CC BY
20
УДК 656.25
Чепцов М.Н., к.т.н., доцент (ДонИЖТ)
ВЕРОЯТНОСТЬ ОПАСНОГО ОТКАЗА МИКРОПРОЦЕССОРНОГО УСТРОЙСТВА УПРАВЛЕНИЯ ДВИЖЕНИЕМ ПОЕЗДОВ
Анализ исследований и публикаций, постановка задачи исследования. На рубеже тысячелетий в процессе развития средств железнодорожной автоматики появилась дилемма: продолжение эволюционного пути на основе применения релейной элементной базы или осуществление революционного скачка за счет использования микропроцессорных средств. Основной предпосылкой для реализации последнего, как известно, является тенденция увеличения функциональной мощности при существенном снижении себестоимости элементной базы.
Одним из основных сдерживающих факторов широкого внедрения микропроцессорных средств в ответственных системах управления движением поездов, являются достаточно высокие требования по обеспечению необходимого уровня функциональной безопасности [1, 2]. Следует отметить, что данная проблема имеет двоякий характер: с одной стороны - имеются адекватные схемные и программные решения, но отсутствует необходимая доказательная база; с другой стороны -разработаны некоторые программно-аппаратные конструкции [3], для которых рассчитаны и практически подтверждены численные значения безопасности, однако из-за своей простоты их применение весьма ограничено.
Как известно, идеология построения существующих систем автоматики и телемеханики сложилась исходя из принципов работы релейной элементной базы, а обеспечение функциональной безопасности обеспечивается конструктивными особенностями реле первого класса надежности. Основным схемным решением, применяющимся при реализации ответственных функций, является использование фронтового контакта (например, [4]), что связано с очень малым значением вероятности его замыкания вследствие неисправности.
В релейной логике единице соответствует выполнение ответственной функции, включение исполнительного устройства и т.д.,
логическому нулю - отключение объекта, размыкание цепи. Следует отметить, что неисправность или неопределенное состояние, также соответствует логическому нулю. Перейдя к соответствующей терминологии, можно отметить, что в логических моделях построения безопасных релейных систем применяется двоичный алфавит описания данных В = {0,1}. При условии несимметричности отказов реле первого класса надежности такой подход вполне приемлем.
В цифровых устройствах все виды отказов, как правило, классифицируются по их проявлению [5]:
1) Пробой - отказ, в результате которого в схеме появился статический уровень логической единицы.
2) Обрыв - отказ, в результате которого в схеме появился статический уровень логического нуля.
Следует отметить, что вероятности появления данных типов отказов примерно одинаковы, и это является существенным ограничением при построении безопасных схемных решений.
С другой стороны, применение микропроцессорных устройств, имеющих в наличии программное обеспечение (ПО), могло бы повысить показатели функциональной безопасности устройств автоматики и телемеханики. Но недостаточная адекватность реальным проблемам теоретических методов оценки и сравнения количественных показателей безопасности ПО сдерживает внедрение современных программно-аппаратных средств [6, 7].
Таким образом, целью данной статьи является дальнейшее развитие теории надежности и безопасности программно-аппаратных средств за счет доказательства теоремы о минимально достижимом значении вероятности опасного отказа микропроцессорного устройства управления движением поездов, в структуре которого отсутствует избыточность и резервирование, а для описания входных и выходных данных применяется двоичный алфавит.
Основной материал. Рассмотрим структурную схему микропроцессорного устройства, реализующего ответственные функции по управлению движением поездов (рисунок 1).
МП устройство осуществляет логическую обработку входных данных, поступающих от контактов реле первого класса надежности К1, К2,..., Кп и управляет исполнительными устройствами (например, реле) Р1, Р2,..., Рт. В схеме не предусматривается резервирования, избыточности и специальных безопасных выходных каскадов. При замкнутом фронтовом контакте напряжение питания Цп1 воздействует на
входные цепи устройства, подавая уровень логической единицы, а при разомкнутом контакте - логический ноль, т.е. в схеме используется двоичный алфавит описания данных. Тогда, для данной структуры справедлива следующая теорема.
Рисунок 1 - Структурная схема микропроцессорного устройства
Теорема. Вероятность возникновения опасного отказа в микропроцессорном устройстве управления движением поездов, при условии применения двоичного алфавита описания данных и при отсутствии резервирования, ограничена сверху значением вероятности возникновения отказа типа пробой аппаратных средств и не может быть уменьшена за счет наращивания функциональных возможностей программного обеспечения.
Доказательство. Типичными неисправностями микропроцессорных и электронных устройств, возникающими вследствие различных причин, являются пробой и обрыв (например, [5]). Из физической области на логическом и функциональном уровне они отображаются в виде константных значений «1» или «0» соответственно. Следовательно, не существует возможности информационного разделения состояния замыкания контакта К от пробоя, а размыкания от обрыва во внутренних цепях МП устройства. Аналогично для выходных цепей - пробой по 1-му выходу приведет к срабатыванию реле Р^ не зависимо от логических условий, задаваемых контактами К1,К2,...,Кп.
В связи с тем, что входными данными для функционирования программного обеспечения является состояние контактов Кп , и получение
дополнительной информации в приведенной структуре не предусмотрено, то любое наращивание его сложности не может привести к выявлению отказов при перечисленных выше условиях функционирования.
Так как условия безопасности обязательно проверяются фронтовыми контактами реле первого класса надежности, а также выполнение ответственной функции обеспечивается подачей напряжения на исполнительные устройства, то значение вероятности возникновения опасного отказа не может быть меньше вероятности возникновения отказа типа пробой микропроцессорного устройства, т.е.
ОгО) > 0ц(1) , (1)
где - вероятность возникновения опасного отказа
микропроцессорного устройства управления движением поездов;
- вероятность возникновения отказа типа пробой.
Проиллюстрируем данный вывод частным случаем физического повреждения [8], наиболее часто встречающимся в практике (рисунок 2).
Рисунок 2 - Замыкание токопроводящих линий в МП устройстве вследствие физического повреждения; а) фотография; б) схематическое
представление
В результате данного повреждения напряжение с линии Ь1 поступает в линию Ь2 и в МП устройство начинает поступать информация о замкнутом контакте К1, следовательно, отсутствует проверка условия безопасности, что является опасным отказом.
Следствие. Опыт практического применения микроэлектронных и микропроцессорных устройств показывает, что отказы типа пробой и обрыв равновероятны [3, 4, 9]:
0>(,) = ).
(2)
При экспоненциальном законе распределения отказов интенсивности отказов также равны: Яд = Я1. Считая, что все виды отказов проявляют себя как пробой и обрыв общая интенсивность отказов МП устройства:
Я = Яд + Я1 .
(3)
Следовательно, интенсивность отказов типа пробой:
Я1 = — Я 1 2
(4)
тогда, в соответствии с (1), при экспоненциальном законе распределения опасных отказов справедливо следующее:
е оС)* 1-в
-1 Я,
2
(5)
В свою очередь, вероятность безопасной работы микропроцессорного устройства, имеющего программное обеспечение, при условии независимости отказов ПО и технических средств, определяется выражением [6]:
Рб (,) = Ртс (,)Рпо (,).
(6)
Принимая во внимание, что Рб (,) = 1 - (,), для идеального случая (РПО (,) = 1), программное обеспечение не ухудшает параметров
безопасности. В реальных микропроцессорных устройствах значение вероятности возникновения опасного отказа может только увеличиться за счет наличия ошибок в ПО.
Выводы и практические рекомендации. Таким образом, в работе получила дальнейшее развитие теория надежности и безопасности программно-аппаратных средств за счет доказательства теоремы о минимально достижимом значении вероятности опасного отказа микропроцессорного устройства управления движением поездов, в
структуре которого отсутствует избыточность и резервирование, а для описания входных и выходных данных применяется двоичный алфавит.
Основной практический вывод - применение микропроцессорных и микроэлектронных элементов в устройстве управления движением поездов при структуре, не предусматривающей резервирования возможно только в том случае, если его интенсивность отказов будет, как минимум, в два раза меньше значений, регламентируемых ДСТУ 4178-2003 [1].
Программное обеспечение МП устройства может повысить его безопасность только в том случае, если алфавит описания данных не будет двоичным, а как минимум - троичным, т. е. во входных и выходных данных отдельным значением должно быть выделено состояние неисправности.
Список литературы
1. ДСТУ 4178-2003. Комплекси техшчних засобiв систем керування та регулювання руху поiздiв. Функцшна безпечнють i надшшсть. Вимоги та методи випробування.
2. 1нструкщя про порядок проведения експлуатацшних i приймальних випробувань дослщних зразюв пристроiв сигналiзацii, централiзацii та блокування. ЦШ-0026. Затверджено наказом №453-Ц вiд 17.08.2001 р. - Кив. 2003, 13 с.
3. Сапожников В.В., Сапожников Вл.В., Шаманов В.И. Надежность систем железнодорожной автоматики, телемеханики и связи: Учебное пособие для вузов ж.д. трансп./ Под ред. Вл.В. Сапожникова. - М.: Маршрут, 2003. - 263 с.
4. Сапожников Вл.В., Елкин Б.Н., Кокурин И.М. Станционные системы автоматики и телемеханики: Учеб. для вузов ж.-д. трансп. - М.:Транспорт, 1997. - 432с.
5. Скобцов Ю.А., Скобцов В.Ю. Логическое моделирование и тестирование цифровых устройств. - Донецк: ИПММ НАН Украины, ДонНТУ, 2005. - 436 с.
6. Чепцов М.Н. Метод определения параметров безопасности программного обеспечения в микропроцессорных системах управления движением поездов // Збiрник наукових праць ДонГЗТ, 2005. - №2 - с. 39 - 46.
7. Чепцов М.Н. Динамический опасный отказ программного обеспечения // Збiрник наукових праць Дон1ЗТ, 2006. - №8 - с. 133 - 143.
8. Вольдман С. Громоотводы для наноэлектроники // В мире науки РосНОУ, 2003. - №2 - с. 23 - 28.
9. Лисенков В.М. Статистичекая теория безопасности движения поездов. - М.: ВИНИТИ РАН, 1999. 332 с.
