Создание отказоустойчивых систем электроники на основе управляющей избыточности Текст научной статьи по специальности «Электротехника, электронная техника, информационные технологии»

УДК 519.24.001:512,643,5

СОЗДАНИЕ ОТКАЗОУСТОЙЧИВЫХ СИСТЕМ ЭЛЕКТРОНИКИ НА ОСНОВЕ УПРАВЛЯЮЩЕЙ ИЗБЫТОЧНОСТИ

А. А. Авакян, д.т.н., главный научный сотрудник ФГУП «НИИ авиационного

оборудования», г. Жуковский

Н.К. Юрков, д.т.н., профессор, заведующий кафедрой «Конструирование и

производство радиоаппаратуры» ПГУ

Аннотация

Рассматривается проблемы, возникающие при проектировании сложных систем авионики воздушных судов гражданской авиации удовлетворяющих требованиям норм летной годности и регулярности полетов. Показано, что эти проблемы наиболее эффективно решаются путем создания отказоустойчивых избыточных систем по концепции интегральной модульной авионики IMA. Наиболее подробно рассмотрена вопросы теория мониторинга рабочего состояния платформы IMA, парирования отказов и сбоев расчета необходимой избыточности.

Требования к отказоустойчивости электронных систем рассмотрим на примере требований к бортовой аппаратуре воздушных судов гражданской авиации. Например, нормы летной годности [7] предъявляют следующие требования к аппаратуре, на которой реализованы критические функции:

А) Вероятность отказа КБО за период полета, приводящая к

- катастрофической ситуации не должна превышать 10"9;

- аварийной ситуации не должна превышать 10 ;

- сложной ситуации не должна превышать 10"6.

Б) Время парирования отказа, приводящего к катастрофической ситуации при вероятности отказа более 10"9 не должно превышать 1-й секунды.

Для обеспечения регулярности полетов к воздушным судам гражданской авиации предъявляются следующие требования:

- Нормативная допустимая продолжительность задержки отправлений в рейс по причине устранения отказов бортового оборудования регламентируется «Типовыми требованиями к эксплуатационно-техническим характеристикам комплексов бортового оборудования гражданских магистральных самолетов, самолетов МВЛ и авиации общего назначения, 1994 г.» [9] не должна превышать 15 минут.

- Вероятность восстановления работоспособности и отказоустойчивости комплексов в заданное время оперативного ТО комплекса при подготовке самолета к полету при всех видах отказов и повреждений, в том числе и не диагностируемых бортовыми средствами контроля, должна быть не менее 0,998.

Современные технологии создания электронной аппаратуры не обладают возможностями удовлетворения этих требований. Наиболее эффективно эта проблема решается с помощью создания отказоустойчивых систем на основе управляемой избыточности. Однако, управляемая избыточность создает допол-

1

нительную сложность в сложных многофункциональных системах бортового оборудования воздушных судов гражданской авиации.

Процесс бурного функционального наращивания бортовых систем, построенных по федеративному принципу (терминология документа [2]), когда архитектуры используют распределенные функции, реализованные в автономных блоках. В них каждая основная функция или приложение, как правило, реализуются в отдельном блоке аппаратуры. Разработка и сертификация федеративных систем является дорогостоящей. Эти системы, в общем, имеют программное обеспечение (ПО), которое тесно связано с нижележащей аппаратной платформой. Федеративные системы обладают негибкой структурой, так что небольшие функциональные изменения приводят к необходимости проведения большой работы по сертификации оборудования. Модернизация аппаратной платформы вследствие старения оборудования также приводит к большим затратам на повторную сертификацию.

Необходимость решения этой проблемы обусловило возникновение концепции интегрированной модульной авионики IMA (Integrated Modular Avionics) [4]. В этих условиях была создана некоммерческая корпорация (компания RTCA, Incorporated) для продвижения современных научных достижений в авиационные электронные системы. В результате работ, выполненных специальным комитетом RTCA (SC-200) и рабочей группой EUROCAE Working Group 60, была разработана концепция интегрированного модульного авиационного радиоэлектронного оборудования (IMA), которая наиболее полно и формализовано, изложена в документе ДО-297 «Руководство по вопросам разработки и сертификации интегрированного модульного авиационного радиоэлектронного оборудования (IMA)» [4]. В этом документе дано следующее общее определение этой концепции: IMA - это совместно используемый набор гибких повторно используемых и интероперабельных аппаратных и программных ресурсов, которые, будучи интегрированными, образуют платформу, которая обеспечивает работу, проверенную и рассчитанную на определенный набор требований безопасности и технических характеристик, с целью поддержки приложений, выполняющих функции воздушного судна.

Одной из важнейших принципов IMA является жесткая сегментация сложной системы (аппаратной или программной) на простые независимые, но связанные между собой сегменты. Иначе говоря целью жесткой сегментации является обеспечение необходимого уровня функционального разделения и независимости.

Жесткая сегментация должна обеспечить необходимую изоляцию независимых функций воздушного судна и приложений, составляющих ресурсы совместного использования IMA. В случае наличия конструктивных недоработок, а также возникновения отказов и сбоев аппаратных средств в каком-либо сегменте они должны быть идентифицированы и локализованы в данном сегменте, и не распространяться на другие сегменты. Если отказ может привести к потере жесткой сегментации, необходимо его определить и принять соответствующие меры. Жесткая сегментация должна поддерживать скоординированное сосуществование основного программного обеспечения и приложений, поддерживае- 2

2

мых общими ресурсами, при этом должно обеспечиваться противодействие несанкционированному или нежелательному взаимному воздействию.

Сбой аппаратных средств, относящихся только к какому-либо сегменту программного обеспечения, не должен оказывать отрицательного воздействия на другие сегменты программного обеспечения.

Жесткая сегментация является средством обеспечения необходимой изоляции и независимости при любых условиях (включая сбои аппаратных средств, конструктивные недоработки аппаратных и программных средств или нештатную работу). Это означает, что жесткая сегментация поддерживает скоординированное сосуществование приложений использующих общие ресурсы при условии, что любая попытка несанкционированного или нежелательного воздействия обнаруживается и пресекается.

Механизмы защиты жесткой сегментации платформы независимы от любых поддерживаемых приложений, и это означает, что приложения не могут изменить принятую в платформе защиту сегментации.

При принятии технического решения по интеграции функций в отдельных платформах комплекса будем исходить из стремления максимально интегрировать функции с обеспечением их независимой разработки, сертификации и функционирования. Рассмотрим кратко вопросы теории структурирования сложных систем.

Структура сложной системы, с точки зрения взаимосвязей её независимых элементов, может быть трех типов (рис.1):

- взаимно не связанная и независимая (рис. 1 А), когда системы функционируют независимо друг от друга и не имеют никаких связей;

- взаимно связанная и зависимая (рис. 1 Б), когда системы имеют общие области взаимного функционирования и имеют взаимные связи;

- взаимно связанная и независимая (рис. 1 В) когда системы функционируют независимо и взаимно связаны только через свои входы и выходы.

А

3

Б

В

Рис. 1 Типы структур сложной системы

В концепции ИМА к структуре ИКБО, как к сложной системе, предъявляются требования, чтобы её платформы функционировали независимо, а между собой были связаны только через свои входы и выходы, то есть являлись структурами типа «В» (рис. 1). Построение

ИКБО по такому принципу позволяет:

1) Проектировать, испытывать, проводить валидацию, сертификацию и аттестацию, а также дорабатывать каждую платформу независимо. При этом имеется возможность управлять процессом проектирования посредством единых методик и унифицированных аппаратных средств.

2) В каждой платформе применять целесообразные для функций данной платформы интерфейсы. Связи между платформами осуществлять посредством единого, оптимального для всех платформ интерфейса.

3) Сегментировать каждую платформу на два следующих независимых модуля:

- модуль мониторинга состояния платформы и внутренней реконфигурации с целью выделения исправного ресурса для безотказного выполнения функций платформы;

- модуль решения функциональных задач на исправном ресурсе платформы.

Сегментированная сложная система IMA может обеспечить отказоустойчивость, на уровне требований норм летной годности и регулярности полетов только при наличии системы контроля рабочего состояния платформы с достаточно высокими характеристиками полноты и достоверности. Следовательно, система мониторинга рабочего состояния должна выполнять следующие функции:

- устранение сбоев в работе платформ,

4

- автоматизированное восстановление платформы при отказах аппаратных средств и нарушений сегментации, включая отказы группового типа и каскадные отказы в полете;

- восстановление (ремонт) платформ с отказавшими избыточными аппаратными компонентами при постановке ЛА на регламентные работы.

Методы, используемые для устранения сбоев платформы, не должны зависеть от поддерживаемых приложений. Устранение сбоев включает в себя обнаружение сбоев, отказов и ошибок, их точную идентификацию при их появлении и принятие адекватных ответных мер. Для обеспечения выполнение требований норм летной годности и регулярности полетов система мониторинга рабочего состояния должна иметь определенные параметры системы контроля. Определим эти параметры из следующего соотношения связывающего параметры системы контроля с вероятностью неконтролируемого отказа:

Р- = Pv( 1 +hj ( 1 -h) (1 +hJ (1 -h) (1),

где:

- P nd - вероятность неконтролируемого отказа;

- PN - вероятность полного отказа хотя бы одного из элементов системы;

- рт - коэффициент полноты тестового контроля;

- Льт - коэффициент полноты ложного тестового контроля;

- hd - коэффициент допустимой полноты контроля, обеспечивающей заданную вероятность неконтролируемого отказа;

- hLd - коэффициент допустимой полноты ложного контроля, обеспечивающего заданную вероятность неконтролируемого отказа.

Расчеты показывают, что нижняя оценка интенсивности контролируемого и неконтролируемого отказа систем типа платформы может иметь величину порядка PN=10"4 отказов в час. Применяя современные методы тестового контроля можно достичь величины его полноты рТ = 0,98. Полнота ложного контроля характеризует достоверность контроля. Реальные оценки показывают, что при тестовом контроле и ложном определении неконтролируемого отказа имеют порядок: hLT=hLd=0,001. Подставив эти оценки в формулу вероятности неконтролируемого отказа, получаем необходимую величину полноты контроля методами отличными от тестового, равную pd =0,99999.

Полнота контроля пять девяток означает практически контроль абсолютно всех элементов. Такой контроль можно выполнить только посредством сигнала, в формировании которого участвуют все элементы контролируемого устройства, т.е. он должен пройти через все устройства и поступить на устройство контроля. В частности устройство контроля может быть реализовано в устройстве, которое подвергается контролю. Сигнал с выхода устройства, подвергающегося контролю, поступающий на его же вход называется «эхо сигналом», а контроль, осуществляемый с его помощью, называется «эхо контролем».

Самым эффективным методом «эхо контроля» является сравнение его с «эхо сигналом», прошедшим через другое полностью идентичное устройство. Для того чтобы определить отказавшее устройство необходимо произвести ма-

5

жоритарное сравнение «эхо сигналов», как минимум, трех идентичных устройств. При таком контроле возникают две следующие проблемы:

- Как сравнивать сигналы, чтобы парировать сбои, отказы определять неисправное устройство;

- Сколько надо иметь избыточных устройств (какова должна быть кратность резервирования), чтобы обеспечить заданную безотказность системы.

Рассмотрим обе проблемы раздельно:

Методы сравнения сигналов реагирующих на сбои, устойчивые и перемежающиеся (групповые) отказы

А) Метод мажоритарного контроля, парирующий сбои и некоторые

виды устойчивых и перемежающиеся (групповых) отказов

Эффективным методом мажоритарного контроля парирующего сбои является мажоритарное сравнение значений параметров передаваемых в асинхронном режиме, но синхронизуемых перед сравнением. Этот метод мажоритарного контроля получил название «допусковый контроль».

Рассмотрим метод синхронизации сигналов, который применим только для сигналов устройств, в структуре слова которых имеется идентификатор параметра. В частности в структуре слова, записанного в стандарте ARINC-429 (рис.2), идентификатор параметра записывается в первых-10 разрядах 32-х разрядного слова.

Формат 32 - разрядного слова в ГОСТ 18977 - 79 РТМ 1495 - 75 и АРИНК-429 имеет следующую структуру:

- Разряды 1 - 8 содержат информацию о коде параметра;

- Разряды 9,10 содержат информацию о коде устройства;

- Разряды 11 - 29 содержат информацию о передаваемом сообщении;

- Разряды 30 - 31 содержат информацию об исправности устройства посредством кодов матрицы состояния;

- Разряд 32 содержит информацию о четности сформированного слова.

1 — 8 9 1 0 1 1 29 30 31 32

Адрес Код Передаваемое сообщение (данные) Исправ- Чет-

(код па- уст- ность ность

раметра) рой- устрой- слова

ства ства

Рис. 2 Структура слова в стандарте ARINC-429

Первой операцией синхронизации сигналов является поиск одних и тех же слов, поступивших из разных устройств, для их мажоритарного сравнения. Для отделения слов между собой информация передается посредством синхронизирующих и информационных импульсов. На рис.3 приведена диаграмма этих импульсов в сообщениях.

6

Наличие синхронизирующих и информационных импульсов позволяет отделять между собой слова, так как в паузах между словами синхронизирующие импульсы не передаются. Поскольку каждый импульс соответствует одному биту передаваемой информации, то период передачи одного бита, равен T (рис.3).

т

Синхронизирующие импульсы

■>t

.32 Т

->и-п> —►

-32 Т —

32 Т

->t

32 Т

Т

г.

«*- П> --------►

-32 Т

Т

Рис.3 Диаграмма синхронизирующих и информационных импульсов в

ARINC

Паузу между словами П разрешается выполнять в пределах:

Т < П £ 40 Т

Следовательно, период между словами Тс будет находиться в пределах: 36Т< П < 72Т

Принцип синхронизации сводится к совмещению сигналов с одними и тем же словами (кодами параметров), содержащими информацию о параметрах, измеренных в один и тот же момент. Поступающая на входы устройства сравнения сигналов информация одной и той же последовательности параметров с N различных устройств, из-за асинхронной работы устройств будет сдвинута относительно друг друга по фазе. Обозначим величину этого сдвига через тзад.

На рис. 4 приведена диаграмма совместного появления слов на 3-х входах устройства сравнения данных в момент t.

На входе 1 время задержки до начала обработки тзад. минимально и момент t не совпадает с началом слова. На входе 2 эта задержка больше, а на входе 3, она достигла величины Тп, то есть периода передачи сообщений. При временах

7

задержки больших Тп возникает вероятность совмещения сигналов со сдвигом на один период. Следовательно, условием правильной синхронизации является

тзад >Тп*

Процедура синхронизации сводится к следующей последовательности операций:

- Сигналы, поступающие на все входы устройства сравнения данных, запоминаются в нем;

- По коду параметра (первые 8 разрядов слова (рис. 2)) первого полного слова, поступившего с устройства 1 (рис. 4), сравниваются все слова сигналов, поступившие на остальные входы. Обозначим код первого параметра Пі (разряды 1 8 (рис.2));

- Сигналы, поступившие с остальных устройств на входы устройства сравнения, кроме сигналов, поступивших на первый вход, сдвигаются по фазе таким образом, чтобы первым словом сигнала стало слово с кодом параметра Пі;

- Если не у одного из слов, поступивших на все входы устройства сравнения данных, кроме первого входа, слов с параметром П1 в сигналах не обнаруживается, то в анализатор результатов мажоритарного контроля посылается сигнал в виде слова с информацией о неисправности устройства № 1 и, повторяются операции предыдущих двух и настоящего пунктов относительно устройства № 2;

Состояние после сдвига сигналов по фазе, когда первые полные слова первых слов всех устройств имеют одинаковые коды параметров, является синхронизированным состоянием сигналов.

Сравнивание значения параметров по сигналам синхронизированных слов осуществляется по критерию допустимого (по точности измерения) расхождения значений параметра АП по следующей формуле.

Wyi-Wyj

< Ап

(2)

Где:

- Wyi - значение параметра на выходе устройства по номером i;

- W^ . значение параметра на выходе устройства по номером j;

- Ап - допуск на точность измерения параметра П;

Где сочетания i-j принимают значения: 1-2, 1-3, 1-4, 2-3, 2-4, 3-4. 8

8

Vb

t зад.1

На входе 1

1 2 3 4

■ і---------------- т --------------------------------►

Тп

А

-►t

Vbx

t зад.2

1 2 3 4 1 2 3 4 1

На входе 2

4 1 2 3 4 1 2 3 4 1 2 3 4

+t

aVbx

На входе 3

-t зад.3 = Тп ■

2 3 4 1 2 3 4 1 2 3 4 1 2

-►t

Рис. 4 Диаграмма совместного появления слов на входах устройства сравнения данных в момент t (Vbx - амплитуда импульсов на входах устройств).

Поскольку сбой не может произойти одновременно во всех независимо и асинхронно работающих устройствах, то при сравнении сигнала устройства, в котором произошел сбой с сигналами двух других устройств, в которых сбой не произошел, произойдет реконфигурация выходного с системы сигнала и сбой будет парирован.

Посредством допускового контроля могут парироваться также и устойчивые отказы. Однако он не чувствителен к отказам вида «замораживание», когда отображаемый параметр не меняет своего значения при фактических изменениях параметра. При полете в режиме горизонтального полета (основное время полета транспортного самолета) параметр «крен» имеет фактическое значение равное нулю. При отказе вида «замораживание» отображаемый параметр будет с точностью допуска равен нулю, то есть допусковый мажоритарный контроль не обнаружит отказа.

Для устранения изложенного недостатка ниже будет описан статистический метод сравнения сигналов по остаточной дисперсии сигнала после его прохождения через регрессионный фильтр. Остаточная дисперсия чувствительна к такому виду отказа, как «замораживание». 9

9

Б) Метод мажоритарного контроля, парирующий устойчивые, перемежающиеся отказы и сбои продолжительностью не менее 500 млсек

Параметры сигналов, проходящих через электронное устройство, рассматриваются как случайный процесс. Такой подход правомочен, поскольку параметры элементов устройств электроники как исправных, так и неисправных непрерывно флюктуируют из-за случайных процессов, происходящих внутри элементов устройства, через который проходит сигнал, и из-за воздействия внешних факторов. Пропуская эти сигналы через статистический фильтр, можно определить параметры случайного процесса флюктуации сигналов. Поскольку параметры флюктуаций исправных и неисправных элементов будут отличаться, то при их сравнении можно определить обобщенно, без локализации отказа, исправны устройства, через которые были пропущены сигналы, или одно из них неисправно.

Сигнал, поступающий на вход фильтра, представляет собой одну реализацию дискретного случайного процесса изменения параметра. При этом каждое дискретное значение сигнала несет информацию о последовательности измерений параметра в дискретные моменты времени. Для формирования исходной информации регрессионного фильтра необходимо по одной реализации случайного процесса создать ансамбль реализаций, удовлетворяющих требованию эргодичности, которое сводится к тому, чтобы количество измерений в одном экземпляре ансамбля обеспечивало заданную точность и достоверность определяемых параметров. Поскольку точность и достоверность определения параметров случайного процесса зависит от количества измеряемых параметров, то определим это количество заданной точностью определения характеристик случайного процесса.

Случайный процесс изменения параметра, состоящий из N точек измерений значения параметра от момента ti до момента tN «разрезается» на С реализаций по n точек в каждой. Следовательно, C • n = N Число N выбирается из условия эргодичности. В качестве характеристики эргодичности принимаем оценку дисперсии нормального стационарного, случайного процесса, который имеет место у параметров электронных систем. Оценка дисперсии имеет порядок [1, 2]. При 1000 и более точек процесса эта оценка равна VN

примерно 0,03. При такой величине оценки дисперсии процесс может считаться эргодическим.

На рассматриваемый случайный процесс наложим следующие ограничения, которые имеют место в реальных процессах:

А) Значения случайного процесса известны только для моментов измерения параметров t(i) (где i = 1, 2, 3....), то есть имеет место не непрерывный случайный процесс, а дискретный;

Б) В областях, где отсутствуют переходные процессы, случайные процессы обладают свойством эргодичности [8].

Обозначим случайный процесс изменения параметра через W(t). Введем понятие интервала эргодичности ТЭ, как интервала, который может нахо-

10

диться в любой временной области процесса, а значения характеристик процесса, определенные по данным этой области, равны характеристикам, определенным на любом другом интервале, большем ТЭ. Тогда условия эргодичности случайного процесса W(t) можно записать следующим образом:

W (t) - процесс является эргодическим на интервалах:

t(i+y)t(i№ (3),

где - у - число точек интервала эргодичности.

Воспользуемся условием (3) для создания ансамбля реализаций синтезированного случайного процесса (назовем его условным), адекватного реальному процессу, состоящему из одной реализации. В качестве первой реализации нового процесса возьмем любой интервал реального процесса, больший, чем Тэ, который в реальном процессе ограничен следующими текущими моментами:

(ti(n)-ti(1))*N>T э (4).

Где - ti(1) - момент начала формирования первой реализации и всего ансамбля,

- ti(1) - момент начала формирования первой реализации и всего ансамбля,

- ti(n) - момент конца формирования первой реализации ансамбля реализаций;

- n - число точек (измерений в одной реализации);

- C - число реализаций.

Если ансамбль состоит из С реализаций, то интервалы всего ансамбля могут быть записаны следующим образом: ti(n)- ti(i),

t2(n)-t2(i), (5).

tc(n)- tc(i).

Из этого ансамбля интервалов видно, что последняя точка условного процесса tc(n) соответствует точке (моменту измерения) t(N=c*n) реального процесса. Для получения эффективных оценок по ансамблю реализаций необходимо, чтобы выполнялось условие:

Tin>(ti(n)ti(i))*c^ (6).

На рис. 5 изображен условный случайный процесс при числе точек n = i0 и числе реализаций С = i00.

її

Рис. 5 Случайный процесс изменения параметров начинающийся с момента t

Для определенного нами условного случайного процесса сформируем матрицу значений случайного процесса в описанных выше точках:

Данные первого слова (разряды 11-29 рис. 2) первого параметра (идентификатор Пі), поступившие с устройства № 1, обозначим идентификатором Wi(ti). Индекс «1(t1)» означает, что это данные первого элемента, соответствующего моменту «t1». Индекс «1» означает, что эти данные относятся к первой строке матрицы данных (7), которая имеет следующий вид:

1 о w1(t) w,(tp w1(tn)

w2(t 0) W2(t1) L w2<tj) L ™2(0

II * w (t 0) w (t1) ... wQ) ■■■ w (tJ

1 С1 О* О wc (t1) ■■■ w(t? ■■■ wc (t)

(7)

12

Как видно из матрицы (7) число данных случайного процесса изменения параметров, равное величине c*n+1, разрезается на с строк (реализаций случайного процесса), каждая из которых состоит из n+1 значений параметра П1. Матрица (7) запоминается, как матрица исходных данных.

Г руппа операций по формированию ковариационной матрицы Операция по оценке математического ожидания по каждому j-тому столбцу матрицы (7) определяется по следующей формуле (8):

1 с

MW (tj) = - х (tj) = ас (tj)

C

(8)

Где:

- MW(tj) - математическое ожидание элементов j- того столбца;

- C - количество строк;

- Wi(tJ) - элемент матрицы (7);

- ае(1т) - значение математического ожидания элементов j- того столбца.

Операция по оценке стандартного (среднеквадратического) отклонения по каждому j-тому столбцу матрицы (7) определяется по следующей формуле (9):

GW )

Где:

и

X (W, (tj) - ac (tj))

І =1

C

Gc (tj)

(9)

- GW(tJ) - стандартное (среднеквадратическое) отклонение элементов в сечении j;

- Gc(tJ) - значение стандартного (среднеквадратического) отклонения элементов в сечении j.

Операция по оценке элементов ковариационной матрицы (12) между сечениями j и l матрицы (7) (/=1,2...n; j=1,2...n) определяются по следующей формуле (10):

X ( WІ (tj) - ас (tj)) * ( Wi (t/) - ас (t/))

кл = ----------------с------------------ (10)

Где:

- KJ l - элемент ковариационной матрицы (12) между сечениями j и l исходной матрицы (7).

Операция по оценке элементов ковариации между сечениями j=0 и l матрицы (7) (I=1,2...n; j=0) определяются по следующей формуле (11):

X (Wі (t о)

k о/ = —-------

ac(tо)) *( W,(t/)-ас(t/))

C

(11)

13

Ковариационная матрица (12), имеющая следующий вид, хранится в памяти:

к 1,1 к 1,2 ... к 1,, ... к і 1 ,n

к 2,1 к 2,2 ... к2, ... к 2 2 ,n

к,,1 к i ,2 ... к , ••• i , j к i,n (12)

кп ,1 кп ,2 ... к 3 l n ,3 к n ,n

Ковариационная матрица имеет следующие особенности:

- Она является квадратной и имеет размерность пхп;

- Она симметрична относительно диагональных элементов, то есть kij = kj,i’

- Диагональные элементами являются дисперсии j-тых столбцов матрицы (12), то есть ky=i = Gc(tj).

По данным ковариационной матрицы выполняются следующие операции по определению коэффициента линейной регрессии и остаточной дисперсии.

Оценка коэффициента линейной регрессии pj для каждого у-го столбца матрицы (12) вычисляется значение по формуле, [1]

Р,(t,)

(13),

1 n - 1

Z к о,i К i,i

ki,

i=1

Где:

- в i(tj) - оценка i-го коэффициента линейной регрессии в сечении t, матрицы (12);

- к1, - детерминант ковариационной матрицы (12);

- к01 - оценка элемента ковариации между сечениями 0 и l матрицы (12);

- Кц - алгебраическое дополнение элемента кц (i=1,2...n-1) ковариационной матрицы (12).

Оценка остаточной дисперсии (sc(tn)) регрессии параметра П1 по данным матрицы (12) вычисляется значение по формуле:

2 1 с

( Goc(tn)) = сZ( W,(tо)-ac(tо)-P1(tr)( W,(t1)-аМ)

C г=1

- Рк (tj)( W, (t,) - ac (t,)) - k - Pn-1( W, (tn) - ас Ю) f,

(14)

2

где (аос(1;п)) - оценка остаточной дисперсии регрессии параметра П1;

j = 1, n -1.

Сопоставление остаточных дисперсий сравниваемых параметров в данном методе осуществляется по пересечению доверительных интервалов на веро-

14

ятное отклонение остаточной дисперсии. Определим этот доверительный интервал.

В [1] показано, что статистика ¥ отношения квадратов остаточной дисперсии к её оценке помноженная на число реализаций ансамбля С распределена по закону % с V = C - n -1 степенями свободы, т.е.:

(15),

У

(<jjC , (S (t) f

где:

- (s)2 - значение остаточной дисперсии параметра,

- (&ос)2 - оценка остаточной дисперсии параметра

2

Плотность вероятностей распределения % определяется формулой [8, 9]

Kv (x)=

PV (%2 £x) при x>0,

0 при x£0.

Выражение для Pv(% £ x) имеет следующий вид [8, 9]:

2

Pv(% £ x ) =

(16)

2 . 1 V-1 -x

22 Г U)

x2 e 2

(17),

где Г (L_)- гамма-функция, интегральное представление (формула Эйлера) ко-

2

торой для

непрерывных z имеет следующий вид [1, 2]:

Г ( z ) = J Xz1 e -dx . (18)

0

Для целочисленных z > 0 имеет место следующие соотношения: Г( z +1) = z!, 0! = Г(1) = 1.

Введем обозначение V = z +i , тогда справедливо равенство

2

V V

Г (2) = (VЮр

(19)

Подставив (19) в (17), получим следующую, удобную для вычислений, формулу:

V-1 x

2 1

Pv (С £ x) = v—г,-------x2 e 2

V V

2V( V-1)!

На основании выше изложенного можно записать следующее неравенство:

(20)

15

х ч 2

(s )V

tJV* PJ V 42 P trnax^ Pmax)

(Sc (tn))

(21)

где tmin и tmax - соответственно квантили распределения (20) для вероятностей Pmin и Pmax при Vстепенях свободы.

Тогда доверительный интервал для оценки стандартного отклонения, с вероятностью доверия равной Рд = Pmax - Pmin будет иметь вид следующего неравенства:

Soc (tn)

t (V P )

V min v ’ -L min7

V

£So PSoc (tn)

t (V , P )

V

(22)

Поскольку мажоритарное сравнение остаточных дисперсий осуществляется для одного и того же параметра, прошедшего как минимум через три тракта, то в идентификатор оценки остаточной дисперсии введем индекс Т, обозначающий номер тракта. С учетом этого индекса идентификатор оценки остаточной дисперсии будет иметь следующий вид: a0C(tn)T.

На основании (21) нижняя и верхняя оценки доверительного интервала стандартного отклонения остаточной дисперсии соответственно имеют значения

Soc ( tn )Н T Soc (t n)'^

t (V, P )

V

Soc ( tn )B T Soc (tn^

t (V P )

I' ma^^ J- max7

V

(23)

Доверительный интервал стандартного отклонения остаточной дисперсии определяется формулой

DocT=Soc(tn)eT-Soc(tn)uT. (24)

Тогда условия сопоставимости и несопоставимости доверительных интервалов стандартного отклонения остаточной дисперсии параметра, прошедшего через 1-й и 2-й тракты соответственно, запишутся в виде следующих неравенств:

Doc 1 - Doc 2 £ 0,5 -сопоставимо, D 1 - D0c 2 * 0,5 -несопоставимо (25)

Вопросы локализации отказов избыточной платформы и их устранения

Система контроля мониторинга рабочего состояния избыточной платформы кроме мажоритарного контроля содержит систему тестового контроля. Программы тестового контроля строятся на известных методах с локализацией до отказавшего модуля, выполненного в виде конструктивно съемной единицы (КСЕ). Аппаратные компоненты платформы, которые невозможно охватить тестовым контролем (кросс-платы, аппаратные компоненты каналов, выходных и входных сигналов и других элементов) локализуются при профилактическом ремонте платформы. Их наличие определяется по информации мажоритарного контроля в системе фиксации результатов мониторинга рабочего состояния, как событие, когда тестовый контроль дает положительный результат, а мажоритарный контроль фиксирует отказ платформы.

16

Расчет необходимой избыточности отказоустойчивой платформы

В классической литературе по надежности, в частности в [8] и ряде других работ, рассматриваются общие подходы к расчету характеристик безотказности резервированных систем. При создании систем, обладающих сверхвысокой безотказностью (интенсивность отказов 10-9 и менее отказов в час), возникает необходимость создания двухуровневых систем резервирования. Эта необходимость возникает в тех случаях, когда резервные системы каждого уровня предназначены для выполнения различных задач. В данной работе рассматриваются две следующие резервные системы. Первой системой является система мажоритарного контроля, которая, как минимум, состоит из основного и двух резервных трактов. Её назначение - обеспечить сверхвысокую надежность при применении (если это бортовые системы, то в полете). Вторая система (система второго уровня) резервирует систему мажоритарного контроля, обеспечивая её безотказную работу в течение межрегламентного периода.

Итак, класс избыточных систем с двухуровневым резервированием состоит из основного элемента, резервных элементов первого и второго уровней. Обозначим основной элемент системы через h, резервные элементы первого уровня через г, а резервные элементы второго уровня через Н. Тогда вся система может быть формализована посредством следующей строки матрицы общего класса избыточных систем:

h, Гі,r2,..r(,..rm,ЯрH2,...,Hj,.

Hn

(26)

Отказ подсистемы первого уровня резервирования произойдет, если откажут основной элемент и все резервные элементы первого и второго уровня. Вероятность такого события, т.е. вероятность отказа системы Qs за период t равна:

m

n

Qs (- tj=Qh (t - оПа (- оПо»# - о

j=i

7=1

(27)

где Qh, Qr, QH - соответственно вероятности отказа основного и резервных элементов.

Чтобы элементы г7, и Hj резервировали элемент h, они должны быть одинаковыми в смысле выполнения одинаковых функций. Полагаем, что их вероятности отказа будут равны:

Q (t - tm)=Q (t - tm)=Qjt - tm)=Q (t - tm), (28)

где Q^^t) - вероятность отказа элемента.

С учетом (28) формула отказа системы (27) преобразуется следующим образом:

m+n+1

Qs(t - О = Пйі(t - О

7=1

(29)

17

Для упрощения записи формул вместо символа события (t>t0T) будем писать только символ (t) текущего времени момента отказа. Обозначим общее количество элементов системы через w. Тогда формула (29) запишется в виде:

W

Qs (t)=n&(t) .

i=1

Если система отказывает из-за отказа хотя бы одного элемента, то вероятность полной группы всевозможных отказов системы (несовместных событий) будет равна:

Qs (t) = z Cw( 1)i~1Q3(t). (30)

i =1

Вероятность полной группы безотказных состояний системы (несовместных событий) будет равна:

Ps (t) = z CW( 1)i _1(1-Q,(t))i. (31)

i=1

Нетрудно проверить, что сумма полной группы несовместных событий отказных и безотказных состояний системы равна: Qs (t)+ps (t)=1, что соответствует теореме о полной группе несовместных событий [8].

В ряде случаев за отказ системы принимается событие, когда система отказывает только из-за отказов к и более элементов системы. В частности под отказом системы при двухуровневом резервировании понимается состояние, когда из общего количества элементов основного и резервных первого и второго уровней (m+n+1 элементов) отказывает к элементов. При этом m+n+1- к элементов остаются исправными. Такими состояниями являются все возможные состояния из m+n+1 элементов по к элементов. Для этих случаев формула (31) запишется в виде:

Qs(t) = z CW( 1)i Q0. (32)

i=k

Интенсивность отказов системы определяется формулой [8]

l s (t)

M)

Ps (t)

dQs (t) dt

1 - Qs (t)

W . j

Z CW( 1/-k _ i=k

iQi~\t)

dQ 3(t) dt

w ■ і ■

1- Z CW( 1)'-кф)

і=k

(33)

Поток отказов элементов сложных систем является пуассоновским и поэтому справедлива формула:

Q3(t)=1-e-^. (34)

Подставив (34) в (32) и (33), получим следующие расчетные формулы для вероятности и интенсивности отказов системы:

18

Qs (t) = icu-iy ~k (1-е~лэ)',

i=k

W . j '-

S CW(-1)'-k' (1-e-V)' V-1^

Is (t) = —-----------------------------

1- S CW(-1)'-k(1-e-M)'

'=k

(35)

(36)

Расчеты произведенные по перечисленным выше формулам показали, что для удовлетворения требований норм летной годности и регулярности полетов при автоматическом восстановлении его отказов в межрегламентный период равный 600 часам налета ЛА необходима избыточность соответствующая четырехкратному резервированию трактов прохождения сигналов.

Сегментация модуля мониторинга рабочего состояния платформы ИМА

Сегментация модуля мониторинга рабочего состояния платформы осуществляется путем разделения циклического периода Real Time на периоды, когда выполняются функции мониторинга рабочего состояния платформы и периода, когда в результате выполнения функций мониторинга в Real Time создается безотказный вычислительный ресурс для выполнения приложений (рис.6).

Модуль мониторинга рабочего состояния выполняет операции по:

- Обнаружению и обработке сбоев;

- Обнаружению и локализации отказов;

- Восстановлению отказавшей платформы путем реконфигурации избыточной архитектуры;

- Обеспечению продолжения бессбойного и безотказного выполнения приложений в следующем цикле Real Time.

Под безотказным вычислительным ресурсом необходимо понимать безотказность, удовлетворяющая требованиям норм летной годности и регулярности полетов.

Программы мониторинга рабочего состояния и программы приложений при таком техническом решении будут выполняться во временном разделении, а значит, с этой точки зрения сегментированы, но поскольку они будут работать под управлением общей операционной системы, то по этой причине должен быть проведен анализ сегментации.

19

Тф -Период безотказного вычислительного ресурса

Тм - Период мониторинга рабочего состояния

► t

Рис.6 Сегментация периода Real Time на период мониторинга рабочего состояния платформы и период безотказного вычислительного ресурса для выполнения приложений

Литература

1. Крамер Г. Математические методы статистики / Под ред. А.Н. Колмогорова. - М.: Мир, 1973.

2. Гнеденко Б.В. Курс теории вероятностей. - М.; Физматлит, 1961.

3. Авакян А. А Особенности выявления редких отказов в электронных системах. - М.; Контроль. Диагностика. 2008. № 12. С. 55.

4. RTCA DO-297. Руководство по вопросам разработки и сертификации интегрированного модульного авиационного радиоэлектронного оборудования (ИМА).

5. Что такое модульная авионика? What is Integrated Modular Avionics? 2006 год. р.р. 1-2, www-users.cs.york.ac.uk/~philippa/IMA.htm1.

6. Х. Буц, «Интегрированная модульная авионика - прямой путь к системам, устойчивым к ошибкам», Daimler Chrysler Aerospace Airbus Kreetslag 10, D-21129, Гамбург.

7. Нормы летной годности самолетов транспортной категории (АП-25). Москва.1993 г.

8. MIL-STD-2165 (военный стандарт), «Программа обеспечения контролепригодности электронных военных систем и оборудования.», Министерство обороны США, Вашингтон 1985 г.

9. Типовые требования к эксплуатационно-техническим характеристикам комплексов бортового оборудования гражданских магистральных самолетов, самолетов МВЛ и авиации общего назначения. Утверждена заместителем директора ГосНИИ «Аэронавигация В.Я.Кушельманом 10 мая 1994 г.

20