирование. 1997. № 3. С. 21 -29.
1 Богатырев Владимир Анатольевич - доктор технических наук, профессор кафедры «Прикладных информационных технологий» СПбГУСЭ, тел.: + 7 911-726-02-26, е-
mail'.vladimir. bogatyrev@gmail. сот;
2 Бибиков Сергей Викторович,ООО "Центрречевых технологий” Заместитель технического ди-
ректора ; тел.: +7 921 3266039 . E-mail bibikov@speechpro.com.